بقلم: المصطفى المعاش
مدير قانوني ومستشار عام
في ظل التسارع الرقمي الحالي، لم تعد حماية المعطيات الشخصية مجرد قضية تقنية أو امتثال شكلي.
بصفتي مديرًا عامًا للشؤون القانونية ومديرًا للدعم يشرف على الوظائف التقنية داخل مجموعة قابضة، أعاين يوميًا مدى تداخل الإشكاليات القانونية، التشغيلية، التنظيمية والتكنولوجية.
هذا التشابك يتطلب تحملًا مشتركًا للمسؤولية بين الإدارات القانونية، ومديريات نظم المعلومات، وإدارة المخاطر، واللجان التنفيذية.
الهجوم السيبراني الذي استهدف مؤخرًا الصندوق الوطني للضمان الاجتماعي (CNSS) لم يكشف فقط عن خلل تقني، بل أظهر حدود الحوكمة المجزأة للبيانات الحساسة في المغرب.
لم تعد البيانات موردًا ثانويًا، بل أصبحت رافعة استراتيجية، ومصدرًا كبيرًا للمخاطر، وأرضية محتملة لنزاعات موسعة.
ما وقع يدفعنا إلى التساؤل: هل نحن مستعدون – من حيث القانون، وبنية نظم المعلومات، والحوكمة – لمواجهة تعقيدات المخاطر السيبرانية المتزايدة؟
السياق: حادث تقني تحول إلى اختبار مؤسساتي شامل
تعرض الصندوق الوطني للضمان الاجتماعي لهجوم سيبراني أدى إلى تسريب واسع لمعطيات شخصية تخص موظفين مغاربة، وتم تداولها في الشبكة المظلمة (Dark Web).
ولا يتعلق الأمر بخلل معزول، بل يمثل اختبارًا حقيقيًا لصلابة نموذج حماية البيانات في بلادنا، ولمدى استعداد المؤسسات العمومية فعليًا.
ورغم أن البيانات المتسربة مصدرها شركات خاصة، إلا أنها تم تسريبها من خلال جهة عمومية مكلفة بالحفظ والمعالجة القانونية.
وهذا يثير تساؤلات جوهرية حول سلسلة المعالجة، والمسؤولية المشتركة في تدبير الخطر، وحقوق الأفراد المعنيين.
الإطار القانوني المنظم للهجمات السيبرانية وتسريب البيانات
- بيانات خاصة تم تسريبها عبر هيئة عمومية
البيانات التي تم اختراقها لم تُخترق من داخل أنظمة معلومات الشركات الخاصة، وإنما من طرف جهة عمومية ثالثة، هي الصندوق الوطني للضمان الاجتماعي، التي يُفترض بها ضمان معالجة هذه البيانات في إطار القانون.
- الالتزامات الأمنية للمسؤولين عن المعالجة
ينص الفصل 23 من القانون رقم 09-08 على أن كل مسؤول عن المعالجة، سواء كان من القطاع العام أو الخاص، مطالب باتخاذ “جميع التدابير التقنية والتنظيمية الملائمة لضمان أمن البيانات ذات الطابع الشخصي”.
وينطبق هذا الالتزام بشكل كامل على CNSS، باعتبارها مسؤولة مستقلة عن البيانات التي تتسلمها في إطار مهامها.
- المسؤولية في حالة التقصير
القانون 09-08 لا يمنح أي إعفاء من المسؤولية في حالة وقوع هجوم سيبراني.
بالتالي، إذا لم تتخذ مؤسسة عمومية أو خاصة التدابير الضرورية لحماية المعطيات الشخصية، فإنها تتحمل المسؤولية حتى وإن كان مصدر الهجوم جهة خارجية.
وتنص الفصول من 57 إلى 61 على عقوبات قد تصل إلى 300.000 درهم كغرامة، إضافة إلى عقوبات سالبة للحرية في الحالات الخطيرة (مثل المعالجة غير القانونية، الإهمال الفادح، أو عدم التعاون مع اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي – CNDP).
- التزامات خاصة بالجهات العمومية
القانون 05-20 المتعلق بالأمن السيبراني يعزز الالتزامات المفروضة على المؤسسات العمومية مثل الصندوق الوطني للضمان الاجتماعي، ومنها:
المادة 4: إلزامية اعتماد سياسة أمنية خاصة بنظم المعلومات؛
المادة 6: تعيين مسؤول عن أمن نظم المعلومات (RSSI: Responsable de la Sécurité des Systèmes d’Information)؛
المادة 5: تصنيف الأصول الرقمية بحسب درجة حساسيتها؛
المادة 7: إلزامية التصريح بالحوادث الكبرى للمديرية العامة لأمن نظم المعلومات (DGSSI: Direction Générale de la Sécurité des Systèmes d’Information) التابعة لإدارة الدفاع الوطني.
تهدف هذه الالتزامات إلى تأطير عمليات الوقاية، والكشف، والاستجابة للحوادث السيبرانية في المؤسسات العمومية.
