A l’ère de l’émergence du numérique, la souveraineté ne se conquiert plus seulement par les armes, mais aussi par les données.
Au Maroc, l’année 2024 a constitué une étape significative dans la prise de conscience de ce fait, illustrée par le nombre alarmant de 644 cyberattaques, selon la déclaration d’Abdelatif Loudiyi, ministre délégué chargé de l’administration de la défense nationale. Le chiffre prononcé témoigne de la multiplication des menaces dans l’espace numérique à l’heure où les géants du Cloud dominent le marché de donnée.
Dans ce contexte, la question de l’hébergement local des données s’impose comme un enjeu stratégique pour les nations. Mais avant, que recouvrent ces notions ?
D’après Pierre Bellanger « la souveraineté numérique est la maitrise de notre présent et de notre destin tels qu’ils se manifestent et s’orientent par les usages des technologies et des réseaux informatique ». Par conséquent, préserver la souveraineté numérique des Etats est un objectif qui requiert le contrôle de leurs infrastructures et de leurs données sensibles, sans être tributaire d’acteurs ou de puissances étrangères. Dans cette perspective, l’hébergement local, qui consiste à stocker les données sur des serveurs physiquement implantés sur le territoire national et soumis à la législation du pays, s’impose comme un rempart contre les ingérences, tandis que le Cloud international, dominé par des acteurs comme AWS, Microsoft Azure ou Google Cloud, reste un pari risqué pour les données sensibles.
Le Maroc, à travers la loi n°05-20 relative à la cybersécurité et le décret n°2.24.921 relatif aux prestataires de services Cloud, a tranché en faveur d’un modèle « hybride » qui se caractérise par une souveraineté renforcée pour les données sensibles et une ouverture maitrisée aux solutions étrangères. Quelles sont les bases de ce modèle ? et comment le décret n°2.24.921 influence-t-il le choix des administrations et entreprises marocaines en matière des services Cloud ?
Contexte et portée du décret.
Depuis 2020, le Maroc a initié l’élaboration d’un cadre juridique visant à renforcer sa souveraineté numérique, notamment à travers la loi n°05-20 relative à la cybersécurité. Ce texte mentionne que l’hébergement local des données sensibles est obligatoire pour prévenir leur exposition à des juridictions étrangères, comme il renforce le contrôle de l’Etat, par l’entremise de la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI), assurant que les normes de sécurité soient conformes aux intérêts nationaux. Quatre ans plus tard, le décret n°2.24.921 vient concrétiser l’ambition de la loi n°05-20 en encadrant la gestion des systèmes d’informations critiques et des données sensibles. Son principe fondamental, bien que simple, est révolutionnaire : en ce qui concerne les systèmes d’information sensibles et les données sensibles, le Cloud doit être géré par le Maroc.
Ce qui change concrètement.
Le décret introduit un double niveau de certification aligné sur le niveau de sensibilité des données, ce qui implique une qualification stricte des prestataires de services Cloud.
La qualification des prestataires du niveau 1, qui concerne les systèmes d’information sensibles, est soumise aux exigences prévues par l’article 4 du décret, dont l’hébergement et la gestion doivent être réalisé exclusivement par une société 100% marocaine (capital, direction et équipes). Quant aux prestataires du niveau 2, liés aux données sensibles, il est impératif que le stockage physique soit réalisé sur le sol marocain et qu’aucune loi étrangère ne puisse s’appliquer. Dans l’objectif d’éviter les risques d’espionnage ou de saisie extraterritoriale, le niveau 2 exige une interdiction de toute externalisation ou accès distant non supervisé par l’Etat.
En effet, pour obtenir la qualification, les prestataires doivent satisfaire à des critères impératifs tels que :
- Infrastructure située localement : serveurs implantés sur le territoire marocain.
- Contrôle marocain : capital et équipes techniques majoritairement de nationalité marocaine.
- Sécurité renforcée : un audit annuel est réalisé par l’autorité nationale conformément à l’article 14 du décret.
- Transparence : interdiction des "Backdoors" pour les entités étrangères (art 13 du décret).
Une mise en œuvre progressive.
L’article 18 du décret prévoit une phase transitoire de 24 mois pour permettre aux entités concernées de se conformer aux dispositions de ce décret. Cependant, il introduit une exception temporaire en cas d’indisponibilité de solutions locales adaptées (art 17 du décret). Cette disposition, bien que pragmatique, soulève des enjeux majeurs en termes de sécurité, gouvernance et souveraineté.
L’article 17 de ce décret reflète une flexibilité sous conditions strictes. Le recours à un Cloud non qualifié n’est autorisé que si aucun prestataire qualifié ne propose un service équivalent en standards ou fonctionnalités, et une étude d’impact approfondie valide la nécessité du recours et évalue les risques, et ceci afin d’éviter de bloquer des services ou des opérations critiques tout en minimisant les risques. En effet, le mécanisme transitoire prévu par le décret est un compromis réaliste, mais il exige une vigilance extrême pour que cette exception ne devienne pas une faille.
Le Cloud, nouvel outil de puissance.
Avec la loi n°05-20 et le décret n° 2.24.921, le Maroc joue un équilibre délicat entre pragmatisme économique et sécurité nationale. La réussite dépendra de la rigueur avec laquelle l’autorité nationale contrôlera la phase transitoire.
