Oui, le RGPD européen peut s’appliquer à une entreprise marocaine — même sans bureau, filiale ni serveur dans l’Union européenne. Ce qui déclenche son application, ce n’est pas votre lieu d’établissement, mais ce que vous faites : si vous proposez des biens ou des services à des personnes situées dans l’UE, ou si vous suivez leur comportement en ligne, le règlement vous concerne, en parallèle de la loi 09-08 qui, elle, encadre vos traitements au Maroc.
Ce guide explique quand le RGPD atteint une entreprise marocaine, l’obligation la plus souvent oubliée — le représentant dans l’UE —, ce qui le distingue de la loi 09-08, et la question des transferts de données entre l’UE et le Maroc. Comme toujours, nous restons sur le terrain opérationnel : la qualification juridique de votre situation relève de votre conseil et des textes, pas d’un article.
Pourquoi un texte européen s’applique hors d’Europe
Le RGPD a une portée extraterritoriale assumée. Son article 3 fixe deux situations dans lesquelles il s’applique à un organisme établi hors de l’UE — donc à une entreprise marocaine.
La première : vous offrez des biens ou des services à des personnes qui se trouvent dans l’Union, qu’elles paient ou non. Un site marchand qui livre en France, une application SaaS avec des utilisateurs en Allemagne, une plateforme qui accepte les commandes depuis l’Espagne — tous traitent des données de personnes dans l’UE dans le cadre d’une offre qui les vise.
La seconde : vous suivez le comportement de personnes situées dans l’Union, dès lors que ce comportement a lieu dans l’UE. Le profilage publicitaire, les cookies de suivi, l’analyse d’audience, le scoring comportemental visant des internautes européens entrent dans ce cas.
Le critère décisif n’est jamais votre adresse, c’est le ciblage. Une entreprise marocaine qui vend uniquement au Maroc, à une clientèle marocaine, n’est en principe pas dans le champ du RGPD — elle reste sous la loi 09-08. Une entreprise marocaine qui vise activement le marché européen y entre, où que soient ses bureaux.
Les signes qui montrent que vous visez l’UE
Offrir des biens ou des services « à des personnes dans l’UE » ne se déduit pas de la simple accessibilité de votre site. Un site marocain consultable depuis l’Europe ne suffit pas. Ce qui compte, c’est l’intention manifeste de servir un public européen, et elle se lit à des indices concrets : une langue d’un État membre proposée alors qu’elle n’est pas la vôtre, l’affichage des prix en euros, la mention de livraisons ou d’expéditions vers des pays de l’UE, un nom de domaine européen, une clientèle européenne citée en référence, ou une publicité ciblant ces marchés.
Aucun de ces indices n’est décisif à lui seul, mais leur accumulation l’est. Si votre développement commercial repose, en partie, sur des clients européens, partez du principe que le RGPD est dans le tableau — et faites confirmer le périmètre exact par votre conseil.
Responsable de traitement ou sous-traitant : le cas des BPO et éditeurs
Une nuance change tout pour une grande partie de l’économie numérique marocaine — centres de services, BPO, éditeurs de logiciels, prestataires offshore. Vous pouvez être concerné par le RGPD non pas parce que vous visez le marché européen pour votre propre compte, mais parce que vous traitez des données européennes pour le compte d’un client qui, lui, y est soumis.
Dans ce cas, vous êtes sous-traitant au sens du RGPD. Le règlement impose alors une chaîne d’obligations contractuelles : un contrat de sous-traitance conforme à son article 28, des garanties de sécurité, une obligation d’assister le client dans ses propres obligations, et l’encadrement de toute sous-traitance ultérieure. En pratique, vos clients européens vous transmettront ces exigences par contrat et par questionnaire — et votre capacité à y répondre devient un argument commercial autant qu’une obligation.
C’est le point où votre posture de sécurité cesse d’être un coût pour devenir un avantage : un sous-traitant marocain capable de démontrer des mesures sérieuses gagne des contrats que d’autres perdent au stade du questionnaire fournisseur.
Le représentant dans l’UE : l’obligation que tout le monde oublie
Quand le RGPD s’applique à une entreprise marocaine qui n’a aucun établissement dans l’Union, son article 27 impose une obligation précise et souvent ignorée : désigner par écrit un représentant établi dans l’UE. Ce représentant — une personne physique ou morale dans l’un des États membres où se trouvent vos personnes concernées — sert de point de contact pour les autorités de contrôle et pour les personnes qui exercent leurs droits.
L’obligation connaît des exceptions — notamment pour les traitements occasionnels, qui ne portent pas à grande échelle sur des données sensibles et présentent peu de risques. Mais la règle par défaut est claire : pas d’établissement dans l’UE plus une activité visée par l’article 3 égale un représentant à désigner. C’est l’un des écarts les plus fréquents chez les entreprises marocaines qui pensent, à tort, qu’« être au Maroc » les met hors de portée.
RGPD et loi 09-08 : les différences qui comptent
Les deux régimes partagent leurs fondations — finalité, proportionnalité, droits des personnes, sécurité des traitements — et une même entreprise marocaine tournée vers l’export vit souvent sous les deux à la fois. Mais trois différences structurent la pratique.
