IA générative en entreprise au Maroc : du risque juridique à la gouvernance souveraine

L’enjeu n’est plus de savoir si les collaborateurs utilisent ChatGPT, Copilot, Claude ou d’autres outils d’IA générative. Dans beaucoup d’entreprises marocaines, ces usages existent déjà : rédaction d’e-mails, analyse de contrats, synthèse de documents, préparation de notes internes, traduction ou recherche rapide.

Le vrai sujet est ailleurs : quelles données sortent de l’entreprise, dans quel contexte, avec quelles garanties, et sous quelle responsabilité ?

Lorsqu’un collaborateur copie-colle un contrat, une réclamation client, un dossier RH ou une note juridique dans un outil d’IA externe, il ne fait pas qu’utiliser un assistant numérique. Il peut déclencher des risques liés aux données personnelles, au secret des affaires, à la confidentialité contractuelle, à la cybersécurité et, dans certains cas, à la loi 05-20.

Pour une entreprise marocaine, la bonne réponse n’est donc pas seulement d’interdire ou d’autoriser ChatGPT. La vraie réponse consiste à mettre en place une gouvernance claire de l’IA générative : classification des données, anonymisation, contrôle des accès, traçabilité, validation humaine et, lorsque c’est nécessaire, architecture souveraine.

Le vrai sujet n’est pas ChatGPT, c’est le flux de données

Le risque ne vient pas uniquement de l’outil choisi. Il vient surtout du type d’information envoyé, de la manière dont cette information est contextualisée et de ce que le prestataire peut en faire ensuite.

Un prompt peut contenir des données personnelles, des données clients, des contrats, des informations RH, des secrets d’affaires, des données financières, des documents juridiques ou des éléments stratégiques. Il peut aussi contenir plus d’informations sensibles qu’un document formel, parce qu’il combine souvent le contexte, l’intention, les noms, les montants, les dates et les problématiques internes.

Par exemple, demander à une IA de “résumer ce litige avec ce salarié, dans telle ville, sur telle période, avec tel montant réclamé” peut suffire à révéler indirectement une situation identifiable, même si le nom de la personne n’est pas mentionné. La gouvernance de l’IA doit donc regarder le flux d’information dans son ensemble, pas seulement le nom de l’outil.

Données personnelles et CNDP : pourquoi l’usage IA doit être encadré dès le départ

Dès que des données personnelles sont intégrées dans un prompt, l’entreprise doit se poser plusieurs questions opérationnelles : quelle est la base du traitement, où les données sont envoyées, sont-elles stockées, réutilisées ou transférées, les personnes concernées sont-elles suffisamment informées, et le prestataire IA offre-t-il des garanties suffisantes ?

Au Maroc, la loi 09-08 et les exigences de conformité CNDP restent centrales. L’entreprise ne peut pas considérer qu’un usage ponctuel d’IA échappe au cadre de protection des données simplement parce qu’il prend la forme d’un prompt. Si des données identifiantes ou indirectement identifiantes sont traitées, l’usage doit être documenté, encadré et cohérent avec les finalités déclarées ou autorisées.

Dans une logique de conformité CNDP, le problème n’est pas seulement la présence d’un nom ou d’une adresse. C’est aussi la combinaison de plusieurs éléments qui permet d’identifier indirectement une personne : fonction, employeur, litige, ville, montant, date ou historique d’échange.

Confidentialité, contrats et secret des affaires : le risque souvent sous-estimé

Même lorsqu’aucune donnée personnelle n’est présente, l’entreprise peut exposer des informations confidentielles. Les clauses contractuelles, les stratégies de négociation, les prix, les litiges, les dossiers fournisseurs, les due diligences et les documents internes peuvent tous perdre leur valeur stratégique s’ils circulent dans un environnement non maîtrisé.

Le risque est particulièrement important pour les équipes juridiques, financières, RH, commerciales et achats. Elles manipulent des informations qui ne sont pas toujours “personnelles” au sens de la loi 09-08, mais qui peuvent être protégées par le secret des affaires, un accord de confidentialité, une clause contractuelle ou une obligation professionnelle.

Un document anonymisé peut rester sensible s’il révèle une stratégie commerciale, une position juridique ou une information non publique.

Quand l’IA générative devient aussi un sujet de cybersécurité 05-20

Pour les organisations qui opèrent dans des secteurs sensibles ou qui manipulent des systèmes d’information critiques, l’usage de l’IA générative ne doit pas être traité comme un simple outil bureautique. Il peut devenir un sujet de gouvernance cyber, de contrôle des accès, de journalisation, de localisation des données et de maîtrise des prestataires.

La loi 05-20 relative à la cybersécurité invite certaines organisations, notamment publiques, semi-publiques ou liées à des services à caractère vital, à raisonner en termes de sécurité des systèmes d’information, d’actifs sensibles, de résilience et de contrôle des risques. L’envoi d’informations opérationnelles, techniques, contractuelles ou de sécurité vers un outil externe doit donc être analysé avec prudence.

