Conformité documentaire au Maroc : ce que la loi impose à votre organisation

La Loi 69-99 — les archives sont une obligation, pas un choix

Ce que dit la loi

La Loi 69-99 relative aux archives oblige tous les organismes publics marocains à gérer leurs archives selon des règles précises : définir un calendrier de conservation pour chaque type de document, classer et conserver les archives courantes et intermédiaires, verser les archives définitives aux Archives Nationales du Royaume, et procéder à la destruction des documents périmés selon une procédure certifiée.

Ce que ça impose concrètement

• Avoir un plan de classement documentaire formalisé par type de document
• Respecter des durées de conservation définies (comptabilité, contrats, RH, dossiers citoyens, etc.)
• Ne jamais détruire un document sans procédure formelle et certificat
• Garder une traçabilité de toutes les opérations d'archivage

Les risques en cas de non-conformité

La destruction non autorisée d'archives publiques est un délit pénal. Les contrôles des Archives Nationales peuvent intervenir à tout moment. En cas d'audit externe ou de litige, l'absence d'archives correctement conservées peut mettre en cause la responsabilité personnelle des dirigeants.

Comment LocaGed y répond

LocaGed intègre nativement un calendrier de conservation configurable par catégorie de documents. À échéance, le système génère automatiquement un certificat de destruction PDF avec procès-verbal horodaté. Toutes les opérations sont tracées dans un journal d'audit permanent.

La Loi 09-08 — les données personnelles ont une valeur légale

Ce que dit la loi

La Loi 09-08 relative à la protection des données personnelles impose aux organisations de déclarer leurs traitements à la CNDP, de définir des finalités précises pour chaque traitement, de respecter des durées de conservation limitées, de garantir le droit d'accès et de rectification des personnes concernées, et d'interdire tout transfert de données hors du Maroc sans garanties appropriées.

Ce que ça impose concrètement

• Savoir exactement quelles données personnelles vous gérez et pourquoi
• Limiter la durée de conservation de chaque type de donnée
• Tracer qui a accès à quelles données
• Ne pas héberger des données marocaines sur des serveurs étrangers sans autorisation de la CNDP
• Pouvoir répondre à toute demande d'accès ou d'effacement d'un citoyen

Le problème des solutions cloud étrangères

Microsoft Azure, Google Cloud et Amazon Web Services sont soumis au CLOUD Act américain. Cela signifie que les autorités américaines peuvent légalement exiger l'accès aux données hébergées par ces entreprises, même si les serveurs sont physiquement en Europe ou en Afrique. Pour des données de citoyens marocains, de fonctionnaires ou de clients bancaires, ce risque est directement incompatible avec la Loi 09-08.

Comment LocaGed y répond

Toutes les données sont hébergées exclusivement sur le territoire marocain. Aucun prestataire étranger ne peut y accéder. Le contrôle des accès est granulaire par utilisateur, avec journalisation de chaque consultation. Les durées de conservation sont configurables par catégorie et gérées automatiquement.

La directive DGSSI — les infrastructures critiques ont des obligations renforcées

Ce que dit la directive

La Direction Générale de la Sécurité des Systèmes d'Information (DGSSI) a publié en 2017 une directive s'appliquant aux Infrastructures d'Importance Vitale (IIV) : secteur financier, télécoms, énergie, santé, justice, administration. Cette directive impose des obligations spécifiques en matière de sécurité documentaire et informatique.

Ce que ça impose concrètement pour la GED

• Journal d'audit de toutes les actions conservé pendant 6 mois minimum
• Authentification multi-facteurs (MFA) obligatoire pour les accès distants
• Politique de mots de passe formalisée avec complexité et expiration
• Plan de continuité et de reprise d'activité (PCA/PRA) documenté
• Déclaration des incidents de sécurité au ma-CERT
• Hébergement des données sur territoire marocain
• Audit de sécurité annuel

Qui est concerné ?

Toute organisation opérant dans les secteurs financiers (banques, assurances, microfinance), les administrations publiques, les établissements de santé, les opérateurs télécoms, et les entreprises d'énergie ou d'eau. En pratique, la quasi-totalité des cibles de LocaGed est concernée par tout ou partie de cette directive.

Comment LocaGed y répond

LocaGed intègre nativement : journal d'audit complet et horodaté avec rétention configurable, MFA via Google Authenticator, politique de mots de passe configurable, et hébergement souverain marocain. Le système peut générer des rapports d'indicateurs de sécurité pour transmission à la DGSSI.

Le Référentiel Cloud Maroc 2024 — l'hébergement souverain devient obligatoire

Ce que dit le référentiel

Le Référentiel Cloud Maroc 2024 encadre l'utilisation des services cloud pour les données sensibles des organisations marocaines. Il impose que les données sensibles soient hébergées exclusivement sur des infrastructures situées sur le territoire marocain, gérées par des prestataires certifiés.

Ce que ça change en pratique

Une organisation publique ou para-publique marocaine ne peut plus légalement choisir un service cloud étranger pour héberger ses données sensibles sans violer ce référentiel. Cela exclut de fait Google Drive, OneDrive, Dropbox et la plupart des solutions SaaS étrangères.

Comment LocaGed y répond

LocaGed est déployée soit en mode on-premise dans les locaux du client (conformité absolue), soit via des datacenters certifiés situés sur le territoire marocain. Dans les deux cas, aucune donnée ne quitte le territoire national.

Tableau de conformité — LocaGed face aux exigences réglementaires

→ Voir la solution complète · → Lire notre analyse Maroc 2030

Guides complémentaires