في فبراير 2025، أنهت اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي في المغرب خمسة عشر عاماً من سياسة التحسيس الهادئة، وانتقلت إلى مرحلة التطبيق الفعلي بحملات قطاعية مستهدفة، بدأت بقطاع الصيدليات. القرار يبدو إجرائياً بسيطاً. لكنه يكشف عن مفارقة أعمق: قانون صدر عام 2009 لتنظيم معالجة البيانات في عصر الاستمارات الورقية وقواعد البيانات المحلية، يُطلب منه اليوم أن يضبط شركات ذكاء اصطناعي عالمية تُعالج بيانات ملايين المغاربة على خوادم لا تخضع لأي سيادة قضائية مغربية.
السؤال الذي يتجنبه كثير من المستشارين القانونيين في الرباط والدار البيضاء: هل القانون 09.08 أصلاً مُصمَّم لمواجهة هذا الخصم؟
القانون 09.08: بنية صلبة لزمن آخر
القانون رقم 09.08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، الصادر عام 2009، أسّس بنية تنظيمية متقدمة نسبياً لوقتها. أحدث اللجنة الوطنية لمراقبة حماية المعطيات الشخصية بوصفها سلطة إدارية مستقلة، وألزم كل معالجة للبيانات الشخصية بتصريح مسبق أو ترخيص من اللجنة، وكرّس للأشخاص حقوقاً أساسية في الوصول والتصحيح والاعتراض على معالجة بياناتهم.
يُطبَّق القانون على كل معالجة للبيانات الشخصية، تلقائية كانت أو غير تلقائية، متى جرت على الأراضي المغربية أو باستخدام وسائل موجودة فيها. هذا النطاق الجغرافي الواسع نظرياً يجعل القانون قابلاً للتطبيق على أي شركة تُعالج بيانات مغاربة، حتى لو كان مقرها الرئيسي في كاليفورنيا أو بكين.
لكن النطاق النظري شيء، والقدرة التنفيذية الفعلية شيء آخر تماماً.
ما الذي يحميه القانون فعلاً، وما الذي يتركه مكشوفاً
تخضع لأحكام القانون 09.08 كل معالجة للمعطيات الشخصية يقوم بها أي شخص طبيعي أو معنوي، عاماً كان أو خاصاً، متى تمت على التراب المغربي أو كان المسؤول عن المعالجة مستقراً فيه. هذا يعني نظرياً أن شركة ذكاء اصطناعي أجنبية تُقدّم خدمتها لمستخدمين مغاربة، أو تستعين بمعالجين فرعيين يعملون من المغرب، تقع تحت طائلة القانون.
غير أن النص يصمت تماماً عن السؤال الجوهري الذي يفرضه عصر الذكاء الاصطناعي: ماذا يحدث حين تُستخدم بيانات الأشخاص، دون علمهم، لتدريب نموذج لغوي يُعاد بيع استخدامه لاحقاً لأطراف ثالثة حول العالم؟ القانون صُمم لمفهوم “المعالجة” التقليدي: جمع، تخزين، استخدام محدد الغرض. لم يكن في حسبان واضعيه عام 2009 أن البيانات قد تتحول إلى وزن رقمي داخل شبكة عصبية يستحيل عزله أو حذفه بعد التدريب.
القانون 09.08 لا يتضمن أي إطار خاص بالذكاء الاصطناعي، ولا بالقرارات الآلية ذات الأثر القانوني أو الجوهري على الأفراد، وهذا أحد أبرز نقاط ضعفه أمام التطورات التقنية المتسارعة.
حين تطلب الحماية الأوروبية أكثر مما يقدمه القانون المحلي
المفارقة الأعمق تظهر في المقارنة المباشرة. المغرب يتمتع بميزة تنافسية حقيقية بفضل اعتراف الاتحاد الأوروبي بكفاية مستوى الحماية الذي يوفره، مما يجعله مقصداً جذاباً لشركات الأوفشورينغ والنيرشورينغ الأوروبية. لكن هذا الاعتراف نفسه يكشف الفجوة: الشركات الأوروبية العاملة في المغرب تبقى ملزمة عملياً بمعايير اللائحة الأوروبية العامة لحماية البيانات حين تتعامل مع مواطنين أوروبيين، فيما يُترك المواطن المغربي ذاته تحت سقف حماية أدنى صراحة.
