Utilisation de ChatGPT en entreprise au Maroc : risques juridiques et cadre à mettre en place
L’utilisation d’outils d’intelligence artificielle comme ChatGPT s’est largement développée au sein des entreprises marocaines. Rédaction d’e-mails, génération de contenus, assistance juridique ou commerciale, traitement de données : ces solutions offrent un gain de temps considérable et s’intègrent progressivement dans les pratiques quotidiennes.
Cependant, dans la majorité des cas, leur utilisation se fait sans encadrement juridique structuré. Cette absence de cadre expose les entreprises à des risques significatifs, notamment en matière de protection des données personnelles, de confidentialité et de responsabilité. Contrairement à une idée répandue, l’usage de ChatGPT en entreprise n’est pas neutre juridiquement.
Une utilisation massive… mais non maîtrisée
Dans la pratique, les salariés utilisent ces outils de manière autonome, souvent sans validation ni directives internes. Il est fréquent que des informations professionnelles soient directement intégrées dans les prompts : échanges clients, éléments contractuels, données RH ou documents internes.
Ce fonctionnement crée un risque réel de circulation non maîtrisée des informations, en particulier lorsque les données sont traitées via des outils externes susceptibles d’impliquer des transferts hors du Maroc. Dans ce contexte, l’entreprise peut se retrouver en situation de non-conformité avec la loi n°09-08, sans même en avoir conscience.
Risque n°1 : violation des règles relatives aux données personnelles
L’un des risques les plus fréquents concerne l’utilisation de données personnelles dans les outils d’intelligence artificielle. En pratique, il suffit qu’un salarié copie un e-mail contenant des informations identifiantes, soumette un contrat ou utilise des données relatives à un client ou à un collaborateur pour que ces informations soient traitées en dehors du cadre initialement prévu.
Sur le plan juridique, cela peut entraîner un traitement non déclaré, un transfert de données à l’étranger ou encore une utilisation sans base légale conforme à la loi 09-08. Ce type de situation expose directement l’entreprise à des risques de non-conformité vis-à-vis de la CNDP.
Risque n°2 : atteinte à la confidentialité des informations sensibles
Au-delà des données personnelles, l’utilisation de ChatGPT peut également concerner des informations sensibles relevant du secret des affaires. Il peut s’agir de données commerciales, de stratégies internes, de documents contractuels ou d’éléments financiers.
Sans encadrement précis, ces informations peuvent être introduites dans des outils externes, ce qui entraîne une perte de maîtrise sur leur diffusion et leur utilisation. L’absence de politique interne claire augmente considérablement ce risque, notamment dans les entreprises où les équipes utilisent librement ces outils.
Risque n°3 : responsabilité en cas de contenu erroné ou illégal
Les contenus générés par ChatGPT ne sont pas toujours fiables. Ils peuvent contenir des erreurs, des approximations ou des formulations juridiquement inexactes. Lorsqu’une entreprise réutilise ces contenus dans un cadre professionnel, elle en assume pleinement la responsabilité.
Cela peut concerner des e-mails adressés à des clients, des documents contractuels, des contenus marketing ou encore des analyses internes. L’intervention d’un outil d’intelligence artificielle ne constitue en aucun cas une exonération de responsabilité.
Risque n°4 : absence de cadre interne et défaut de gouvernance
Dans de nombreuses entreprises, l’utilisation de l’intelligence artificielle n’est encadrée par aucune règle formelle. Les salariés utilisent ces outils librement, sans directives claires, sans formation et sans supervision.
Ce défaut de gouvernance constitue un risque en lui-même. Il empêche l’entreprise de maîtriser les usages, de contrôler les flux de données et d’anticiper les risques juridiques. En cas de litige ou de contrôle, cette absence d’encadrement peut être fortement préjudiciable.
Le cadre juridique applicable au Maroc
Même en l’absence d’un texte spécifique encadrant l’intelligence artificielle, plusieurs règles juridiques s’appliquent directement à son utilisation en entreprise. La loi n°09-08 relative à la protection des données personnelles constitue le principal cadre de référence.
S’y ajoutent les règles générales de responsabilité civile, les obligations de sécurité et de confidentialité, ainsi que les dispositions du droit du travail relatives à l’encadrement des outils utilisés par les salariés. L’entreprise demeure responsable de l’ensemble des usages numériques opérés dans son organisation.
Comment sécuriser l’utilisation de ChatGPT en entreprise ?
L’objectif n’est pas d’interdire ces outils, mais de les intégrer dans un cadre juridique sécurisé et maîtrisé.
La première étape consiste à mettre en place une politique interne d’utilisation de l’intelligence artificielle. Cette politique doit définir clairement les usages autorisés, les limites à respecter et les types de données pouvant être utilisés.
Il est également essentiel d’encadrer les données manipulées, en particulier en interdisant l’utilisation de données sensibles et en limitant strictement l’utilisation des données personnelles. Lorsque cela est possible, les informations doivent être anonymisées.
Sur le plan réglementaire, une analyse de conformité doit être réalisée afin de vérifier si les traitements impliquant ces outils sont couverts par les déclarations existantes auprès de la CNDP, ou s’ils nécessitent une régularisation.
Enfin, la sensibilisation des équipes constitue un élément central. Les salariés doivent comprendre les risques liés à ces outils et adopter des pratiques conformes aux exigences juridiques de l’entreprise. Cette démarche peut être complétée par une mise à jour des contrats de travail, des chartes informatiques et des politiques internes.
Ce que font aujourd’hui la plupart des entreprises… et pourquoi c’est risqué
Dans la pratique, de nombreuses entreprises n’ont mis en place aucun encadrement. Les outils sont utilisés librement, sans contrôle ni directives, dans un contexte où les enjeux juridiques sont largement sous-estimés.
Cette situation crée un risque latent, susceptible de se matérialiser à tout moment, notamment en cas de fuite de données, de litige avec un client ou de contrôle par l’autorité compétente. L’absence de cadre transforme un outil de performance en source potentielle de responsabilité.
Conclusion
L’intelligence artificielle représente une opportunité majeure pour les entreprises marocaines. Elle permet d’optimiser les processus, d’améliorer la productivité et de gagner en efficacité.
Toutefois, son utilisation sans encadrement juridique adapté expose à des risques significatifs. Mettre en place un cadre clair permet non seulement de sécuriser l’entreprise, mais également de tirer pleinement parti de ces outils dans un environnement maîtrisé.
Accompagnement du cabinet
Le cabinet accompagne les entreprises dans l’analyse et la sécurisation de leurs usages en matière d’intelligence artificielle. Cet accompagnement couvre notamment l’audit des pratiques internes, la mise en conformité avec la loi 09-08, la rédaction de politiques internes et la sécurisation contractuelle des outils utilisés.
