الانتقال إلى المحتوى الرئيسي
DataSouv
تدقيق
دليل · المخاطر والعقوبات

عقوبات اللجنة الوطنية لحماية المعطيات: ما الذي تخاطرون به فعلاً

تبقى العقوبات المالية المُسلَّطة بموجب القانون 09-08 متواضعة مقارنةً باللائحة العامة لحماية البيانات (GDPR). أما البقية — الجنائية، السمعة، العقود الضائعة — فهي ما يُكلِّف فعلاً.

بقلم هشام ع.، متخصص في اللجنة الوطنية لحماية المعطيات واللائحة العامة لحماية البيانات (GDPR)5 دقيقة قراءة

حين ألتقي بإدارة تكتشف امتثال اللجنة الوطنية لحماية المعطيات، يكون السؤال الأول دائماً تقريباً هو نفسه: «كم نخاطر؟». والجواب الصادق يأتي في شِقَّين. على الصعيد المالي المحض للعقوبات المُسلَّطة بموجب القانون 09-08، تبقى المخاطرة المباشرة معتدلة مقارنةً باللائحة العامة لحماية البيانات (GDPR). أما على الصعيد الشامل — الجنائي، والسمعة، والتعاقدي، والتشغيلي — فإن كلفة عدم الامتثال تتمدد في اتجاهات تستهين بها الإدارات المالية باستمرار. وحين تحلّ الفاتورة الحقيقية، نادراً ما يكون بند «الغرامة الإدارية» هو ما يجرح.

مبدأ التدرج

لا تُعالج اللجنة كل الملفات بالأسلوب نفسه. وكأغلب سلطات حماية المعطيات، فإنها تُميِّز بين ثلاثة مستويات:

الإنذار التحذيري هو الدرجة الأولى. ويتدخل في حالات المخالفات الطفيفة والمعزولة، التي لا ضرر ظاهر منها للأشخاص المعنيين. وهو تذكير بالقانون. ويُنتظر من المنظمة أن تُصحِّح دون متابعة شكلية. وتجريبياً، هذه هي المعاملة المخصصة لكثير من ملفات الإحالة الأولى حين يكون التعاون فورياً والتسوية سريعة.

الإنذار هو الدرجة الوسطى والأكثر تواتراً. تُسجِّل اللجنة المخالفة، وتُحدِّد أجلاً للامتثال (عموماً بين ثلاثة وستة أشهر)، وتُعلِّق غياب المتابعة على التنفيذ الفعلي. وهي مسطرة تواجهية: تُبلَّغ، ويمكنك الرد، والإدلاء بأدلتك، واقتراح خطة عمل. فإن كانت الخطة قابلة للتصديق ومُنفَّذة، أُقفل الملف. وإلا، صعدنا إلى الدرجة الثالثة.

العقوبة بمعناها الدقيق تتدخل في المخالفات الجسيمة، أو في غياب التعاون، أو في الإصرار بعد الإنذار. وقد تأخذ أشكالاً عدة بحسب الحالة: سحب الإذن بالنسبة لمعالجة F112 (إذن مسبق) أو F118 (نقل دولي)، ونشر العقوبة، والإحالة على وكيل الملك بالنسبة للأشواط الجنائية. وتبقى المبالغ الإدارية المُسلَّطة بموجب القانون 09-08 الحالي متواضعة بالقيمة المطلقة، لكن الأثر المركَّب — عقوبة + نشر + إحالة جنائية — قد يكون قاسياً.

الشق الجنائي — المنطقة المُهمَلة

يتضمن القانون 09-08 عقوبات جنائية: عقوبات السجن وغرامات على المخالفات الواضحة. وأي مخالفات بالضبط؟ الجمع الاحتيالي للمعطيات، استخدام المعطيات لغاية غير مُصرَّح بها، رفض حق الولوج، إغفال التصريح المسبق، الإفشاء غير المشروع للغير، عرقلة عمل اللجنة. وتُذكر العتبات الدقيقة في مواد النص، وقد تتطور مع الإصلاح المنتظر؛ وللاطلاع على القيم المحدَّثة، فإن الجريدة الرسمية والصفحات المخصصة في موقع اللجنة الوطنية هي المرجع.

