Tresoria
← جميع المقالات
المدونة

قانون 09-08 بالمغرب: حماية البيانات الشخصية والبنكية

17 أبريل 2026

دليل واضح حول القانون 09-08 المتعلق بحماية البيانات الشخصية بالمغرب: مبادئه الأساسية، ودور اللجنة الوطنية لمراقبة حماية المعطيات (CNDP)، وما يعنيه عملياً عند معالجة البيانات البنكية واختيار برنامج لإدارة الخزينة.

ما هو القانون 09-08؟

القانون رقم 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي هو النص المرجعي في مجال الخصوصية الرقمية بالمغرب. صدر سنة 2009 بموجب الظهير رقم 1-09-15، ويضع إطاراً مستوحى من المعايير الأوروبية في تلك الفترة، ويسري على كل معالجة للبيانات الشخصية، آلية كانت أم يدوية، تُنجز فوق التراب المغربي.

المعطى ذو الطابع الشخصي هو كل معلومة تتعلق بشخص ذاتي معرَّف أو قابل للتعريف: الاسم والعنوان ورقم الهاتف، وكذلك المعطيات البنكية ومعرّفات الحساب أو تاريخ المعاملات. وبمجرد أن تجمع مؤسسة هذه المعلومات أو تسجّلها أو تحفظها أو تشاركها، تصبح مسؤولة عن المعالجة وملزمة باحترام واجبات القانون.

أُسنِدت المراقبة إلى اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP). وهي سلطة مستقلة تتولى دراسة الإجراءات وإصدار التوصيات ومراقبة عمليات المعالجة، ويمكن لأي شخص يرى أن حقوقه لم تُحترم أن يرفع إليها الأمر.

المبادئ الأساسية الواجب احترامها

يقوم القانون 09-08 على مجموعة من المبادئ الأساسية. أولها مبدأ الغاية: لا يجوز جمع البيانات إلا لأهداف محددة وصريحة ومشروعة، ولا يجوز إعادة استعمالها بشكل يتعارض مع تلك الأهداف. فلا تُجمع المعطيات البنكية على سبيل الاحتياط، بل لاستعمال دقيق ومعلن عنه.

ثم تأتي مبادئ النزاهة والمشروعية في الجمع، والتقليص إلى الحد الأدنى (جمع ما هو ضروري فقط)، والدقة (تحيين البيانات وتصحيحها عند الحاجة)، وتحديد مدة الحفظ: إذ لا ينبغي الاحتفاظ بالمعلومة أطول من المدة اللازمة للغاية المتوخاة، مع مراعاة الالتزامات القانونية للأرشفة.

ويشكّل رضا الشخص المعني، من حيث المبدأ، أساس المعالجة، ما عدا الاستثناءات التي ينص عليها القانون كالالتزام القانوني أو تنفيذ عقد. وأخيراً، على المسؤول عن المعالجة أن يضمن أمن البيانات وسرّيتها عبر تدابير تقنية وتنظيمية تمنع أي ولوج غير مأذون به أو ضياع أو إفشاء.

حقوق الأشخاص المعنيين

يمنح القانون لكل شخص مجموعة من الحقوق التي يمكن الاحتجاج بها في مواجهة المسؤول عن المعالجة. فالحق في الإخبار يفرض أن يُوضَّح، عند الجمع، من يعالج البيانات ولأي غاية ومن هم المرسل إليهم الذين سيطّلعون عليها.

ويضاف إلى ذلك حق الولوج (تأكيد كون بياناته تُعالَج والحصول على نسخة منها)، وحق التصحيح (تصحيح البيانات غير الدقيقة أو الناقصة)، وحق التعرّض، لأسباب مشروعة، على معالجة معيّنة. وفي المجال البنكي والمالي، تفترض ممارسة هذه الحقوق أن تكون المؤسسة قادرة على تحديد موقع بيانات الشخص بدقة وتصحيحها دون تأخير.