الجدول التالي يُلخّص الفارق الجوهري بين الإطارين:
| البُعد | القانون 09.08 المغربي | اللائحة الأوروبية RGPD |
|---|---|---|
| الإطار الخاص بالذكاء الاصطناعي | غائب كلياً | مكمَّل بقانون الذكاء الاصطناعي الأوروبي |
| الإشعار بخرق البيانات | غير ملزم | إلزامي خلال 72 ساعة |
| تعيين مسؤول حماية البيانات | غير منصوص عليه | إلزامي في حالات محددة |
| الحد الأقصى للغرامة | 300 ألف درهم (نحو 27 ألف يورو) | 20 مليون يورو أو 4% من الإيرادات العالمية |
| سلطة فرض الغرامة | القضاء وحده، لا اللجنة | السلطة التنظيمية مباشرة |
الفارق الأهم بين النظامين يكمن في آلية التنفيذ ذاتها: في المغرب يتعين على الشركات التصريح بمعالجاتها للجنة والحصول على ترخيص لبعض الأنواع، بينما يعتمد النظام الأوروبي على منطق المساءلة الذاتية الذي يُلزم الشركة بإثبات امتثالها في أي وقت دون حاجة لترخيص مسبق. الفارق ليس تفصيلاً إجرائياً. هو فلسفة تنظيمية مختلفة جذرياً: نظام مغربي يعتمد على الإذن المسبق من سلطة محدودة الصلاحيات، في مواجهة شركات ذكاء اصطناعي تعمل بمنطق “أطلق أولاً واعتذر لاحقاً” إن استدعى الأمر.
العقوبة التي لا تخيف عملاقاً تقنياً
يجمع نظام العقوبات في القانون 09.08 بين الغرامات الإدارية والمتابعات الجزائية، إذ تتراوح الغرامات على المخالفات الجسيمة كمعالجة بيانات حساسة دون ترخيص أو تحويلها لأطراف ثالثة بصورة غير قانونية بين مئة ألف وثلاثمئة ألف درهم، وقد تصل العقوبات الجزائية إلى الحبس من ثلاثة أشهر إلى سنة في الحالات الأشد خطورة.
ثلاثمئة ألف درهم، أي ما يقارب ثلاثين ألف دولار. هذا الرقم قد يُشكّل عبئاً حقيقياً على شركة ناشئة محلية. أما بالنسبة لشركة ذكاء اصطناعي عالمية تُقدّر عائداتها بمليارات الدولارات، فالغرامة القصوى أقرب إلى رسم إداري يُدفع دون أن يُغيّر سلوكاً.
هذا التفاوت الصارخ بين حجم الفاعل وحجم العقوبة هو نقطة الضعف البنيوية الحقيقية في القانون، أكثر من غياب النص الخاص بالذكاء الاصطناعي ذاته. فالنص يمكن تحديثه بمرسوم تطبيقي أو تعديل تشريعي. لكن إعادة تصميم منطق العقوبات لتتناسب مع حجم الشركات العالمية يتطلب قراراً سياسياً واقتصادياً أعمق، يُقارب بين حماية البيانات وميزة المغرب التنافسية كمقصد استثماري منفتح.
بين الإصلاح المعلن والتطبيق المتأخر
صرّح عضو في اللجنة الوطنية لمراقبة حماية المعطيات الشخصية في نوفمبر 2024 بأن تحديث القانون 09.08 لإدراج مكوّن الذكاء الاصطناعي صار مرجَّحاً، في تأكيد على إلحاحية إصلاح الإطار القانوني المغربي لمواجهة تحديات اللائحة الأوروبية وقانون الذكاء الاصطناعي الأوروبي المرتقب.
التصريح يعكس وعياً مؤسسياً حقيقياً بالمشكلة. لكنه يبقى تصريحاً، لا نصاً. وفي الفجوة بين الوعي بالمشكلة وصدور النص التشريعي، تستمر شركات الذكاء الاصطناعي في معالجة بيانات المغاربة وفق قواعد لعبة صممها فاعل واحد فقط: مزوّد الخدمة.