والنقطة العملية التي ينبغي إدراكها هي أن المسؤولية الجنائية ليست تهديداً نظرياً فقط. إذ يمكن تحريكها شخصياً ضد المسيِّر أو ضد المسؤول المُعيَّن عن المعالجة. وفي الممارسة الجارية، تبقى الحالات نادرة — تُفضِّل اللجنة الوطنية البيداغوجيا على المتابعات الجنائية في الملفات العادية. لكن حين يوجد سوء نية واضح، أو رفض مُستمر، أو ضرر جسيم على الأشخاص المعنيين، فإن الرافعة الجنائية تُستعمل. وفي الصحافة الاقتصادية المغربية (Médias24، L'Économiste)، صعدت في السنوات الأخيرة قضايا معطيات عدة استدعت البُعد الجنائي.

العقوبة المتعلقة بالسمعة — الأغلى ثمناً

لنكن صريحين: بالنسبة لمنظمة جيدة البِنية، فإن العقوبة الإدارية بموجب القانون 09-08 الحالي لن تُغرق السفينة. وما يطرح المشكل فعلاً هو البقية.

نشر العقوبة من قِبل اللجنة، حين يُقرَّر، يُغيِّر ملامح المنظمة. فمحركات البحث تلتقط المعلومة، وتبقى في الصفحة الأولى مرتبطةً باسم العلامة لسنوات. ويراها الزبناء المؤسساتيون والشركاء المؤسسيون. وتُعدُّ عنها تقارير في الإعلام المتخصص (L'Économiste، TelQuel، والصحافة الدولية للمعطيات) حين تكون الحالة بارزة.

الشركاء الأوروبيون الخاضعون للائحة العامة لحماية البيانات (GDPR) يعتبرون عدم الامتثال للجنة الوطنية إشارةً على مخاطر شاملة. فمجموعة أوروبية تكتشف أن فرعها المغربي تلقى إنذاراً، قد تقرر تجميد التحويلات داخل المجموعة، أو طلب تدقيق مستقل، أو حتى مراجعة خريطة عملياتها الخاصة. ونادراً ما يكون ذلك صريحاً، لكنه دائماً مُكلِف.

صفقات الطلبات العمومية والحسابات الكبرى أدمجت منذ سنوات قليلة بنوداً للامتثال للجنة الوطنية. فملف عرض لا يستطيع تقديم الوصولات المطلوبة، أو يحمل إنذاراً تحذيرياً حديثاً، تتراجع نقطته. وفي الأسواق الأكثر حساسية (البنوك، التأمين، الاتصالات، القطاع العام)، يكون ذلك مُقصياً.

العناية الواجبة في عمليات الاندماج والاستحواذ ميدان يظهر فيه الأمر فوراً. فالمستحوذ أو المستثمر يفحص الامتثال كعامل مخاطرة مُرقَّم. وعدم الامتثال الموثَّق — خاصةً على التحويلات الدولية أو المعالجات الحساسة — يُترجم إلى تخفيض في سعر الشراء أو إلى بنود ضمان خصوم بأثر رجعي. وبالنسبة للعمليات بثمانية أرقام، تصبح رتب الحجم ذات دلالة.

الإصلاح المنتظر — التوقع بدل الاستجابة

يتردد في السوق المغربية منذ سنوات الحديث عن إصلاح للقانون 09-08 يُفترض أن يُحاذي جوانب معينة مع اللائحة العامة الأوروبية لحماية البيانات (GDPR). والمحاور المنتظرة:

  • تعزيز جوهري للعقوبات المالية، لتقريبها من المعيار الدولي
  • إلزامية الإشعار بتسريبات المعطيات داخل آجال قصيرة (تُحدِّد الفقه الأوروبي 72 ساعة)
  • تعزيز مكانة مسؤول حماية المعطيات (DPO) وإلزامية تعيينه في حالات أوسع
  • توسيع الحق في النسيان واستحداث الحق في قابلية النقل
  • تعزيز صلاحيات التحقيق والعقوبة لدى اللجنة