Cette analyse doit être validée avec les équipes juridiques, DPO, RSSI et, lorsque nécessaire, avec un conseil externe.

Le modèle recommandé : anonymiser, cloisonner, journaliser, contrôler

Une politique IA efficace ne se limite pas à une liste d’outils autorisés. Elle doit organiser concrètement la manière dont les collaborateurs préparent leurs demandes, manipulent les documents et réutilisent les réponses.

Anonymiser. Avant d’envoyer une demande à un modèle IA, remplacer les noms, adresses, numéros de contrats, CIN, ICE, montants sensibles ou références internes par des placeholders. L’objectif est de réduire l’exposition sans rendre la demande inutilisable.

Cloisonner. Séparer les usages grand public des usages professionnels. Une entreprise ne devrait pas laisser chaque collaborateur utiliser son propre compte IA sans cadre commun, sans politique de confidentialité validée et sans règles sur les données autorisées.

Journaliser. Conserver une trace raisonnable des usages : qui a demandé quoi, sur quel type de document, pour quel objectif, avec quel niveau de sensibilité. La journalisation ne doit pas devenir intrusive, mais elle doit permettre de comprendre les flux critiques en cas d’incident ou de contrôle.

Contrôler. Prévoir une validation humaine pour les usages juridiques, RH, financiers ou contractuels. L’IA peut assister, accélérer et structurer, mais elle ne doit pas devenir seule source de décision.

Pourquoi le RAG change la logique de risque

Une architecture RAG, ou Retrieval-Augmented Generation, permet de limiter le risque en évitant de demander au modèle de “deviner” une réponse à partir de sa mémoire générale. L’outil récupère d’abord les documents autorisés dans un corpus contrôlé, puis transmet uniquement le contexte nécessaire à la génération de la réponse.

Dans un contexte juridique marocain, cette approche permet de mieux maîtriser :

• les sources utilisées ;
• les documents accessibles par profil ;
• les données envoyées au modèle ;
• la traçabilité des réponses ;
• la séparation entre corpus juridique, dossiers clients et documents internes.

Le RAG ne suffit pas à lui seul. Il doit être combiné à l’anonymisation, à la gestion des droits, à la journalisation et à une politique claire sur les modèles autorisés. Mais il permet de passer d’un usage improvisé de l’IA à une approche gouvernée, contrôlable et auditée.

Vers une IA juridique souveraine pour les entreprises marocaines

Pour les entreprises marocaines, l’étape suivante n’est pas simplement de choisir entre ChatGPT, Copilot, Claude ou un autre modèle. La vraie question est de définir où doivent rester les données, quels traitements peuvent être externalisés, quels documents doivent être anonymisés, et quels usages exigent une architecture souveraine ou maîtrisée.

Une IA juridique souveraine ne signifie pas nécessairement que tout doit être fermé ou local dès le premier jour. Elle signifie que l’entreprise garde le contrôle sur ses données, ses corpus, ses règles d’accès, ses traces d’usage et ses workflows critiques.

C’est cette approche qui permet de concilier innovation, productivité juridique et conformité au contexte marocain.

Checklist pratique pour encadrer l’IA générative en entreprise au Maroc

Avant d’autoriser un usage IA en entreprise, vérifier :

• Quels outils IA sont autorisés ?
• Quels outils sont interdits ou non validés ?
• Quelles données ne doivent jamais être copiées dans un prompt ?
• Les données personnelles sont-elles anonymisées ?
• Les contrats et documents confidentiels sont-ils protégés ?
• Les utilisateurs sont-ils formés ?
• Les prompts sensibles sont-ils journalisés ?
• Les réponses IA sont-elles revues par un humain ?
• Le DPO, le RSSI et la direction juridique sont-ils impliqués ?
• Une politique IA interne existe-t-elle ?
• Les usages critiques nécessitent-ils une architecture souveraine ou privée ?

Conclusion

L’IA générative peut devenir un levier important pour les entreprises marocaines : rédaction plus rapide, meilleure exploitation des documents, assistance aux équipes juridiques, support aux fonctions RH, finance ou conformité.

Mais cet avantage ne peut être durable que si l’usage est encadré. Le risque principal n’est pas l’IA en elle-même. Le risque est l’usage non gouverné : données copiées sans contrôle, documents sensibles exposés, absence de traçabilité, confusion entre outil grand public et environnement professionnel.

La bonne approche consiste à passer d’une logique de prompt individuel à une logique de gouvernance : anonymisation, RAG contrôlé, droits d’accès, journalisation, validation humaine et souveraineté lorsque les enjeux l’exigent.

C’est précisément cette transition qui permettra aux organisations marocaines d’utiliser l’IA générative sans renoncer à la confidentialité, à la conformité et à la maîtrise de leurs données.