المغرب ليس استثناءً في هذا التأخر، بل هو أقرب إلى النمط العربي العام الذي تكشفه تحليلاتنا في قسم التشريع الذكي حول فجوة التشريعات العربية أمام الذكاء الاصطناعي. لكن حالة المغرب تحمل خصوصية إضافية: انفتاحه الاقتصادي الكبير على أوروبا، واعتماده على قطاع الأوفشورينغ الرقمي كرافعة اقتصادية، يجعلانه أكثر عرضةً من غيره لتدفق بيانات مكثف عبر شركات لا تقع تحت أي رقابة تنظيمية فعلية محلية.
ما الذي يجب أن يتغير؟
الإصلاح المطلوب ليس مجرد إضافة فصل عن الذكاء الاصطناعي إلى نص قديم. هو إعادة بناء ثلاثة أعمدة أساسية.
العمود الأول هو الإشعار الإلزامي بخرق البيانات في غضون مدة محددة، على غرار النموذج الأوروبي، بما يُمكّن المستخدم المغربي من معرفة أن بياناته تسرّبت بدل أن يكتشف ذلك عبر تقارير صحفية متأخرة.
العمود الثاني هو منح اللجنة الوطنية صلاحية فرض الغرامات مباشرة دون انتظار مسار قضائي طويل، إذ إن الفارق الزمني بين المخالفة والعقوبة هو ما يجعل الردع شكلياً.
العمود الثالث هو ربط حجم الغرامة بحجم أعمال الشركة المخالفة عالمياً، كما يفعل النموذج الأوروبي، بدل سقف ثابت بالدرهم لا يتناسب مع حجم الفاعلين الذين يستهدفهم القانون اليوم.
دون هذه التحديثات الثلاثة، سيبقى القانون 09.08 أداة فعّالة لتنظيم معالجة البيانات بين مؤسسات محلية، وأداة شكلية حين يتعلق الأمر بمواجهة شركة ذكاء اصطناعي عالمية لا تخشى عقوبة لا تُذكَر في تقرير أرباحها الفصلي.
السؤال الذي يواجهه المغرب اليوم ليس هل يحمي قانونه بيانات مواطنيه. السؤال هو: من أمام من يحميها بالضبط؟
الأسئلة الشائعة
هل يخضع استخدام ChatGPT أو أي نموذج ذكاء اصطناعي أجنبي لقانون 09.08 المغربي؟
نظرياً نعم، إذ يُطبَّق القانون على كل معالجة لبيانات شخصية تتم على الأراضي المغربية أو باستخدام وسائل موجودة فيها، بصرف النظر عن مكان مقر الشركة. عملياً، تطبيق هذا النص على شركات ذكاء اصطناعي عالمية لا تملك حضوراً قانونياً مباشراً في المغرب يبقى تحدياً تنفيذياً حقيقياً تواجهه اللجنة الوطنية لمراقبة حماية المعطيات الشخصية.
ما الفرق الجوهري بين القانون 09.08 واللائحة الأوروبية RGPD؟
الفارق الأهم ليس في المبادئ بل في آلية التنفيذ. القانون المغربي يعتمد نظام التصريح والترخيص المسبق من اللجنة الوطنية، بينما تعتمد اللائحة الأوروبية مبدأ المساءلة الذاتية الذي يُلزم الشركة بإثبات امتثالها في أي وقت. كما أن سقف الغرامة في المغرب لا يتجاوز 300 ألف درهم، في مقابل غرامات أوروبية قد تصل إلى 4% من الإيرادات العالمية للشركة.
هل ينطبق قانون 09.08 على القرارات الآلية التي تتخذها أنظمة الذكاء الاصطناعي بشأن الأفراد؟
لا يوجد نص صريح في القانون يُنظّم القرارات الآلية ذات الأثر القانوني أو الجوهري على الأفراد، وهذا أحد أبرز الثغرات التي تُشير إليها اللجنة الوطنية نفسها. غياب هذا التنظيم يعني أن قرارات كالرفض الآلي لطلب قرض أو تصنيف ائتماني عبر خوارزمية لا تخضع حالياً لأي ضمانة قانونية محلية صريحة.