غير أن العلاقة بين هذا القانون القطاعي والقانون 09-08 لا تزال غير واضحة بما يكفي في التطبيق العملي.
الأمن السيبراني في خريطة المخاطر: الحلقة الضعيفة المهملة
قلة قليلة من الشركات المغربية تعتبر الأمن السيبراني عنصرًا استراتيجيًا ضمن خريطة مخاطرها، رغم تأثيره العرضاني على مجالات متعددة: القانون، الموارد البشرية، تقنية المعلومات، المالية، والعلاقات الاجتماعية.
تكشف حادثة CNSS عن خلل في حوكمة المخاطر داخل المؤسسات: يتم التقليل من شأن الخطر السيبراني ويُعالج بشكل منعزل بين إدارات نظم المعلومات والإدارات القانونية.
أوجه القصور المتكررة تشمل:
- غياب خطة استجابة للأزمات السيبرانية تشمل الأقسام التشغيلية؛
- غياب بروتوكولات تواصل داخلية وخارجية خلال الأزمات؛
- عقود غامضة أو منعدمة في العلاقات مع الجهات التي تحتفظ بالبيانات؛
- ضعف التنسيق بين الأقسام القانونية، والتقنية، والامتثال.
هذه النقائص تعرض الشركات لمخاطر أكبر تتعلق بالنزاعات القانونية، فقدان الثقة، الضرر بالسمعة، والضغوط التنظيمية.
من المسؤولية القانونية إلى تعبئة جماعية
يقوم الصندوق الوطني للضمان الاجتماعي، نيابة عن الدولة، بجمع ومعالجة معطيات شخصية تخص ملايين الأجراء. وعندما يقع خلل، تجد الشركات وموظفوها أنفسهم في موقع المتضرر من خلل لم يسببوه ولم يسيطروا عليه.
لذلك، أصبح من الضروري أن تتحرك الهيئات الممثلة للقطاع الخاص – الاتحاد العام لمقاولات المغرب (CGEM)، الفيدراليات، والجمعيات المهنية – من أجل:
- المطالبة بالشفافية وإجراء تدقيقات مستقلة لتحديد أسباب الاختراق؛
- الدفع بخطة وطنية لحماية نظم البيانات الحساسة؛
- إرساء حوار منتظم ومنظم مع CNDP وDGSSI؛
- المساهمة في نشر ثقافة أمن سيبراني متكاملة قانونيًا وتشغيليًا داخل المنظومة الاقتصادية الوطنية.
توصيات عملية ودعوة إلى نقاش وطني
في حدود تجربة مهنية متواضعة، أقدم بعض التوصيات كممارس في مجال القانون التجاري ومدير معني بتدبير المخاطر:
تعزيز الصمود التشغيلي
- إعداد خريطة لتدفق البيانات التي تُسند إلى أطراف ثالثة، سواء عمومية أو خاصة؛
- مراجعة وتحديث البنود التعاقدية المتعلقة بالأمن، التفويض، والإشعار بالحادثة؛
- وضع خطة استجابة للأزمات السيبرانية تشمل الجوانب القانونية، التقنية، الموارد البشرية، والتواصل؛
- تدريب الهيئات القيادية على حوكمة البيانات والمخاطر السيبرانية؛
- إدماج المخاطر السيبرانية في لجان التدقيق وخريطة المخاطر الاستراتيجية للشركات.
إطلاق نقاش وطني منظم
يجب أن يُمكن هذا النقاش من توضيح:
- المسؤولية المشتركة للقطاعين العام والخاص في تدبير البيانات الشخصية؛
- إلزامية الإشعار عند وقوع خرق (ضمن إطار تنظيمي مُحكم)؛
- اعتماد معايير وطنية موحدة في العقود (اتفاقيات مستوى الخدمة – SLA، التحقق من الجاهزية السيبرانية، المسؤولية المتسلسلة)؛
- إنشاء آلية تأمين أو صندوق تضامني خاص بالمخاطر الرقمية المنهجية.
هذا النقاش يجب أن يجمع بين: القانونيين، مسؤولي الأمن السيبراني (RSSI)، مدراء نظم المعلومات، الإدارات العامة، اللجنة الوطنية لحماية المعطيات (CNDP)، المديرية العامة لأمن نظم المعلومات (DGSSI)، الفاعلين المؤسساتيين، والشركاء الاجتماعيين، بروح غير اتهامية بل بناءة، سيادية واستباقية.
نحو سيادة رقمية متكاملة
تشكل حادثة الصندوق الوطني للضمان الاجتماعي نقطة تحول في فهم المخاطر السيبرانية في المغرب. لقد أثبتت أن الامتثال الشكلي وحده لا يوفر حماية حقيقية ضد تهديدات منهجية وواقعية.
لا يمكن بعد الآن التعامل مع حوكمة المعطيات كمسألة قانونية ملحقة أو تقنية بحتة. بل يجب أن تعتبر ركيزة استراتيجية مركزية لضمان السيادة التشغيلية، والثقة الاقتصادية، والاستقرار التنظيمي.
