Cloud au Maroc 2025 : Nouvelles règles, que doivent faire les startups et SaaS providers ?

Pourquoi le nouvel arrêté va toucher directement les startups SaaS au Maroc

En août 2025, le Chef du Gouvernement a publié un arrêté fixant un référentiel de qualification pour les prestataires Cloud.

L'arrêté entre en vigueur à la date de sa publication au Bulletin Officiel, soit le 21 Août 2025.

Cela signifie que dès cette date, les entités d’importance vitale (IIV) ne peuvent plus légalement recourir à un prestataire Cloud non qualifié par la DGSSI.

Cela impacte tous les éditeurs SaaS marocains qui proposent leurs services à des clients sensibles (banques, assurances, santé, énergie, administrations).

Pourquoi ?

• Ces clients appartiennent aux infrastructures d’importance vitale (IIV).
• La loi leur interdit désormais de recourir à un prestataire Cloud non qualifié par l’Autorité nationale de cybersécurité (DGSSI).
• Donc : si vous êtes une startup SaaS qui héberge chez AWS, Hostinger ou autre, vos prospects sensibles ne pourront plus légalement vous utiliser… sauf conditions strictes.

Que contient l’arrêté ? Que protège-t-il ? Qui est visé ?

L’arrêté repose sur le décret n° 2-24-921 (2024) et cherche à protéger :

• Les systèmes critiques marocains contre l’espionnage et les cyberattaques.
• Les données sensibles (financières, santé, RH, énergie, défense).
• La souveraineté numérique du pays (éviter que les données critiques soient dépendantes de juridictions étrangères).

Cibles principales :

• Prestataires Cloud (IaaS, PaaS, SaaS) → obligation d’être qualifiés par la DGSSI.
• • Startups SaaS marocaines ou étrangères avec clientèle B2B sensible marocaine (banques, assurances, santé, etc.).
  • Datacenters Marocains et Etrangers
  • Moins concernés : SaaS orientés vers des PME classiques ou le grand public.
• Clients sensibles (IIV) → obligation de n’utiliser que des prestataires qualifiés.

Faut-il arrêter son activité SaaS au Maroc ?

Non ! L’arrêté ne vise pas à tuer l’écosystème SaaS, mais à encadrer.

Ce qu’il faut faire pour se conformer :

• Vérifier si vos clients actuels/potentiels sont des IIV.
• Si oui → il faut soit :
  1. Obtenir la qualification DGSSI comme prestataire Cloud,
  2. ou héberger chez un prestataire Cloud déjà qualifié.

Procédure si on NE PEUX PAS passer par un Cloud marocain

• Si vous optez pour AWS, GCP, Hostinger… → obligation de demander une qualification de la DGSSI et une autorisation de la DGSSI pour le transfert international des données sensibles.
• La qualification ne dépend pas seulement du lieu d’hébergement, mais de la capacité du prestataire SaaS à prouver qu’il respecte le référentiel (sécurité, conformité, gouvernance).
• Héberger à l’étranger ajoute une couche : le prestataire doit aussi obtenir une autorisation spécifique de la DGSSI pour le transfert international de données sensibles (comme prévu par le décret 2-24-921).
• L’hébergeur n’a pas besoin d’être qualifié DGSSI lui-même.
• Mais le prestataire SaaS doit prouver à la DGSSI que son hébergeur respecte :
  • des standards de sécurité équivalents (ISO 27001, SOC2, certifications sectorielles, etc.),
  • la localisation dans une juridiction considérée comme acceptable,
  • la mise en place de clauses contractuelles solides (contrat de sous-traitance, SLA, exigences de sécurité, notification en cas d’incident).

En clair : l’hébergeur reste un sous-traitant du SaaS, et c’est le SaaS qui porte la responsabilité devant la DGSSI.

• Dossier à monter :
  • Description du service, des clients, des données traitées.
  • Preuves que les données seront protégées au niveau requis (certifications ISO 27001, 27017, 27018, SOC2, etc.).
  • Démonstration de conformité légale dans le pays d’hébergement.
• La DGSSI peut refuser si la juridiction de destination est jugée non fiable (ex. pays à risque d’espionnage ou hors accords bilatéraux).

Procédure si on passe par un hébergeur marocain

SaaS hébergé dans un datacenter marocain (ex. Maroc Datacenter, Inwi, Orange, Atlas Cloud, etc.)

• Si le SaaS cible des clients sensibles (banques, assurances, santé, défense, énergie, etc.) → qualification DGSSI obligatoire. 
  

Hébergement local sans certification

• Même si les serveurs sont au Maroc, un SaaS non qualifié ne pourra pas être choisi par une IIV.

L’objectif du dispositif n’est pas seulement la localisation des données, mais aussi la maturité en cybersécurité du prestataire.

Est-ce que ça change beaucoup pour les startups SaaS ?

Oui, pour les clients sensibles (IIV) : impossible de signer avec eux si vous êtes hors qualification.

Non, pour les autres clients (PME, particuliers) : vous pouvez continuer à utiliser AWS/Hostinger.

En pratique :

• Les startups visant les marchés critiques (banque, santé, énergie) vont devoir investir dans la conformité.
• Les startups orientées B2C ou PME pourront continuer avec leur modèle actuel.

Sanctions et risques

Pour le prestataire SaaS :

• Refus ou retrait de qualification = exclusion des marchés sensibles.
• Perte de crédibilité et de clients publics/stratégiques.

Pour le client (IIV) :

• Sanctions administratives si recours à un prestataire non qualifié.
• Responsabilité en cas de fuite de données sensibles.

Exemples pratiques

• Startup SaaS RH avec une banque : doit soit migrer vers un hébergeur marocain qualifié, soit prouver que son AWS (ex. Irlande) est autorisé par la DGSSI.
• App SaaS CRM pour PME de Casablanca : pas concernée, peut continuer à utiliser Hostinger.
• SaaS médical ciblant des hôpitaux publics : stockage au Maroc quasi obligatoire.

ISO 27001 : utile ou obligatoire ? Combien ça coûte ?

• Pas obligatoire légalement, mais c’est le standard attendu par la DGSSI.
• Facilite la qualification Cloud car elle démontre la conformité sécurité.
• Coût moyen :
  • Petites structures : 150 000 – 300 000 MAD (audit + consulting + certification).
  • Grandes structures : peut dépasser 500 000 MAD.
• Alternatives : ISO 27017 (Cloud), ISO 27018 (protection des données personnelles).

Sources

Bulletin Officiel : https://www.sgg.gov.ma/BO/FR/2873/2025/BO_7432_Fr.pdf