تخطَّ إلى المحتوى
Oussama Rafi
FR ابدأ مشروعك
Français ابدأ مشروعك

· 9 دقيقة قراءة

الذكاء الاصطناعي والامتثال للقانون 09-08 / CNDP: ما يجب أن تعرفه كل شركة مغربية

إنّ نشر روبوت دردشة أو أتمتة بالذكاء الاصطناعي دون احترام القانون 09-08 يعرّض شركتك لعقوبات الـCNDP. إليك بوضوح التزاماتك وكيفية تغطيتها.

صورة المقال: الذكاء الاصطناعي والامتثال للقانون 09-08 / CNDP: ما يجب أن تعرفه كل شركة مغربية

روبوت دردشة على WhatsApp يجمع رقم عملائك واسمهم وسجل مشترياتهم. أتمتة تستخرج فواتيرك لمتابعة المتأخرات. وكيل ذكاء اصطناعي موصول بـOpenAI يرسل كل رسالة عميل نحو خوادم أمريكية. هذه الحالات الثلاث، المألوفة في أي مشروع ذكاء اصطناعي، تُفعّل بالضبط الالتزامات القانونية نفسها بالمغرب التي يفعّلها أي ملف عملاء تقليدي. وسلطة المراقبة، الـCNDP، لا تمنح أي استثناء لأنك تستخدم الذكاء الاصطناعي.

إنّ القانون 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي ساري المفعول منذ سنة 2009، أي قبل انفجار روبوتات الدردشة بكثير. لكن بالضبط لأنه محايد تكنولوجياً فإنه ينطبق بشكل كامل على مشاريعك في الذكاء الاصطناعي. يفكّك هذا المقال ما يعنيه ذلك عملياً، دون مصطلحات قانونية لا لزوم لها، بالنسبة لمقاولة صغرى أو متوسطة، أو مكتب، أو متجر إلكتروني مغربي.

القانون 09-08 والـCNDP: لماذا يعنيك مشروعك في الذكاء الاصطناعي

يحمي القانون 09-08 كل معطى ذي طابع شخصي، أي كل معلومة تتيح التعرف على شخص ذاتي، بشكل مباشر أو غير مباشر: الاسم، رقم الهاتف، البريد الإلكتروني، البطاقة الوطنية، عنوان IP، تحديد الموقع الجغرافي، بل وكذلك سجل المحادثة مع روبوت الدردشة الخاص بك.

أمّا الـCNDP (اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي) فهي السلطة التي تسهر على احترام هذا القانون. فهي تتلقى التصاريح، وتحقق في الشكايات، ويمكنها إصدار العقوبات.

بمجرد أن يقوم مشروع ذكاء اصطناعي بـجمع أو تخزين أو تحليل معطيات شخصية، تصبح أنت المسؤول عن المعالجة بمفهوم القانون. وعملياً، يُعنى بذلك:

  • روبوت دردشة لخدمة العملاء يحفظ المراسلات ومعطيات الاتصال الخاصة بالزوار.
  • أتمتة الفواتير أو عروض الأسعار التي تعالج معطيات اتصال العملاء ومشترياتهم.
  • نظام أخذ المواعيد الذكي لمكتب طبي أو قانوني.
  • محرك توصيات لمتجر إلكتروني يرسم ملف سلوك الشراء.

كون المعالجة تُنجَز بخوارزمية لا بموظف لا يغيّر شيئاً من مسؤوليتك. بل إنه عامل مشدِّد حين يؤثر القرار المؤتمت في الشخص (منح قرض، رفض خدمة).

التصريح لدى الـCNDP: الخطوة التي ينساها 90٪ من مشاريع الذكاء الاصطناعي

قبل وضع معالجة لمعطيات شخصية في الإنتاج، يجب عليك من حيث المبدأ التصريح بها لدى الـCNDP. إنها إجراء قبلي، لا خيار. كثير من الشركات تطلق روبوت دردشة بين عشية وضحاها دون هذه الخطوة، ظناً منها أنها تخص فقط الهياكل الكبرى.