الإجراءات لدى اللجنة الوطنية (CNDP) ونقل البيانات خارج المغرب

قبل الشروع في أي معالجة، يتعيّن على المسؤول، من حيث المبدأ، إنجاز إجراء مسبق لدى اللجنة الوطنية (CNDP). وحسب طبيعة البيانات والغاية، قد يتعلق الأمر بتصريح بسيط أو بطلب ترخيص، خاصة بالنسبة للمعالجات التي تهم بيانات حساسة.

وتستحق نقطة انتباهاً خاصاً في حالة البرامج السحابية: فنقل البيانات نحو بلد أجنبي خاضع للتنظيم. إذ يشترط أن يضمن بلد الوجهة مستوى حماية ملائماً، وعند الاقتضاء ترخيصاً من اللجنة الوطنية. لذا فإن استضافة البيانات البنكية على خوادم توجد خارج المغرب ليست خياراً هيّناً من الناحية القانونية.

كما ينص القانون على عقوبات إدارية وجنائية في حال الإخلال. ودون الدخول في تفاصيل المبالغ، ينبغي تذكّر أن عدم احترام هذه الواجبات يعرّض المؤسسة للمتابعة ولمسّ سمعتها، إضافة إلى الضرر اللاحق بالأشخاص.

ماذا يتغيّر بالنسبة للبيانات البنكية والمالية

تُعدّ بيانات الخزينة من أكثر بيانات المؤسسة حساسية: كشوف الحسابات، والمعطيات البنكية، وجداول الاستحقاق، وأرصدة الزبناء والموردين. فهي تكشف عن الوضع المالي وعن العلاقات التجارية، وأحياناً عن معلومات تخص أشخاصاً ذاتيين كالمسيّرين أو الأجراء أو الزبناء الأفراد. ولهذا تستوجب يقظة مشددة.

وعملياً، يعني ذلك حصر الولوج إلى هذه البيانات في الأشخاص المؤهّلين وحدهم، وتتبّع عمليات الاطّلاع، وتشفير تبادل الملفات، وتحديد مدد حفظ منسجمة. فعندما يُستورَد كشف بنكي إلى أداة للتدبير، ينبغي معرفة مكان تخزينه ومن يمكنه الاطّلاع عليه والمدة التي يُحتفظ به خلالها.

اختيار برنامج خزينة يتوافق مع سياستك في حماية البيانات

تبدأ مطابقة القانون 09-08 من تنظيم المؤسسة نفسها: فهي، بصفتها مسؤولة عن المعالجة، من يصرّح بمعالجاته ويُخبر الأشخاص ويؤمّن الولوج. ويأتي اختيار الأدوات لدعم هذا المسعى، لا سيما من خلال مكان توطين البيانات والتحكم في الولوج.

وفي هذا السياق، تتيح Tresoria خيار الاستضافة بالمغرب وخيار التثبيت المحلي (on-premise)، حتى تظل بيانات الخزينة تحت التحكم المباشر للمؤسسة وداخل التراب الوطني. ويتعلق الأمر بموقف يخص الاستضافة والتنظيم يُسهّل مطابقتك، لا ببديل عن الواجبات الملقاة على عاتقك: فالتصريح لدى اللجنة الوطنية وإخبار الأشخاص وتدبير الرضا تبقى كلها من مسؤوليتك.

وعملياً، اطرح على أي مزوّد ثلاثة أسئلة بسيطة: أين تُستضاف البيانات، ومن يمكنه الولوج إليها، وكم من الوقت يُحتفظ بها. وهذه الأسئلة، المنسجمة مع مبادئ القانون 09-08، تكفي في الغالب للتمييز بين شريك جدّي وحلّ أقل جدّية.

شاهد تريزوريا على حساباتك أنت

عرض توضيحي في ثلاثين دقيقة، بكشوفاتك. دون التزام.

طلب عرض توضيحي