Si votre entreprise opère au Maroc, elle traite des données personnelles — clients, salariés, prospects, candidats. Et depuis 2009, la loi 09-08 soumet la plupart de ces traitements à une formalité préalable auprès de la CNDP, la Commission Nationale de contrôle de la protection des Données à caractère Personnel. Pendant des années, beaucoup d’équipes ont traité ce sujet comme un point administratif lointain. Cette époque est terminée : la CNDP a clos sa phase de sensibilisation en février 2025 et conduit désormais des contrôles actifs, secteur par secteur. Ce guide explique, concrètement, ce que la loi attend, comment distinguer déclaration et autorisation préalable, et quelles preuves préparer — sans jargon juridique, et sans prétendre remplacer votre conseil.
Ce que la CNDP attend de vous en 2026
La CNDP est l’autorité marocaine de protection des données personnelles. Elle reçoit les déclarations, délivre les autorisations, instruit les plaintes des personnes concernées et contrôle la conformité des responsables de traitement. Ce qui a changé récemment, c’est la posture : après une longue période où l’autorité privilégiait la pédagogie, elle a annoncé la fin de sa phase de sensibilisation en février 2025 et mène depuis des campagnes de contrôle sectorielles.
Être en règle, vu de l’autorité, tient en trois points simples à énoncer et exigeants à tenir. D’abord, vos formalités sont déposées et correspondent à ce que vous faites réellement — un traitement déclaré pour une finalité, exploité pour une autre, est un problème, pas une protection. Ensuite, les mesures de sécurité que la loi attend existent et fonctionnent, et vous pouvez le démontrer. Enfin, quand une personne exerce ses droits — ou quand la CNDP pose une question — votre équipe sait répondre, avec des registres à l’appui plutôt que des souvenirs.
Le reste de ce guide suit cet ordre, parce que c’est l’ordre dans lequel le travail se construit.
Déclaration ou autorisation préalable : le test pratique
La différence la plus structurante de la loi 09-08 — et celle qui surprend systématiquement les équipes formées au RGPD — tient à son régime de formalités préalables. Là où le RGPD repose sur la responsabilité du responsable de traitement, la loi marocaine a conservé un système où l’on se manifeste auprès de l’autorité avant de traiter.
En pratique, le test se résume ainsi. Les traitements ordinaires — gestion des clients, paie et administration RH, prospection commerciale classique — relèvent de la déclaration préalable auprès de la CNDP. Les traitements qui portent sur des données sensibles — celles qui révèlent par exemple l’état de santé, les opinions, les convictions ou l’origine —, ainsi que ceux que la loi vise spécialement, exigent une autorisation préalable : l’accord de la CNDP doit précéder le démarrage du traitement, pas le suivre.
Deux erreurs reviennent sans cesse. La première : lancer le traitement et « régulariser ensuite » — le régime marocain est précisément construit pour l’inverse. La seconde : déposer une formalité générique qui ne décrit pas le traitement réel — finalité approximative, catégories de données incomplètes, destinataires absents. Une formalité inexacte ne protège personne ; elle documente l’écart.
Un point de méthode, enfin : déterminer si une activité donnée relève de la déclaration, de l’autorisation ou d’une exemption est une qualification juridique. C’est le terrain de votre conseil. Notre rôle, en tant que praticiens de la sécurité, commence une fois cette qualification posée : faire en sorte que ce qui est déposé corresponde à ce qui tourne réellement dans vos systèmes.
L’inventaire des traitements — la pièce que tout le monde saute
On ne peut pas déposer des formalités exactes sur des traitements qu’on n’a pas recensés. C’est une évidence, et c’est pourtant l’étape que la plupart des organisations sautent, parce qu’elle est moins visible qu’un dépôt et moins gratifiante qu’une politique.
Un inventaire utile répond, pour chaque traitement, à cinq questions : quelle finalité, quelles catégories de données et de personnes, quelles durées de conservation, quels destinataires internes et externes, et quels flux — où les données sont stockées, par où elles transitent, qui y accède. À ce stade, les angles morts habituels apparaissent d’eux-mêmes : l’export Excel que le marketing garde « au cas où », l’outil SaaS adopté sans revue, le prestataire qui sous-traite à son tour.