لا يُعرف حتى الآن جدول زمني رسمي ثابت، لكن الاتجاه واضح. وبالنسبة للمنظمات، فإن النتيجة العملية هي أنه من الأفضل الامتثال للإطار الحالي مع توقُّع المتطلبات اللاحقة للإصلاح. فاستثمار امتثال يُنجَز اليوم على الفقه الحالي قابل في غالبيته لإعادة الاستعمال غداً؛ في حين أن استثماراً يُنجَز تحت ضغط إصلاح دخل حيِّز التطبيق سيكون آلياً أكثر كلفة وأكثر استعجالاً.

استراتيجية التسوية

تنبثق عدة مبادئ من الممارسة الجارية حين نُرافق تسويةً. وهي لا تقوم مقام استشارة قانونية شخصية — فبالنسبة للحالات المعقدة، يبقى المحامي المتخصص هو المحاور الذي لا غنى عنه. لكنها تُعطي الخطوط العريضة.

أولاً، رسم الخريطة قبل التواصل. فالمنظمة التي تكتشف عدم امتثالها تُجرَّب على الاتصال الفوري باللجنة الوطنية لـ«الإقرار بنفسها». وهذه ليست أفضل مقاربة. والأفضل أن تبدأ بتدقيق شامل، وتُحدِّد جميع المخالفات، وتُرتِّبها بالأولوية، وتُكوِّن ملفات التسوية، ثم تنخرط بعد ذلك فقط في التواصل مع اللجنة. وإلا، عرَّضت نفسك للاضطرار إلى الاستكمال أو التصحيح باستمرار.

ثانياً، توثيق المسار. تكوين ملف داخلي يُؤرِّخ: تاريخ وعي المنظمة بعدم امتثالها، والتدقيق المُنجَز، وخطة العمل المُرقَّمة، والمراحل المُنفَّذة، وأدلة الامتثال التدريجي. ويُصبح هذا الملف العنصر المركزي للدفاع في حال التفتيش، ويُحوِّل مخالفة سلبية إلى مسار إيجابي.

أخيراً، تعبئة مكتب محاماة متخصص في الحالات الحساسة. فمخالفة تمس معطيات الصحة، أو القياسات الحيوية، أو حجماً كبيراً من معطيات الزبناء، تستحق نظرة محامٍ متخصص في قانون المعطيات. والتمييز بين التسوية الإدارية والاستراتيجية الجنائية ليس موضوعاً يُرتجل. ودورنا كمكتب استشاري — في DataSouv — هو تغطية الجانب التشغيلي؛ أما النطاق القانوني المحض فيعود إلى المحامي.

للاستزادة

أفضل استراتيجية في مواجهة عقوبات اللجنة الوطنية هي ألا تتعرض لها. قد يبدو ذلك تحصيلَ حاصل؛ وفي الواقع، فهو استثمار معتدل وموثَّق جيداً في الأعلى، يُجنِّب نتائج ضعيفة التوثيق في الأسفل. وهو أساساً المبادلة الأكثر عقلانية لأي إدارة تأخذ المعطيات على محمل الجد.

هشام ع. — متخصص في اللجنة الوطنية لحماية المعطيات واللائحة العامة لحماية البيانات (GDPR)، مساهم في DataSouv. مقال راجعه وصادق عليه أمين ريس، المؤسس.

أسئلة شائعة

ما هي مبالغ العقوبات المالية الصادرة عن اللجنة الوطنية لحماية المعطيات؟

ينص القانون 09-08 على غرامات إدارية وجنائية تُحدَّد عتباتها بالنصوص. وتبقى متواضعة مقارنةً باللائحة العامة الأوروبية لحماية البيانات (GDPR) (التي قد تبلغ 4% من رقم المعاملات العالمي). يُنتظر منذ سنوات إصلاح يُقرِّب الصرامة المالية من المعيار الدولي، دون جدول زمني رسمي ثابت إلى اليوم. وللاطلاع على المبالغ الدقيقة السارية، يُرجى الرجوع إلى النصوص المنشورة بالجريدة الرسمية.