حسب طبيعة المعالجة، يوجد نظامان:

  • التصريح البسيط: بالنسبة لأغلب المعالجات الجارية (تدبير العملاء، التنقيب، خدمة ما بعد البيع عبر روبوت الدردشة). إنها مسطرة تصريحية على الخط عبر بوابة الـCNDP.
  • الإذن القبلي: بالنسبة للمعالجات المسماة حساسة، مثلاً المعطيات الصحية (مكتب طبي)، أو المعطيات البيومترية، أو نقل المعطيات نحو الخارج. هنا، يجب عليك الحصول على الضوء الأخضر قبل الانطلاق.

الخطوات العملية لمقاولة صغرى أو متوسطة:

  1. رسم خريطة للمعطيات التي يجمعها ذكاؤك الاصطناعي فعلاً (غالباً أكثر مما هو متوقع: روبوت الدردشة يسجل كل شيء).
  2. تحديد الغاية الدقيقة من المعالجة (مثال: «الرد على طلبات خدمة ما بعد البيع»، لا «القيام بكل شيء»).
  3. إنشاء حساب على بوابة الـCNDP وملء استمارة التصريح.
  4. الاحتفاظ بوصل التصريح: فهو دليل حسن نيتك في حال المراقبة.

الكلفة المباشرة للتصريح ضعيفة، لكن عمل رسم الخريطة والتحرير يتطلب صرامة. إنّ المواكبة من طرف مزوّد يعرف في آن واحد الذكاء الاصطناعي والقانون 09-08 يتجنب التصريح بغاية واسعة أكثر من اللازم (ما يقيّدك لاحقاً) أو ضيقة أكثر من اللازم (ما يجعل استخدامك غير قانوني).

الموافقة والإخبار: على روبوت دردشتك أن يلعب بأوراق مكشوفة

يفرض القانون 09-08 أن يستند جمع المعطيات إلى أساس قانوني، وفي الغالب موافقة الشخص، وأن يكون هذا الأخير مُخبَراً بوضوح. مع روبوت دردشة أو أتمتة بالذكاء الاصطناعي، يُترجَم ذلك إلى التزامات ملموسة جداً.

يجب أن تكون الموافقة حرة ومحددة ومستنيرة. على روبوت الدردشة، يعني ذلك:

  • رسالة استقبال تنبّه إلى أنّ المحادثة مُسجَّلة ومُعالَجة.
  • خانة للتأشير أو زر للتصديق قبل أي جمع على استمارة ويب.
  • منع الخانات المؤشَّر عليها مسبقاً افتراضياً، إذ تُعتبر موافقة غير صالحة.

أمّا واجب الإخبار فيفترض أن تُبيّن للشخص، بلغة بسيطة:

  • من هو المسؤول عن المعالجة (شركتك، معطيات اتصالها).
  • لماذا تجمع معطياته (الغاية).
  • ما إذا كانت المعطيات تُنقَل إلى أطراف ثالثة أو خارج المغرب.
  • كيفية ممارسة حقوقه: الولوج، التصحيح، التعرّض، الحذف.

نقطة كثيراً ما تُهمَل مع الذكاء الاصطناعي: إذا اتخذ روبوت دردشتك قراراً مؤتمتاً ذا أثر مهم (رفض، تسعير ديناميكي، تنقيط)، يجب أن يتمكن الشخص من طلب تدخل بشري. إنّ تصميم «نقطة الخروج نحو إنسان» منذ البداية ممارسة جيدة قانونياً وتجارياً على حد سواء. وهذا بالضبط نوع الضمانة التي أُدمجها حين أصمّم روبوت دردشة بالذكاء الاصطناعي متعدد اللغات (الفرنسية، العربية، الدارجة) لزبنائي: فالامتثال ليس طبقة تُضاف لاحقاً، بل هو في صلب البنية.

نقل البيانات خارج المغرب: النقطة السوداء في واجهات OpenAI وClaude

هذه هي الزاوية الأكثر بخساً في مشاريع الذكاء الاصطناعي المغربية. تعتمد أغلب روبوتات الدردشة والوكلاء على واجهات API أجنبية: OpenAI (الولايات المتحدة)، Anthropic (Claude، الولايات المتحدة)، Google Gemini، إلخ. كل نداء إلى واجهات API هذه يُخرج المعطيات الشخصية من التراب المغربي.

غير أنّ المادة 43 من القانون 09-08 تؤطّر بصرامة نقل المعطيات نحو بلد أجنبي. فالنقل لا يُرخَّص إلا إذا كان البلد المستقبِل يضمن مستوى حماية كافياً، أو إذا حظي بـإذن خاص من الـCNDP. وعملياً، لا يمكنك، افتراضياً، إرسال محادثات عملائك المغاربة نحو خادم أمريكي دون احتياطات.

الحلول القابلة للتفعيل، حسب درجة المتانة:

  • تقليص المعطيات المُرسَلة إلى الـAPI: إخفاء الهوية أو استخدام أسماء مستعارة قبل النداء (تعويض الاسم والرقم بمعرّف داخلي). وهذا غالباً ما يكون كافياً وبسيطاً تقنياً.
  • تأطير النقل تعاقدياً عبر بنود حماية، والحصول على إذن الـCNDP بشأن النقل.
  • استضافة المعطيات الحساسة بالمغرب وعدم تمرير سوى الضروري القصوى نحو الذكاء الاصطناعي.
  • استخدام نماذج ذاتية الاستضافة (مفتوحة المصدر مثل Llama أو Mistral) على خادم محلي، للحالات الأكثر حساسية (الصحة، المالية).

بالنسبة لمكتب طبي أو فاعل في التجارة الإلكترونية يعالج آلاف الملفات، فإنّ بنية استخدام الأسماء المستعارة ليست ترفاً: إنها شرط استخدام الذكاء الاصطناعي التوليدي دون أن تعرّض نفسك. وإذا أُحسن تصميمها منذ التصور، فإنها لا تثقل كلفة المشروع ولا أداءه.

العقوبات والكلفة: كم تخاطر فعلاً شركة مغربية

عدم الامتثال ليس مجرد مخاطرة نظرية. ينص القانون 09-08 على عقوبات جنائية ومالية. ودون الدخول في تفاصيل كل مادة، احتفظ بالجوهري:

  • غرامات يمكن أن تصل، حسب المخالفات (معالجة دون تصريح، جمع غير نزيه، نقل غير مشروع)، من بضعة آلاف إلى عدة مئات الآلاف من الدرهم.
  • عقوبات حبسية منصوص عليها بالنسبة لأخطر الإخلالات.
  • الأمر بوقف المعالجة، الذي قد يعني فصل روبوت دردشتك بين عشية وضحاها.
  • المخاطرة المتعلقة بالسمعة: شكاية عميل تتناقلها وسائل الإعلام تُحدث ضرراً أكبر من غرامة.

وهذا في مقابل كلفة الامتثال، الأكثر تواضعاً بكثير:

  • رسم الخريطة والتصريح لدى الـCNDP مع المواكبة: عموماً من 3٬000 إلى 8٬000 درهم لمشروع ذكاء اصطناعي بسيط.
  • إرساء آليات الموافقة والإخبار: مُدمَجة في تطوير روبوت الدردشة، بضعة آلاف درهم إضافية.
  • بنية استخدام الأسماء المستعارة لعمليات النقل: متغيرة حسب التعقيد، لكنها تُقارَن بكلفة إنذار رسمي.

بعبارة أخرى، يكلّف الامتثال جزءاً يسيراً مما تكلّفه حادثة. إنه استثمار في الطمأنينة، لا نفقة.

قائمة تحقق الامتثال للقانون 09-08 لمشروع ذكاء اصطناعي بالمغرب

إليك شبكة ملموسة للمصادقة عليها قبل إطلاق أي روبوت دردشة أو أتمتة بالذكاء الاصطناعي:

  • جرد المعطيات الشخصية التي يجمعها الذكاء الاصطناعي فعلاً.
  • غاية موثَّقة ومحدودة (لا جمع «تحسّباً»).
  • تصريح أو إذن لدى الـCNDP مُودَع، والوصل محفوظ.
  • رسالة إخبار واضحة يعرضها روبوت الدردشة منذ أول اتصال.
  • جمع الموافقة الصريحة (لا خانة مؤشَّر عليها مسبقاً).
  • مدة الاحتفاظ محدَّدة وحذف تلقائي للمحادثات القديمة.
  • عمليات النقل خارج المغرب محدَّدة (واجهات OpenAI، Claude…) ومؤطَّرة (أسماء مستعارة، إذن).
  • مسطرة ممارسة الحقوق (الولوج، الحذف) شغّالة.
  • نقطة خروج نحو إنسان في حال قرار مؤتمت مهم.
  • تدابير أمنية: التشفير، الولوج المحدود، تسجيل العمليات.

إذا أشّرت على كامل هذه القائمة، فإنّ مشروعك في الذكاء الاصطناعي يقوم على أسس متينة. وإذا بقيت عدة خانات فارغة، فأنت تتقدم بمخاطرة قانونية حقيقية.

الخبر السار هو أنّ الامتثال للقانون 09-08 واستخدام الذكاء الاصطناعي لا يتعارضان. بل يُصمَّمان معاً. حين أطوّر حلاً بالذكاء الاصطناعي لشركة مغربية، أُدمج بُعد الـCNDP منذ دفتر التحملات: تقليص المعطيات، موافقة أصيلة، أسماء مستعارة قبل واجهات API. وإذا كان لديك مشروع روبوت دردشة أو أتمتة وكانت مسألة الامتثال تكبحك، فلنتحدث عنها: تدقيق حالتك يأخذ وقتاً يسيراً ويوضّح فوراً ما هو مطابق وما ليس كذلك.

أسئلة شائعة

هل يجب أن أصرّح بروبوت دردشتي بالذكاء الاصطناعي لدى الـCNDP حتى لو كانت شركة صغيرة؟

نعم. لا يميّز القانون 09-08 حسب الحجم. بمجرد أن يجمع روبوت دردشتك معطيات شخصية (الاسم، الرقم، البريد الإلكتروني، سجل المحادثة)، تصبح مسؤولاً عن المعالجة ويجب أن تصرّح بالمعالجة لدى الـCNDP قبل وضعها في الإنتاج. فمقاولة صغرى جداً معنية بذلك كشركة كبيرة.

هل استخدام واجهة API الخاصة بـOpenAI أو Claude لروبوت دردشتي ممنوع بالمغرب؟

ليس ممنوعاً، لكنه مؤطَّر. هذه الواجهات المستضافة بالخارج تستتبع نقل معطيات خارج المغرب، تحكمه المادة 43 من القانون 09-08. الحل الأبسط هو استخدام أسماء مستعارة أو إخفاء هوية المعطيات قبل النداء إلى الـAPI، حتى لا تنقل معلومات تحدد الهوية مباشرة.

ما الفرق بين التصريح البسيط والإذن القبلي لدى الـCNDP؟

يكفي التصريح البسيط لأغلب المعالجات الجارية (خدمة العملاء، التنقيب). أمّا الإذن القبلي فمطلوب للمعالجات الحساسة: المعطيات الصحية، المعطيات البيومترية، أو نقل المعطيات نحو الخارج. في هذه الحالة الأخيرة، يجب أن تحصل على الضوء الأخضر من الـCNDP قبل الانطلاق.

كم تكلّف مطابقة مشروع ذكاء اصطناعي للقانون 09-08؟

بالنسبة لمشروع ذكاء اصطناعي بسيط، يتراوح رسم الخريطة والتصريح لدى الـCNDP مع المواكبة عموماً ما بين 3٬000 و8٬000 درهم. أمّا آليات الموافقة وبنية الأسماء المستعارة فتُدمَج في التطوير. وهذا جزء يسير من كلفة حادثة أو عقوبة من الـCNDP.

👈 هل ترغب في تسخير الذكاء الاصطناعي لصالح شركتك؟ اكتشف خدمات الذكاء الاصطناعيروبوتات المحادثة، الأتمتة و الدمج المُخصّص للشركات في المغرب.

هل لديك مشروع؟ لنتحدّث.

عرض ثمن مجاني وبدون التزام. أرد عليك بسرعة، بالعربية أو بالفرنسية.

اطلب عرض ثمن كل المقالات
واتساب