Aller au contenu
Oussama Rafi
AR Démarrer un projet
العربية Démarrer un projet

· 9 min de lecture

Anonymiser et masquer ses données avant de les envoyer à une IA : méthode pour le Maroc

Envoyer un fichier client brut à ChatGPT, c'est exposer des données personnelles hors du Maroc. Voici une méthode concrète pour anonymiser, pseudonymiser et masquer vos PII avant l'IA, tout en restant conforme à la loi 09-08.

anonymisation données IAloi 09-08confidentialité IA Marocpseudonymisationmasquage PIIintelligence artificielle entreprise
Illustration de l'article : Anonymiser et masquer ses données avant de les envoyer à une IA : méthode pour le Maroc

Pourquoi anonymiser ses données avant de les envoyer à une IA

Au Maroc, des centaines de PME, cabinets et e-commerçants collent désormais leurs données dans ChatGPT, Claude ou Gemini pour gagner du temps : analyser un fichier de ventes, rédiger une relance client, trier des CV, résumer des avis. Le problème, c'est que ces fichiers contiennent presque toujours des données à caractère personnel : noms, numéros de CIN, téléphones, adresses, numéros de commande, parfois des données de santé ou bancaires.

Quand vous envoyez ce contenu à un service d'IA, vos données quittent le Maroc pour transiter et être traitées sur des serveurs aux États-Unis ou en Europe, hors de votre contrôle. C'est exactement le type de transfert que la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel encadre strictement, sous la supervision de la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel).

La bonne nouvelle : vous n'êtes pas obligé de renoncer à l'IA. Dans 90 % des cas, l'IA n'a pas besoin de savoir que le client s'appelle Karim Benjelloun ni que son numéro est le 06 12 34 56 78. Elle a besoin de la structure et du contexte, pas de l'identité réelle. C'est tout l'enjeu de l'anonymisation et de la pseudonymisation : exploiter la puissance de l'IA en remplaçant les informations sensibles par des substituts neutres avant l'envoi.

Loi 09-08 et CNDP : ce que dit le cadre marocain

Beaucoup de dirigeants pensent que la loi 09-08, adoptée en 2009, est trop ancienne pour concerner l'IA. C'est une erreur : le texte ne parle pas de technologie précise, il encadre tout traitement de données personnelles, quel que soit l'outil. Envoyer un fichier client à une IA étrangère, c'est à la fois un traitement et un transfert de données vers l'étranger.

Concrètement, plusieurs principes vous concernent directement :

  • Finalité et proportionnalité : vous ne devez traiter que les données strictement nécessaires. Envoyer un fichier complet alors que l'IA n'a besoin que des montants, c'est déjà disproportionné.
  • Consentement de la personne : la collecte et le traitement supposent en principe le consentement, et vos clients n'ont pas consenti à voir leurs données envoyées à un service tiers à l'étranger.
  • Transfert vers l'étranger encadré : le transfert de données personnelles hors du Maroc nécessite que le pays de destination assure un niveau de protection suffisant, ou une autorisation de la CNDP.
  • Sanctions réelles : la loi prévoit des amendes et des peines en cas de manquement, et une plainte d'un client ou d'un concurrent suffit à déclencher un contrôle.

Le point clé à retenir : des données réellement anonymisées ne sont plus des données personnelles. Si l'IA ne peut plus rattacher une information à une personne identifiable, l'essentiel du risque juridique disparaît. C'est la raison pour laquelle l'anonymisation des données avant l'IA au Maroc n'est pas un luxe technique, mais une stratégie de mise en conformité à part entière.

Anonymisation, pseudonymisation, masquage : ne pas confondre

Ces trois mots sont souvent utilisés comme synonymes, alors qu'ils désignent des techniques très différentes avec des niveaux de protection distincts. Bien les distinguer vous évite de croire que vous êtes protégé alors que vous ne l'êtes pas.

  • Anonymisation : on supprime ou on transforme la donnée de façon irréversible. Impossible de remonter à la personne, même en croisant d'autres fichiers. Une fois anonymisée, la donnée sort du champ de la loi 09-08. C'est le niveau le plus sûr, mais aussi celui qui fait perdre le plus d'information.
  • Pseudonymisation : on remplace chaque donnée identifiante par un substitut cohérent (par exemple « Client_001 » à la place de « Karim Benjelloun »), avec une table de correspondance conservée chez vous, au Maroc. Réversible de votre côté uniquement. L'IA travaille sur les pseudonymes, vous réassociez les vrais noms à la fin.
  • Masquage (data masking) : on cache une partie de la donnée tout en gardant son format. Le téléphone « 0612345678 » devient « 06******78 ». Utile quand l'IA a besoin de reconnaître qu'il s'agit d'un numéro, mais pas du numéro exact.

