حماية المعطيات الشخصية

القانون 09-08 والشركات الأجنبية في المغرب: التزامات CNDP | Upsilon Consulting

Abdelhakim SoudiMansour Eddekkaki

Abdelhakim Soudi, Mansour Eddekkaki

Upsilon Consulting

مشاركة
القانون 09-08 والشركات الأجنبية في المغرب: التزامات CNDP | Upsilon Consulting

ملخص — كل شركة أجنبية تعمل في المغرب أو تستخدم وسائل موجودة على التراب المغربي تخضع للقانون 09-08 المتعلق بحماية المعطيات ذات الطابع الشخصي. يستلزم ذلك تعيين ممثل محلي، وتقديم تصريحات لدى اللجنة الوطنية لحماية المعطيات الشخصية (CNDP)، والحصول على أذونات محددة لنقل البيانات إلى الشركة الأم. يفصّل هذا الدليل الالتزامات العملية والخطوات اللازمة لضمان الامتثال.

لماذا يهم القانون 09-08 الشركات الأجنبية

أصبح المغرب وجهة مفضلة للمستثمرين الدوليين والشركات متعددة الجنسيات وشركات النقل القريب (nearshoring). سواء تعلق الأمر بإنشاء فرع أو فتح مكتب تمثيلي أو الاستعانة بمقدمي خدمات محليين، فإن هذه الشركات تجمع وتعالج حتمًا بيانات شخصية على الأراضي المغربية: بيانات الموظفين والعملاء والموردين والعملاء المحتملين.

القانون 09-08، الصادر عام 2009 والمستوحى من النموذج الأوروبي، ينظم هذه المعالجات بصرامة. تجاهل هذه الالتزامات يعرض الشركة لعقوبات جنائية وغرامات ومخاطر كبيرة على السمعة.

النطاق الترابي للتطبيق (المادة 2)

تحدد المادة 2 من القانون 09-08 نطاقًا ترابيًا واسعًا للتطبيق. ينطبق القانون في حالتين رئيسيتين:

الحالة الأولى: المسؤول عن المعالجة مقيم على التراب المغربي. يشمل ذلك أي فرع أو وكالة أو مكتب ارتباط أو كيان قانوني مسجل في المغرب. حتى لو كانت الشركة الأم مقرها في الخارج، فبمجرد أن يكون لها مقر في المغرب، ينطبق القانون بالكامل.

الحالة الثانية: المسؤول عن المعالجة يستخدم وسائل موجودة في المغرب. هذا الحكم أكثر دقة. فالشركة التي ليس لها وجود مادي في المغرب ولكنها تستخدم خوادم أو ملفات تعريف الارتباط (cookies) أو متعاقدين من الباطن أو شركاء تجاريين موجودين على التراب المغربي تخضع أيضًا للقانون. وهذه نقطة حاسمة لشركات النقل القريب والمنصات الرقمية.

في كلتا الحالتين، يجب على الشركة تعيين ممثل في المغرب لدى اللجنة الوطنية.

الالتزام بتعيين ممثل في المغرب

عندما تكون شركة أجنبية خاضعة للقانون 09-08 دون أن تكون مقيمة مباشرة في المغرب، يجب عليها إلزاميًا تعيين ممثل على التراب المغربي. يعمل هذا الممثل كنقطة اتصال مع اللجنة الوطنية والأشخاص المعنيين بالمعالجات.

يمكن أن يكون الممثل شخصًا طبيعيًا أو اعتباريًا. عمليًا، تلجأ الشركات غالبًا إلى فرعها المحلي أو مكتب خبرة محاسبية أو مكتب قانوني متخصص. يجب تحديد هذا الممثل بوضوح في التصريحات الموجهة إلى اللجنة الوطنية.

التصريحات والأذونات للفروع

يجب على كل فرع لشركة أجنبية مقيمة في المغرب إتمام الإجراءات المسبقة لدى اللجنة الوطنية قبل تنفيذ معالجات البيانات الشخصية.

التصريحات المسبقة

المعالجات المعتادة (تدبير الموارد البشرية، ملفات العملاء، المحاسبة، الفوترة) تخضع لتصريح مسبق. يصف هذا التصريح الغرض من المعالجة وفئات البيانات المجمعة والمتلقين ومدة الاحتفاظ.

الأذونات المسبقة

بعض المعالجات تتطلب إذنًا مسبقًا من اللجنة الوطنية، ولا سيما:

  • المعالجات المتعلقة ببيانات حساسة (الصحة، الآراء السياسية، الانتماء النقابي، البيانات البيومترية)
  • الربط بين ملفات ذات أغراض مختلفة
  • المعالجات التي تتضمن بيانات جينية
  • نقل البيانات إلى بلدان لا توفر مستوى حماية ملائمًا

مدة دراسة الطلب من قبل اللجنة الوطنية عادة شهران للأذونات. لذلك من الضروري استباق هذه الإجراءات في جدول التأسيس.

