E
Eurastech Digital consulting

Conformite CNDP loi 09-08 pour PME au Maroc: guide 2026

Meriem El Goussairi

La loi 09-08 et la CNDP imposent a toute entreprise marocaine qui traite des donnees personnelles un ensemble d obligations concretes: declarations, information des personnes, securite proportionnee, notification des violations, encadrement des transferts internationaux. Ce guide donne aux DG, DSI, DAF et responsables juridiques de PME marocaines une lecture operationnelle de la conformite CNDP loi 09-08 en 2026: checklist d auto-evaluation, procedures a mettre en place, sanctions encourues, interactions avec les SaaS internationaux. Pas de discours juridique abstrait: les actions a mettre en place pour etre defendable en cas de controle.

Ce que la loi 09-08 exige vraiment

La loi 09-08 (relative a la protection des personnes physiques a l egard du traitement des donnees a caractere personnel) impose plusieurs obligations cumulatives.

  • Declarations ou autorisations prealables de certains traitements aupres de la CNDP.
  • Finalite definie et legitime pour chaque traitement.
  • Proportionnalite entre les donnees collectees et la finalite.
  • Securite proportionnee aux risques.
  • Information des personnes concernees de maniere loyale.
  • Respect des droits des personnes (acces, rectification, suppression, opposition).
  • Duree de conservation limitee dans le temps.
  • Encadrement des transferts de donnees vers l etranger.
  • Notification des violations de donnees.

Ces obligations s appliquent a toute entreprise traitant des donnees personnelles de personnes situees au Maroc, meme si l entreprise elle-meme est etrangere.

Definition rapide: une donnee personnelle est une information qui identifie directement ou indirectement une personne (nom, email, telephone, ICE, numero de client, adresse IP dans certains cas).

Traitements soumis a declaration CNDP

La CNDP distingue plusieurs regimes selon la sensibilite du traitement.

  • Declaration simplifiee: traitements courants (RH, clients, fournisseurs, comptabilite) qui correspondent a des normes simplifiees de la CNDP.
  • Declaration ordinaire: traitements plus specifiques qui ne rentrent pas dans les normes simplifiees.
  • Autorisation prealable: traitements sensibles (donnees de sante, infractions, biometrie, videosurveillance, donnees judiciaires). Demande et validation formelle avant demarrage.

Ordre de grandeur pour une PME marocaine standard: entre 3 et 8 traitements a declarer (fichier clients, RH, prospects marketing, videosurveillance, portail client). Si des traitements sensibles existent, passer par autorisation prealable.

Checklist conformite CNDP en 15 points

Vous pouvez auto-evaluer votre conformite en 3 a 4 heures sur cette grille.

  1. Liste exhaustive des traitements de donnees personnelles realises par l entreprise.
  2. Declarations CNDP deposees pour chaque traitement concerne.
  3. Registre des traitements tenu a jour (recommandation forte, meme si non obligatoire stricto sensu pour toutes les PME).
  4. Mentions d information sur le site web, les formulaires, les emails (qui, pourquoi, combien de temps, quels droits).
  5. Politique de confidentialite publiee et a jour.
  6. Procedure droits des personnes: comment traiter une demande d acces, rectification, suppression.
  7. Durees de conservation definies et appliquees par traitement.
  8. Consentement documente quand il est la base legale du traitement.
  9. Securite technique et organisationnelle proportionnee: 2FA, chiffrement, acces limites, sauvegardes.
  10. Contrats avec les sous-traitants incluant une clause de protection des donnees (DPA).
  11. Transferts internationaux encadres si les donnees sortent du Maroc.
  12. Procedure de notification des violations documentee.
  13. Formation des collaborateurs aux enjeux de protection des donnees.
  14. Designation d un correspondant CNDP (recommandee pour les PME au-dessus d un certain seuil).
  15. Revue annuelle de la conformite et mise a jour des declarations.

Si 5 ou plus de ces 15 points sont en risque, un plan de mise en conformite s impose.

Transferts internationaux: que faire avec les SaaS americains

Question recurrente: est-ce que HubSpot, Salesforce, Google Workspace ou AWS sont conformes a la loi 09-08 ?

La reponse est nuancee. Le principe general: les transferts vers un pays n ayant pas un niveau de protection adequat sont encadres par des clauses contractuelles, un consentement explicite, ou d autres garanties. En pratique:

  • SaaS avec hebergement UE (Azure Europe, AWS Paris, Google EU): plus simple a justifier, le niveau de protection UE est considere comparable.
  • SaaS avec hebergement US sans garanties specifiques: a documenter au cas par cas, avec clauses contractuelles et mesures compensatoires.
  • SaaS chinois ou russes: prudence maximale, evaluation cas par cas.

Pratique recommandee pour une PME marocaine: preferer les SaaS qui proposent un hebergement UE ou une residence de donnees au Maroc quand disponible. Documenter les transferts dans le registre. Faire signer un DPA avec chaque sous-traitant qui traite des donnees personnelles.

