En quoi la loi 09-08 diffère-t-elle du RGPD ?

La plus grande différence pratique tient aux formalités préalables : la loi 09-08 conserve un régime de déclaration, avec autorisation préalable pour les traitements sensibles, là où le RGPD est passé à la responsabilité. Si vous manipulez des données marocaines et de l’UE, nous les couvrons ensemble avec un seul jeu de contrôles.

Prenez-vous en charge la déclaration CNDP elle-même ?

Nous bâtissons l’inventaire des traitements, déterminons la formalité que chacun requiert, et réunissons la preuve de sécurité et de responsabilité qui la soutient. Le dépôt en tant qu’acte juridique reste à vous et à votre conseil ; nous le rendons exact et défendable.

Nous servons aussi des clients de l’UE — pouvez-vous couvrir le RGPD ?

Oui. Les entreprises marocaines manipulant des données personnelles de l’UE portent aussi des obligations RGPD ; nous menons la préparation loi 09-08 et RGPD ensemble pour qu’un seul jeu de mesures réponde aux deux.

Une conformité loi 09-08 que vous pouvez prouver — déclaration, sécurité, preuves.

Une préparation concrète à la loi marocaine sur la protection des données personnelles et à la CNDP — les formalités préalables, les mesures de sécurité et les preuves de responsabilité qu’attendent l’autorité et vos clients.

Demander un échange de cadrage Voir notre méthode

Praticiens seniors uniquement.
Indépendant des éditeurs.
Reporting fondé sur des preuves.

La loi 09-08 régit la protection des données personnelles au Maroc depuis 2009, et la CNDP — la Commission Nationale de contrôle de la protection des Données à caractère Personnel — la supervise. Contrairement au RGPD, elle conserve un système de formalités préalables : la plupart des traitements doivent être déclarés à la CNDP, et les traitements sensibles requièrent une autorisation préalable avant de commencer.

Nous nous concentrons sur ce que nous pouvons prouver — la sécurité du traitement et les preuves de responsabilité — et laissons l’interprétation juridique à votre conseil. Comme nous menons aussi de la sécurité offensive, les mesures techniques attendues par la loi 09-08 sont conseillées par ceux qui savent comment ces mesures cèdent réellement. Savoir si et comment la loi s’applique à une activité donnée reste à votre conseil.

Là où nous intervenons

Déclarations et autorisations CNDP: Un inventaire cartographié de vos traitements et la formalité préalable que chacun requiert — la déclaration ordinaire, ou l’autorisation préalable qu’exige la loi 09-08 pour les données sensibles et certains traitements — préparé pour que le dépôt corresponde à ce que vous faites réellement.
Sécurité du traitement: Les mesures techniques et organisationnelles qu’attend la loi 09-08, et la preuve qu’elles fonctionnent. C’est ici que notre travail offensif éclaire le conseil : nous savons quels contrôles tiennent face à une vraie attaque et lesquels n’ont l’air corrects que sur un registre.
Droits des personnes et information: Les mentions d’information, la posture de consentement, et les droits d’accès, de rectification et d’opposition que la loi accorde aux personnes — intégrés à un processus que votre équipe peut réellement mener, avec les registres pour le démontrer.
Transferts hors du Maroc: La loi 09-08 encadre les transferts vers les pays qui n’assurent pas un niveau de protection adéquat et les conditionne à une autorisation de la CNDP — nous cartographions vos flux, signalons les transferts concernés et réunissons les preuves.

Périmètre. Nous fournissons une préparation et des preuves concrètes à la conformité, pas un conseil juridique — l’application de la loi 09-08 à votre cas, et les dépôts en tant qu’acte juridique, relèvent de votre conseil. Nous ne détenons aucune autorité CNDP et n’en revendiquons aucune.

Quand les équipes nous appellent

Les moments les plus fréquents où l’on nous sollicite pour la loi 09-08 :

Un client ou un partenaire demande comment vous respectez la loi 09-08 avant de signer.
Vous lancez un produit ou un service qui traite des données personnelles et voulez les formalités CNDP correctes dès le départ.
Vous ne savez pas si un traitement relève d’une déclaration ou d’une autorisation préalable — ni quelles preuves le soutiennent.
Vous manipulez aussi des données personnelles de l’UE et devez couvrir la loi 09-08 et le RGPD ensemble.

Ce que vous recevez

Le dossier de mission HackingByte

Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.

Rapport technique

Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.
Synthèse exécutive des risques

Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.
Plan d’action

Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.

Calendrier

À quoi ressemble une mission de préparation type.

La préparation à la loi 09-08 suit une échéance définie. Une mission représentative s’ouvre sur un inventaire des traitements et un diagnostic d’écarts face aux obligations de la loi — généralement quelques semaines — puis le plan de formalités (quelles déclarations, quelles autorisations), les preuves de sécurité et de responsabilité, et lorsque c’est utile une évaluation technique des mesures, sur les semaines suivantes. Un cadre continu maintient ensuite l’inventaire, les dépôts et les preuves à jour à mesure que vos traitements évoluent.

Nous calons le calendrier sur votre véritable pression — le questionnaire protection des données d’un client, une demande de la CNDP, ou un nouveau produit traitant des données personnelles — et le confirmons lors du cadrage avant tout engagement.

Ce qui nous distingue

Local et littéral — HackingByte S.A.R.L. est basée à Casablanca, la loi 09-08 et la CNDP sont donc notre régime d’origine, pas un cadre étranger que nous découvrons.
La sécurité d’abord — nous menons par les mesures et les preuves que notre travail offensif nous rend réellement qualifiés pour attester, plutôt que de réciter toute la loi.
L’interprétation laissée au conseil — nous rendons la loi 09-08 et les formalités CNDP opérationnelles et confions les arbitrages juridiques à votre conseil ; nous appuyons ce travail, nous ne le remplaçons pas.

Qui la loi 09-08 atteint

Toute organisation qui traite des données personnelles au Maroc.

La loi 09-08 s’applique aux traitements de données personnelles réalisés au Maroc, par un responsable établi ici ou recourant à des moyens situés ici. Elle impose des devoirs au responsable du traitement — finalité, proportionnalité, confidentialité et sécurité — et accorde des droits aux personnes sur leurs données. Nous confirmons votre situation et les traitements que vous menez avant toute conception, car une banque, un éditeur SaaS exportateur et un BPO manipulant des données clients portent des charges de formalités et de preuves très différentes.

Savoir si et comment la loi 09-08 s’applique à une activité donnée est une détermination juridique pour votre conseil. Nous vous aidons à cadrer les obligations et à bâtir les preuves une fois ce point établi.

Le régime de la CNDP

Des formalités préalables — ce qui surprend les équipes formées au RGPD.

La plus grande différence pratique avec le RGPD, c’est que la loi 09-08 a conservé des formalités préalables. Les traitements ordinaires sont déclarés à la CNDP ; les traitements de données sensibles, ou ceux que la loi vise spécialement, requièrent l’autorisation préalable de la CNDP avant de débuter. Les équipes qui arrivent avec une logique RGPD passent souvent complètement à côté. Nous bâtissons l’inventaire des traitements, rattachons chacun à la bonne formalité, et réunissons la preuve de sécurité qui soutient le dépôt — pour que ce que vous déclarez corresponde à ce que vous faites.

Voir nos évaluations de sécurité

Questions fréquentes

Êtes-vous des avocats ou un organisme agréé par la CNDP ?: Non. Nous fournissons une préparation concrète à la sécurité et à la responsabilité ; l’application de la loi 09-08 et les dépôts en tant qu’acte juridique relèvent de votre conseil. Nous ne détenons aucune autorité CNDP et n’en revendiquons aucune — nous appuyons le travail, en particulier la preuve de sécurité, plutôt que de le remplacer.
En quoi la loi 09-08 diffère-t-elle du RGPD ?: La plus grande différence pratique tient aux formalités préalables : la loi 09-08 conserve un régime de déclaration, avec autorisation préalable pour les traitements sensibles, là où le RGPD est passé à la responsabilité. Si vous manipulez des données marocaines et de l’UE, nous les couvrons ensemble avec un seul jeu de contrôles.
Prenez-vous en charge la déclaration CNDP elle-même ?: Nous bâtissons l’inventaire des traitements, déterminons la formalité que chacun requiert, et réunissons la preuve de sécurité et de responsabilité qui la soutient. Le dépôt en tant qu’acte juridique reste à vous et à votre conseil ; nous le rendons exact et défendable.
Nous servons aussi des clients de l’UE — pouvez-vous couvrir le RGPD ?: Oui. Les entreprises marocaines manipulant des données personnelles de l’UE portent aussi des obligations RGPD ; nous menons la préparation loi 09-08 et RGPD ensemble pour qu’un seul jeu de mesures réponde aux deux.

Dites-nous ce que vous traitez et ce qui motive l’échéance — une revue client, une formalité CNDP, ou un nouveau produit — et nous cadrerons la préparation à la loi 09-08 autour des obligations qui s’appliquent réellement.

Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.

Demander un échange de cadrage

Là où nous intervenons

Déclarations et autorisations CNDP

Sécurité du traitement

Droits des personnes et information

Transferts hors du Maroc