نقل البيانات إلى الشركة الأم (المادتان 43-44)

هذه من أكثر النقاط حساسية بالنسبة للشركات الأجنبية. تنظم المادتان 43 و44 من القانون 09-08 بصرامة عمليات النقل الدولي للبيانات الشخصية.

المبدأ هو حظر نقل البيانات الشخصية إلى بلد لا يضمن مستوى حماية ملائمًا. تضع اللجنة الوطنية وتحدّث قائمة البلدان المعترف بها كموفرة لحماية كافية.

لنقل البيانات إلى الشركة الأم الموجودة في بلد بدون حماية ملائمة، يجب على الشركة الحصول على إذن خاص من اللجنة الوطنية. يمكن منح هذا الإذن إذا:

  • أعطى الشخص المعني موافقته الصريحة
  • كان النقل ضروريًا لتنفيذ عقد
  • ضمن المسؤول عن المعالجة مستوى حماية كافيًا من خلال بنود تعاقدية أو قواعد ملزمة للمؤسسة (ما يعادل BCR الأوروبية)

عمليًا، يجب على المجموعات الدولية صياغة بنود تعاقدية نموذجية أو سياسات خصوصية داخل المجموعة، ثم تقديمها إلى اللجنة الوطنية للمصادقة.

الحوسبة السحابية وخدمات SaaS والاستضافة خارج المغرب

يطرح الاستخدام المتزايد لخدمات الحوسبة السحابية وحلول SaaS تحديات خاصة في إطار القانون 09-08. عندما تستخدم شركة مقيمة في المغرب خدمة تُستضاف بياناتها على خوادم موجودة في الخارج، فإن ذلك يشكل نقلًا دوليًا للبيانات.

عمليًا، هذا يعني أن:

  • استخدام Microsoft 365 أو Google Workspace أو Salesforce أو أي خدمة SaaS أخرى تتضمن استضافة خارج المغرب يجب تقييمه في ضوء المادتين 43-44
  • إذا لم يكن بلد الاستضافة مدرجًا في قائمة البلدان ذات الحماية الملائمة، فإن إذن اللجنة الوطنية مطلوب
  • يجب أن يتضمن العقد مع مقدم الخدمة السحابية ضمانات حول أمن البيانات وسريتها
  • تظل الشركة مسؤولة عن المعالجة، حتى لو كانت البيانات مُدارة تقنيًا من قبل متعاقد من الباطن أجنبي

شركات النقل القريب معرضة بشكل خاص، لأن نموذجها التشغيلي يعتمد غالبًا على التبادل المستمر للبيانات مع العملاء الأجانب واستخدام البنية التحتية السحابية الدولية.

الخطوات العملية للامتثال

فيما يلي الإجراءات الملموسة التي يجب على الشركة الأجنبية اتخاذها:

  1. تعيين ممثل في المغرب — حدد شخصًا طبيعيًا أو اعتباريًا يكون محاورك مع اللجنة الوطنية.

  2. رسم خريطة لجميع المعالجات — أحصِ جميع معالجات البيانات الشخصية التي يقوم بها فرعك أو عبر وسائل موجودة في المغرب: الموارد البشرية، الأجور، العملاء، الموردون، المراقبة بالفيديو، التسويق، إلخ.

  3. تقديم التصريحات المسبقة — لكل معالجة محددة، قدم التصريح المقابل لدى اللجنة الوطنية.

  4. طلب الأذونات اللازمة — للبيانات الحساسة والنقل الدولي، أعد وقدم طلبات الإذن.

  5. تأمين النقل الدولي — ضع بنودًا تعاقدية نموذجية أو قواعد مؤسسية ملزمة لتأطير تدفقات البيانات نحو الشركة الأم.

  6. إعلام الأشخاص المعنيين — حدّث إشعاراتك القانونية وسياسات الخصوصية وعقود العمل لإعلام الأشخاص بحقوقهم (الوصول، التصحيح، الاعتراض).

  7. تدريب الفرق المحلية — وعِّ موظفيك المغاربة بقواعد حماية البيانات والإجراءات الداخلية.