Cet inventaire n’est pas un document de plus : c’est la colonne vertébrale de tout le reste. Il détermine quelles formalités déposer, où les mesures de sécurité doivent porter, comment répondre à une personne qui exerce ses droits, et quels transferts hors du Maroc nécessitent une attention particulière. Une organisation qui tient son inventaire à jour a fait la moitié du chemin ; une organisation qui ne l’a pas fait improvise tout le reste.
Les mesures de sécurité derrière le dépôt
La loi 09-08 impose au responsable de traitement de protéger les données qu’il traite — des mesures techniques et organisationnelles à la hauteur des risques. Autrement dit, chaque formalité déposée contient une promesse implicite : « ce traitement est protégé ». La question qui suit, celle qu’un contrôle ou un client finira par poser, est simple : pouvez-vous le prouver ?
Les preuves attendues sont celles d’une hygiène de sécurité sérieuse : qui accède à quoi et pourquoi, des comptes nominatifs plutôt que partagés, des journaux qui permettent de reconstituer un incident, des sauvegardes testées, du chiffrement là où il compte, des postes et serveurs maintenus. Rien d’exotique — mais l’écart entre « c’est écrit dans une politique » et « cela fonctionne, et voici la preuve » est exactement l’écart qu’un contrôle révèle.
C’est ici que notre métier de base change la nature du conseil. Comme nous menons des évaluations de sécurité et des tests d’intrusion, nous savons quels contrôles tiennent face à une vraie attaque et lesquels n’ont l’air corrects que sur un registre. Notre préparation à la loi 09-08 part de là : des mesures attestées par des gens dont le travail quotidien est de les faire céder.
Droits des personnes : information, accès, rectification, opposition
La loi 09-08 accorde aux personnes des droits sur leurs données, et ces droits créent des obligations très concrètes. L’information d’abord : au moment de la collecte, la personne doit savoir qui traite ses données, pour quelle finalité, et comment exercer ses droits — ce qui se traduit par des mentions d’information exactes sur vos formulaires, vos contrats et vos parcours numériques, et par une posture de consentement propre là où le consentement est la base du traitement.
Viennent ensuite l’accès, la rectification et l’opposition. Le test honnête n’est pas « notre politique les mentionne-t-elle ? » mais : si une personne écrivait demain pour demander ce que vous détenez sur elle, votre équipe saurait-elle quoi faire, en combien de temps, et en garderait-elle une trace ? Un processus que personne ne sait dérouler n’existe pas. Les organisations sérieuses outillent ce parcours — un point d’entrée connu, un circuit de traitement, des registres — pour que la réponse soit un réflexe et non une crise.
Transferts hors du Maroc : le piège du cloud par défaut
La loi 09-08 encadre les transferts de données personnelles vers l’étranger : lorsque le pays de destination n’assure pas un niveau de protection jugé suffisant, le transfert est subordonné à une autorisation de la CNDP. Le piège, c’est que « transfert » ne veut pas dire « projet d’externalisation exotique » : un hébergement cloud hors du Maroc, un outil SaaS dont les serveurs sont à l’étranger, un support technique qui accède aux données depuis un autre pays — tout cela transfère.
La démarche raisonnable suit l’inventaire : cartographier les flux réels, identifier ceux qui quittent le territoire, déterminer — avec votre conseil — le régime applicable à chacun, et réunir les preuves correspondantes. Les équipes qui découvrent leurs transferts au moment où on le leur demande découvrent en général aussi qu’elles ne savent pas exactement où vivent leurs données. L’inventaire, encore lui, est ce qui évite cette conversation.
Loi 09-08 et RGPD ensemble : un seul programme de preuves
Beaucoup d’entreprises marocaines — éditeurs, BPO, prestataires servant des clients européens — vivent sous deux régimes à la fois : la loi 09-08 pour leurs traitements au Maroc, le RGPD dès qu’elles manipulent des données de personnes situées dans l’UE. La tentation est de mener deux chantiers parallèles ; c’est presque toujours une erreur.