ما هي المخاطر الجنائية الشخصية على المسيرين؟

ينص القانون 09-08 على عقوبات جنائية تنطبق على المخالفات الواضحة: الجمع الاحتيالي، رفض الحقوق، إغفال التصريح، الإفشاء غير المشروع. وقد تشمل هذه العقوبات السجن. ويمكن تحريك المسؤولية الجنائية للمسيِّر شخصياً في الحالات الأشد خطورة. وهذا نادر في الواقع، غير أنه خطر حقيقي يجب أخذه بعين الاعتبار في الحوكمة.

ماذا يحدث فعلياً خلال تفتيش اللجنة الوطنية؟

يمكن للجنة طلب الإدلاء بالوثائق، وإجراء تفتيش ميداني، وفتح تحقيقات إثر شكاية أو تلقائياً. والمسطرة تواجهية: تُبلَّغ، وتُتاح لك فرصة الرد والإدلاء بأدلتك وتبرير مقاربتك. وهذه هي اللحظة التي يأسف فيها المرء على عدم إعداد الملف مسبقاً.

هل التسوية التلقائية تُعامَل فعلاً معاملة أفضل؟

نعم تجريبياً. تُميِّز اللجنة الوطنية، كأغلب سلطات حماية المعطيات، في مبدأ التدرج لديها، بين المنظمات التي تنخرط بحسن نية في مسار الامتثال (وإن متأخراً) وتلك التي تقاوم أو تُنكر. والتسوية التلقائية، خاصةً حين ترافقها خريطة كاملة ومسار امتثال موثَّق، تُغيِّر طبيعة الملف. ليس ضماناً، لكنه فرق حقيقي.

وماذا لو كنت في مرمى مشتكٍ؟

يمكن لكل شخص أن يرفع شكاية مُعلَّلة إلى اللجنة الوطنية. وهذا مُستعمل بكثرة في الواقع، خصوصاً من قِبل الأجراء في نزاع مع مشغليهم، والزبناء غير الراضين، والمرشحين المرفوضين. وتُحرِّك الشكاية تحقيقاً. وأفضل دفاع هو الدفاع الوثائقي: سجل محدَّث، ومسطرة موثَّقة لمعالجة طلبات الحقوق، وأدلة على ردود سابقة. وبدون هذه العناصر، يميل التحقيق إلى الانتهاء بصورة غير مواتية حتى حين كانت المخالفة الأصلية طفيفة.

للتعمق أكثر

مقالات ذات صلة

دليل

الامتثال للجنة الوطنية بالمغرب — الدليل الشامل 2026

دليل شامل لسنة 2026: نطاق تطبيق القانون 09-08، استمارات F211 وF214 وF112 وF118، الحقوق، الأمن، النقل الدولي للبيانات، العقوبات. مادة بمادة.
دليل

المادة 23 من القانون 09-08: الأمن الإلزامي

تفرض المادة 23 جميع الاحتياطات المفيدة: TLS وHSTS وCSP ورؤوس HTTP وإدارة الوصول والتسجيل الزمني والنسخ الاحتياطية والإخطار بالحوادث.
دليل

شريط ملفات تعريف الارتباط (cookies) لدى اللجنة الوطنية — الامتثال الحقيقي

حجب أدوات التتبع في وقت التشغيل، تفصيل حسب الفئة، إثبات مؤرشف، انسحاب بسيط. ما الذي يجتاز وما الذي لا يجتاز تدقيق اللجنة الوطنية بالمغرب.
وضع موضع التطبيق

تدقيق موقعي الآن

نتيجة فورية للامتثال للجنة الوطنية وأمن الموقع واللائحة العامة الأوروبية في أقل من دقيقة، دون تسجيل. مكمل طبيعي لقراءة هذا الدليل.

إطلاق التدقيق المجانيالتحدث مع Amine Rais