الارتباط بالتزامات الامتثال الأخرى

لا يوجد الامتثال للجنة الوطنية بمعزل عن باقي الالتزامات. يتشابك مع التزامات أخرى تخضع لها الشركات الأجنبية في المغرب:

  • الالتزامات الضريبية: تصريحات الضريبة على الشركات (IS)، الضريبة على القيمة المضافة (TVA)، الاقتطاع من المنبع على المدفوعات للخارج
  • قانون الشغل: عقود العمل، الصندوق الوطني للضمان الاجتماعي (CNSS)، طب الشغل
  • الالتزامات المحاسبية: مسك الدفاتر، القوائم التركيبية، مراقبة الحسابات

يتيح النهج المتكامل للامتثال تجميع الجهود وتقليل المخاطر. لهذا ننصح الشركات الأجنبية بالاستعانة بخبير محاسب مغربي يتقن هذه الأبعاد المختلفة.

العناية الواجبة والاستحواذات

بالنسبة للشركات التي تفكر في الاستحواذ على شركة مغربية، يُعد الامتثال للجنة الوطنية عنصرًا أساسيًا في العناية الواجبة (due diligence). يمكن أن يشكل غياب التصريحات أو الأذونات التزامًا خفيًا كبيرًا، مع مخاطر عقوبات جنائية تصل إلى سنة سجنًا و300,000 درهم غرامة.

قبل أي استحواذ، من الضروري التحقق من سجل المعالجات المصرح بها والأذونات الممنوحة وامتثال عمليات النقل الدولي للبيانات.

كيف يرافقكم Upsilon Consulting

يرافق مكتبنا الشركات الأجنبية في مجمل إجراءات الامتثال في المغرب، من إنشاء الفرع إلى الامتثال للجنة الوطنية، مرورًا بالالتزامات الضريبية والاجتماعية. نتدخل كممثل لدى اللجنة الوطنية ونضمن متابعة تصريحاتكم وأذوناتكم.

تواصلوا معنا للحصول على تشخيص شخصي لوضعيتكم.

اقرأ أيضًا

اللجنة الوطنية والقانون 09-08: دليل شامل

تصريحات وأذونات اللجنة الوطنية

عقوبات اللجنة الوطنية: مخاطر جنائية وغرامات

مقالات ذات صلة

creation-entreprise

تأسيس شركة في المغرب سنة 2026 : دليل شامل من خبير محاسب

تأسيس شركة في المغرب: المراحل، التكاليف، الآجال والأشكال القانونية (SARL، SAS، SA). دليل 2026 من مكتب خبرة محاسبية. الشه

اقرأ المزيد →
حماية المعطيات الشخصية

عقوبات CNDP: المخاطر الجنائية والغرامات بسبب عدم الامتثال

تفصيل كامل لعقوبات CNDP في المغرب: غرامات من 10.000 إلى 300.000 درهم، عقوبات سجنية وإدارية. القانون 09-08، المواد 51 إلى

اقرأ المزيد →
حماية المعطيات الشخصية

نقل البيانات الشخصية دوليًا في المغرب: الإطار القانوني والالتزامات

الإطار القانوني لنقل البيانات الشخصية دوليًا في المغرب: القانون 09-08، ترخيص اللجنة الوطنية، البنود التعاقدية، العقوبات.

اقرأ المزيد →
حماية المعطيات الشخصية

التصريحات والتراخيص لدى CNDP: دليل عملي للمقاولات

دليل شامل للتصريحات والتراخيص لدى CNDP بالمغرب. الإجراءات والوثائق والآجال والإعفاءات لامتثال مقاولتكم.

اقرأ المزيد →

Upsilon

Consulting

مكتب مستقل، خبرة قريبة منكم

أبسيلون للاستشارات هو مكتب خبرة محاسبية ومراجعة واستشارات ضريبية، عضو في هيئة الخبراء المحاسبين بالمغرب. يرافق فريقنا المكون من أكثر من 40 متخصصًا الشركات المغربية والدولية منذ أكثر من 15 عامًا. تتيح لنا مقاربتنا متعددة التخصصات وقربنا من العميل مرافقتكم بدقة واستجابة.

أعضاء هيئة الخبراء المحاسبين خبرة تقنية مقاربة متعددة التخصصات القرب من العميل

لنتحدث عن مشروعكم

اتصلوا بنا للحصول على استشارة مجانية. يرد خبراؤنا خلال 24 ساعة.

اتصل بنا +212 522 202 568
Newsletter

ابقَ على اطلاع بالمستجدات الضريبية والمحاسبية

احصل على تحليلاتنا وأدلتنا العملية والتنبيهات التنظيمية مباشرة في بريدك. انضم إلى +500 محترف يثقون بنا.

بدون إزعاج. إلغاء الاشتراك بنقرة.

يثقون بنا

PfizerAlstomDrägerCFAO MotorsCDG CapitalBourse de Casablanca