Les logiques de formalités diffèrent — préalables ici, responsabilisation là — mais les fondations sont les mêmes : un inventaire exact, des mesures de sécurité démontrables, des droits que l’équipe sait servir, des transferts cartographiés. Un seul jeu de contrôles, documenté une fois, alimente les deux conformités. L’inverse — importer mécaniquement les réflexes RGPD au Maroc — fait précisément manquer ce que la loi 09-08 a de spécifique : les formalités préalables, qui n’ont pas d’équivalent européen.
La réforme qui vient — et pourquoi elle ne change pas votre prochaine étape
La modernisation de la loi 09-08 est publiquement engagée comme orientation : l’autorité elle-même plaide pour un cadre rapproché des standards internationaux, avec des contrôles a priori allégés et des sanctions renforcées. Mais à ce jour, aucun nouveau texte n’est en vigueur : la loi 09-08 et son régime de formalités s’appliquent pleinement.
La conclusion pratique est plus simple qu’il n’y paraît. Tout ce qu’une réforme pourrait changer — la forme des formalités, l’échelle des sanctions — repose sur des fondations qui, elles, ne changeront pas : savoir ce que vous traitez, le protéger, le prouver. Un inventaire à jour et des preuves de sécurité solides se reportent intégralement sur n’importe quel régime futur. Attendre la réforme pour s’y mettre, c’est cumuler le risque d’aujourd’hui avec le retard de demain.
Par où commencer
La séquence qui fonctionne tient en quatre temps : un inventaire des traitements honnête ; la qualification des formalités avec votre conseil ; les mesures de sécurité et leurs preuves ; puis les processus de droits et de transferts qui s’appuient sur tout cela. C’est exactement la préparation que nous menons — en partant de la sécurité, qui est notre terrain, et en laissant l’interprétation juridique au vôtre.
Si une échéance approche — une revue client, une question de la CNDP, un nouveau produit qui traite des données personnelles — parlez-nous de votre situation : un échange de cadrage suffit généralement à dimensionner le travail réel.
Questions fréquentes
Qui doit déposer une déclaration auprès de la CNDP ?
Tout responsable de traitement de données personnelles entrant dans le champ de la loi 09-08 — c’est-à-dire, en pratique, la plupart des organisations qui traitent des données de clients, de salariés ou de prospects au Maroc. La qualification précise de votre situation relève de votre conseil juridique ; l’inventaire des traitements est le préalable dans tous les cas.
Quelle est la différence entre déclaration et autorisation préalable ?
La déclaration s’applique aux traitements ordinaires : vous informez la CNDP avant de traiter. L’autorisation préalable s’applique aux données sensibles et aux traitements spécialement visés par la loi : l’accord de la CNDP doit être obtenu avant le démarrage du traitement.
Que risque-t-on en cas de non-conformité ?
La loi 09-08 prévoit des sanctions, et la CNDP est passée d’une posture de sensibilisation à des contrôles actifs depuis février 2025. Au-delà des sanctions, le risque le plus immédiat est commercial : les clients — marocains comme européens — demandent de plus en plus de preuves de conformité avant de signer.
La loi 09-08 est-elle l’équivalent marocain du RGPD ?
Elle en partage les fondations — finalité, proportionnalité, droits des personnes, sécurité — mais en diffère sur un point structurant : la loi 09-08 conserve des formalités préalables auprès de la CNDP, là où le RGPD repose sur la responsabilisation. C’est l’erreur classique des équipes formées au RGPD.
Faut-il un avocat pour se mettre en conformité ?
L’application de la loi à votre cas et les dépôts en tant qu’acte juridique relèvent de votre conseil. Mais l’essentiel du travail de préparation — inventaire, mesures de sécurité, preuves, processus — est opérationnel et technique. Les deux se complètent ; aucun ne remplace l’autre.