La logique de conformité, d’abord. La loi 09-08 conserve un système de formalités préalables auprès de la CNDP : on déclare, ou on demande une autorisation, avant de traiter. Le RGPD a supprimé ces formalités générales au profit de la responsabilisation : vous n’attendez l’autorisation de personne, mais vous devez pouvoir prouver votre conformité à tout moment. Importer mécaniquement les réflexes de l’un dans l’autre est l’erreur classique — le détail des formalités CNDP est traité dans notre guide de la déclaration CNDP, et la procédure de dépôt (formulaires, délais) dans notre guide des formulaires CNDP.
Le représentant, ensuite. Le RGPD impose le représentant dans l’UE décrit plus haut ; la loi 09-08 n’a pas d’équivalent.
L’échelle des sanctions, enfin. Le RGPD prévoit des amendes administratives qui se comptent en pourcentage du chiffre d’affaires mondial — un ordre de grandeur sans commune mesure avec le régime marocain. Pour une entreprise exposée aux deux, c’est souvent le RGPD qui fixe le niveau d’exigence.
Les transferts UE → Maroc : le Maroc n’est pas « adéquat »
Un point technique a des conséquences commerciales directes. Lorsqu’un client européen confie des données personnelles à un prestataire marocain, il opère un transfert hors de l’UE. Or le Maroc ne figure pas, à ce jour, parmi les pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat.
Concrètement, ce transfert doit être encadré par des garanties appropriées — le plus souvent les clauses contractuelles types de la Commission, parfois complétées par des mesures supplémentaires après analyse. Pour le client européen, cela ajoute une étape ; pour le prestataire marocain, cela ajoute une attente. Les BPO et éditeurs qui anticipent — clauses prêtes, mesures de sécurité documentées, cartographie des accès — transforment une friction réglementaire en signal de sérieux. Ceux qui la découvrent au moment de signer ralentissent l’affaire.
Un seul programme, deux conformités
La tentation, face à deux régimes, est de monter deux chantiers. C’est presque toujours une erreur, et pour la même raison que côté loi 09-08 : les fondations sont communes. Un inventaire des traitements exact, des mesures de sécurité démontrables, des droits que l’équipe sait servir, des transferts cartographiés — un seul jeu de contrôles, documenté une fois, alimente la conformité 09-08 et la conformité RGPD. La couche proprement RGPD se résume alors à ce qui lui est spécifique : le représentant, les bases légales, l’encadrement des transferts.
C’est le travail que nous menons en conseil GRC, en partant de la sécurité — notre terrain — et en laissant l’interprétation juridique au vôtre. Pour une vue d’ensemble de nos services de cybersécurité au Maroc, consultez notre page Maroc.
Par où commencer
La séquence raisonnable tient en quatre temps : déterminer, avec votre conseil, si et comment le RGPD vous atteint ; cartographier les traitements et les flux concernés, données européennes incluses ; traiter la couche spécifique au RGPD — représentant, bases légales, transferts ; et démontrer la sécurité qui sous-tend l’ensemble. C’est exactement ce qui sert, en même temps, votre conformité à la loi 09-08.
Si une échéance approche — un client européen qui vous adresse un questionnaire, des clauses contractuelles types à signer, un nouveau marché dans l’UE — parlez-nous de votre situation : un échange de cadrage suffit généralement à dimensionner le travail réel.
Questions fréquentes
Le RGPD s’applique-t-il aux entreprises marocaines ?
Il peut s’appliquer, même sans établissement dans l’UE, dès lors que l’entreprise offre des biens ou services à des personnes situées dans l’Union, ou suit leur comportement en ligne. Une entreprise qui ne sert qu’une clientèle marocaine relève en principe de la seule loi 09-08. La qualification précise relève de votre conseil.
Une entreprise marocaine doit-elle désigner un représentant dans l’UE ?
Oui, en règle générale, lorsque le RGPD lui est applicable et qu’elle n’a aucun établissement dans l’Union (article 27), sauf exceptions limitées pour certains traitements occasionnels et peu risqués. Le représentant est le point de contact des autorités et des personnes concernées dans l’UE.
Quelle est la différence entre le RGPD et la loi 09-08 ?
La loi 09-08 conserve des formalités préalables auprès de la CNDP ; le RGPD repose sur la responsabilisation, sans déclaration générale. Le RGPD impose en outre un représentant dans l’UE et des sanctions d’une tout autre échelle. Les fondations — sécurité, droits, finalité — sont communes.
Je suis un BPO ou un éditeur servant des clients européens — suis-je concerné ?
Très probablement, comme sous-traitant agissant pour le compte de clients soumis au RGPD. Cela implique un contrat conforme à l’article 28, des garanties de sécurité et l’encadrement de la sous-traitance ultérieure — exigences que vos clients vous transmettront par contrat et par questionnaire.
Le Maroc est-il reconnu « adéquat » par l’Union européenne ?
Non, le Maroc ne figure pas parmi les pays bénéficiant d’une décision d’adéquation. Les transferts de données de l’UE vers un prestataire marocain doivent donc être encadrés par des garanties appropriées, le plus souvent les clauses contractuelles types de la Commission européenne.