Dans la pratique, une bonne méthode combine les trois : on masque ce qui doit garder un format reconnaissable, on pseudonymise ce qu'il faudra réassocier ensuite, et on anonymise purement ce dont l'IA n'a aucun besoin. L'objectif est toujours le même : garder juste assez de signal pour que l'IA soit utile, sans jamais exposer une identité réelle.

Identifier les PII dans vos fichiers marocains

Avant de masquer quoi que ce soit, encore faut-il savoir quoi masquer. Les PII (informations personnelles identifiables) ne se limitent pas au nom et au prénom. Au Maroc, certaines données ont des formats bien spécifiques qu'il faut repérer systématiquement.

Voici les catégories à traquer dans vos exports Excel, CRM, factures ou messages :

  • Identité directe : nom, prénom, raison sociale d'un client individuel.
  • CIN : carte d'identité nationale, format type 2 lettres + 6 chiffres (ex. AB123456), très sensible.
  • Téléphone marocain : 06, 07 pour le mobile, ou +212 à l'international.
  • Adresse e-mail et adresse postale : quartier, ville, parfois géolocalisation précise.
  • Identifiants financiers : RIB, numéro de carte, montants nominatifs.
  • Données sensibles : santé (cabinets médicaux), religion, situation familiale, données de mineurs.
  • Identifiants techniques : numéro de commande, matricule, plaque d'immatriculation, qui peuvent indirectement réidentifier une personne.

Le piège le plus fréquent est l'identification indirecte : même sans le nom, un fichier qui contient « femme, 34 ans, quartier Agdal Rabat, consultation rhumatologie le 12 mars » peut suffire à reconnaître une patiente unique. C'est pourquoi un audit sérieux des champs présents dans vos données est la première étape, avant tout envoi à une IA.

Méthode concrète en 5 étapes pour anonymiser avant l'IA

Voici un déroulé applicable dès aujourd'hui, du fichier brut jusqu'à la réponse exploitable. Cette anonymisation des données avant l'IA, adaptée au contexte marocain, fonctionne aussi bien pour un commerce que pour un cabinet ou une boutique en ligne.

  1. Cartographier les champs. Ouvrez votre fichier et listez chaque colonne. Marquez en rouge tout ce qui est PII (nom, CIN, téléphone), en orange ce qui est indirectement identifiant (date + ville + service), en vert ce qui est neutre (montant, catégorie, statut).
  2. Décider du traitement par champ. Pour chaque champ rouge ou orange, choisissez : supprimer (l'IA n'en a pas besoin), pseudonymiser (vous devrez réassocier ensuite) ou masquer (garder le format). Exemple : un fichier de relances impayés n'a besoin que de « Client_001 », du montant et du nombre de jours de retard.
  3. Filtrer en local. Faites le remplacement sur votre poste, jamais en ligne. Un script Python avec une bibliothèque de détection de PII, une macro Excel de recherche-remplacement, ou un outil hors ligne. Aucune donnée brute ne doit transiter par un service tiers à cette étape.
  4. Conserver la table de correspondance chez vous. Si vous pseudonymisez, le tableau « Client_001 = Karim Benjelloun » reste sur votre machine ou votre serveur au Maroc, idéalement chiffré. C'est cette table qui permet la réversibilité de votre côté uniquement.
  5. Envoyer, traiter, réassocier. Vous envoyez le fichier nettoyé à l'IA, vous récupérez le résultat (analyse, texte, tri), puis vous réinjectez les vrais noms localement grâce à votre table. L'IA n'aura jamais vu une seule donnée identifiante.

Exemple chiffré : un e-commerçant de Casablanca veut faire analyser 3 000 commandes par une IA pour détecter les profils de clients fidèles. En pseudonymisant les noms et en masquant les téléphones avant l'envoi, il obtient la même analyse marketing sans jamais exposer un seul contact réel. Le surcoût de préparation, une fois le filtre mis en place, est quasi nul.

Filtrage local et outils : garder la donnée brute au Maroc

Le principe directeur est simple : la donnée brute ne doit jamais sortir de votre périmètre. Tout le travail de détection et de remplacement se fait en local, et seul le résultat anonymisé part vers l'IA. Plusieurs approches existent selon votre maturité technique.

  • Manuel et semi-automatique : pour un petit volume, un copier-coller nettoyé à la main ou une feuille Excel avec des formules de remplacement suffit. Lent mais sans coût.
  • Scripts de filtrage local : un script Python utilisant des bibliothèques de reconnaissance d'entités (PII detection) repère automatiquement noms, e-mails et téléphones et les remplace par des jetons. Idéal pour des fichiers récurrents.
  • IA locale (open source) : pour les données vraiment sensibles, des modèles comme Llama ou Mistral tournent sur votre propre serveur. La donnée ne quitte alors jamais le Maroc, ce qui résout d'emblée la question du transfert à l'étranger.
  • Passerelle d'anonymisation : une couche logicielle placée entre vos outils et l'API d'IA, qui masque automatiquement les PII à la volée. C'est l'approche la plus robuste pour une entreprise qui utilise l'IA au quotidien.

C'est précisément le genre d'architecture qu'Oussama Rafi conçoit pour les entreprises marocaines : une intégration d'IA sur mesure (API OpenAI, Claude, RAG, agents) avec une couche de filtrage local des données personnelles, pour que vos équipes profitent de l'IA sans jamais exposer un fichier client. Selon le besoin, cela va du simple script d'anonymisation à un assistant interne déployé sur votre propre infrastructure.

Cas d'usage marocains : ce qui change selon votre métier

La méthode reste la même, mais le niveau d'exigence dépend fortement de la nature de vos données. Voici comment l'adapter aux situations les plus courantes au Maroc.

  • Cabinet médical ou juridique : données de santé et secret professionnel. Ici, on privilégie l'anonymisation totale ou une IA locale ; aucune donnée patient nominative ne doit jamais atteindre un service en ligne.
  • E-commerce : fichiers clients volumineux, commandes, paiements. La pseudonymisation est reine : on analyse les comportements d'achat sans exposer les identités.
  • Cabinet comptable ou RH : bulletins de paie, CIN, RIB. Masquage systématique des identifiants financiers et des CIN avant toute analyse ou tri automatisé de CV.
  • Service client et chatbot WhatsApp : les conversations contiennent noms et numéros. Un chatbot IA bien conçu filtre les PII avant de les transmettre au modèle et ne logge pas les données sensibles en clair.

Dans tous les cas, le réflexe à ancrer dans vos équipes est le même : avant de coller quoi que ce soit dans une IA, on se demande si un humain extérieur pourrait identifier une personne à partir de ce texte. Si la réponse est oui, on anonymise. Cette discipline simple, couplée à un outil de filtrage automatique, vous protège juridiquement tout en libérant la productivité que l'IA peut réellement apporter à une PME marocaine.

Questions fréquentes

Est-il illégal d'envoyer des données clients à ChatGPT au Maroc ?

Ce n'est pas interdit en soi, mais envoyer des données personnelles non anonymisées à un service d'IA étranger constitue un traitement et un transfert hors du Maroc encadrés par la loi 09-08. Sans consentement et sans garanties suffisantes, vous vous exposez à une plainte et à un contrôle de la CNDP. La solution est d'anonymiser ou de pseudonymiser avant l'envoi.

Quelle différence entre anonymisation et pseudonymisation ?

L'anonymisation est irréversible : on ne peut plus remonter à la personne, et la donnée sort du champ de la loi 09-08. La pseudonymisation remplace les identifiants par des substituts (Client_001) avec une table de correspondance que vous gardez chez vous : c'est réversible de votre côté uniquement, idéal quand vous devez réassocier les vrais noms après le traitement par l'IA.

Faut-il un outil technique pour anonymiser mes fichiers ?

Pas forcément. Pour de petits volumes, un nettoyage manuel ou des formules Excel suffisent. Dès que le besoin devient récurrent, un script de filtrage local ou une passerelle d'anonymisation automatise le masquage des PII. Pour les données très sensibles, une IA locale (open source) sur votre propre serveur évite tout transfert hors du Maroc.

Comment l'IA peut-elle être utile si je masque les noms et numéros ?

Parce que l'IA travaille sur la structure et le contexte, pas sur l'identité. Pour analyser des ventes, trier des CV ou rédiger des relances, elle n'a besoin ni du nom réel ni du numéro exact. Vous lui fournissez des données pseudonymisées, vous récupérez le résultat, puis vous réinjectez les vrais noms en local. Le service rendu est identique, le risque en moins.

👉 Envie de mettre l'IA au service de votre entreprise ? Découvrez mes services d'intelligence artificiellechatbots, automatisation et intégration sur-mesure pour les entreprises au Maroc.

Un projet de site web ? Parlons-en.

Devis gratuit et sans engagement. Je vous réponds rapidement, en français ou en arabe.

Demander un devis WhatsApp

Rabat, Maroc · +212 6 26 81 62 45

WhatsApp