Votre conformite CNDP est floue ? Demandez un diagnostic Eurastech. Audit documentaire et technique, plan de mise en conformite chiffre sous 3 semaines.

Notification des violations de donnees

Si une fuite ou une compromission survient, plusieurs obligations se declenchent.

  1. Evaluation rapide: quelles donnees, sur combien de personnes, pendant combien de temps, avec quel risque pour les personnes concernees.
  2. Notification a la CNDP si la violation presente un risque reel pour les personnes. Delai recommande: 72 heures apres constatation.
  3. Information des personnes concernees quand le risque est eleve (fuite de mots de passe, cartes bancaires, donnees sensibles).
  4. Documentation de l incident et des actions de remediation.
  5. Mise a jour des mesures de securite pour eviter la recidive.

La non-notification d une violation aggravee peut constituer une circonstance aggravante en cas de controle CNDP ulterieur. Voir aussi notre guide site pirate et securisation et le pillar cybersecurite PME.

Sanctions et controles

La CNDP peut effectuer des controles sur pieces ou sur place. Les sanctions possibles.

  • Avertissement, injonction de mise en conformite, amendes.
  • Interdiction temporaire ou definitive du traitement en cause.
  • Publication de la sanction.
  • Transmission au procureur pour les infractions penales.

Au-dela des sanctions legales, les consequences reputationnelles et commerciales peuvent etre significatives: clients B2B qui suspendent leurs commandes, partenaires qui demandent des garanties renforcees, perte de contrats internationaux exigeant la conformite RGPD.

CNDP vs RGPD: les differences a connaitre

Plusieurs PME marocaines travaillent avec des clients europeens qui exigent la conformite RGPD. Les deux cadres ont des philosophies proches mais des nuances.

  • Base legale: la loi 09-08 est anterieure au RGPD. Les principes sont similaires (finalite, proportionnalite, securite, droits), mais la loi 09-08 reste plus declarative (autorisation ou declaration prealable) quand le RGPD mise sur l accountability (registre, DPIA).
  • Sanctions: la CNDP a des pouvoirs de sanction, mais moindres en valeur absolue que les autorites europeennes (qui peuvent atteindre 4 % du chiffre d affaires mondial).
  • Transferts: le Maroc n est pas officiellement reconnu comme pays a protection adequate par la Commission europeenne. Les transferts UE vers Maroc passent par clauses contractuelles ou autres garanties.
  • DPO: la fonction de delegue a la protection des donnees est obligatoire sous conditions en RGPD, recommandee en CNDP.

Pour une PME marocaine qui exporte vers l UE ou traite des clients europeens, traiter les deux cadres en parallele: une fois conforme RGPD, la conformite CNDP est largement couverte, avec le volet declarations specifique en plus.

FAQ

Quelle PME est concernee par la loi 09-08 ?

Toute entreprise qui traite des donnees personnelles de personnes situees au Maroc, quelle que soit sa taille. Une TPE de 2 employes avec un fichier clients est concernee.

Faut-il declarer chaque traitement a la CNDP ?

Oui en principe, avec des normes simplifiees pour les traitements courants. La CNDP publie des modeles de declaration simplifiee (RH, clients, fournisseurs) qui accelerent la procedure.

Combien coute une mise en conformite CNDP pour une PME ?

Entre 40 et 250k MAD selon la complexite: nombre de traitements, niveau de maturite initial, besoin d audit technique. Un accompagnement standard sur 3 mois couvre l essentiel pour une PME de 50 a 200 collaborateurs.

Peut-on utiliser un SaaS internationalement conforme RGPD sans se soucier de la CNDP ?

Non, la conformite RGPD du SaaS ne dispense pas de vos obligations CNDP comme responsable de traitement. Signer un DPA avec le SaaS et documenter le transfert dans votre registre.

Faut-il un DPO (delegue a la protection des donnees) ?

Pas systematiquement au Maroc, mais recommande des que vous traitez des donnees sensibles, un volume important de donnees personnelles, ou que vous avez des clients exigeant le RGPD. Un DPO externalise a temps partiel est une solution accessible pour les PME.

Quelle duree de conservation des donnees clients ?

Depend du type de donnee et du contexte commercial. 3 a 5 ans post-derniere commande pour un CRM e-commerce, 10 ans pour des documents comptables lies a des factures. Documenter la duree par traitement.

Que faire si un client demande la suppression de ses donnees ?

Verifier l identite, evaluer si le droit a la suppression s applique (pas d obligation legale contraire, pas de finalite juridique en cours), executer la suppression dans un delai raisonnable (souvent 30 jours), documenter l operation.

Votre conformite CNDP est-elle a jour ? Eurastech accompagne les PME et ETI marocaines sur l audit, la remediation et la governance CNDP loi 09-08. Casablanca, Rabat, Fes. Demander un diagnostic ou lire le pillar cybersecurite.

Retour au blog →

Services lies

Passez a l action avec nos equipes: