E
Eurastech Digital consulting

Loi 09-08 et CNDP au Maroc : le guide complet pour entreprises (2026)

Soulaimane Aattar

Note — Cet article est informationnel et ne constitue pas un avis juridique. Pour un cas complexe, consultez un DPO certifie ou un avocat specialise. Nous accompagnons nos clients sur l’implementation IT conforme a la loi 09-08, pas sur l’interpretation juridique.

En resume (TL;DR)

  • Declaration prealable obligatoire aupres de la CNDP pour chaque traitement de donnees personnelles au Maroc (CRM, ERP, formulaire site, video surveillance). Procedure gratuite, reponse sous 2 mois, recepisse a afficher dans les mentions legales.
  • Les transferts hors du Maroc (AWS, Azure, SaaS etrangers) sont interdits par defaut : autorisation CNDP requise, sauf vers UE, Suisse, Canada et autres pays adequats. Forcer la region EU au deploiement simplifie fortement la conformite.
  • Sanctions : amendes de 10 000 a 300 000 DH par infraction et jusqu’a 2 ans d’emprisonnement dans les cas graves. Impact reputationnel via publication des decisions CNDP.

Derniere revue : avril 2026.

En 2025, la Commission Nationale de Controle de la Protection des Donnees a caractere personnel (CNDP) a accelere son activite de controle au Maroc. Les demandes de declaration se multiplient, les mises en demeure se durcissent, et plusieurs sanctions ont ete rendues publiques. Pour un dirigeant ou un DSI qui deploie un ERP, un CRM ou une application web, la question n’est plus “faut-il se mettre en conformite ?” mais “comment le faire sans ralentir le projet IT ?”.

Ce guide apporte une reponse operationnelle. Il s’adresse aux PME, ETI, groupes, editeurs SaaS et integrateurs qui traitent des donnees personnelles au Maroc. Il couvre le cadre legal, les obligations concretes, la procedure de declaration, les transferts hors du pays, les sanctions, et une checklist actionnable pour vos projets IT.

Sommaire

  1. Quest-ce que la loi 09-08 ?
  2. Qui est concerne ?
  3. Loi 09-08 vs RGPD : les differences cles
  4. Les 4 obligations cles pour une entreprise
  5. La declaration CNDP pas a pas
  6. Transferer des donnees hors du Maroc
  7. Conformite CNDP dans un projet IT concret
  8. Sanctions et controles CNDP
  9. Quand nommer un DPO
  10. Checklist de conformite rapide
  11. Questions frequentes

1. Qu'est-ce que la loi 09-08 ?

La loi n° 09-08, promulguee par le dahir n° 1-09-15 du 18 fevrier 2009, encadre le traitement des donnees a caractere personnel au Maroc. Son decret d’application n° 2-09-165 precise les modalites operationnelles. Elle vise un double objectif : proteger la vie privee des personnes physiques et faciliter les echanges internationaux en alignant partiellement le Maroc sur les standards europeens de l’epoque.

Le texte est inspire de la directive europeenne 95/46/CE, anterieure au Reglement General sur la Protection des Donnees (RGPD, 2018). Cette anteriorite explique plusieurs specificites : la declaration prealable reste obligatoire, la notion de DPO n’est pas imposee, et le regime des transferts internationaux est plus rigide.

L’application du texte est confiee a la CNDP, autorite administrative independante basee a Rabat. Elle instruit les declarations, traite les plaintes, realise des controles, et peut prononcer des sanctions. Son site officiel cndp.ma publie les formulaires, les decisions et les guides sectoriels.

2. Qui est concerne par la loi 09-08 ?

Toute entreprise qui traite des donnees personnelles de personnes physiques au Maroc est concernee, qu’elle soit marocaine ou etrangere, et qu’elle agisse comme responsable ou sous-traitant.

La loi s’applique des lors qu’une entreprise traite des donnees personnelles de personnes physiques se trouvant au Maroc. Le terme “traitement” est volontairement large : collecte, enregistrement, stockage, consultation, transmission, archivage et suppression en font partie.

En pratique, sont concernees :

  • Toute entreprise avec un site web proposant un formulaire (contact, inscription, newsletter)
  • Toute organisation utilisant un CRM, un ERP, un outil RH ou un logiciel de facturation
  • Les editeurs d’applications web et mobiles avec compte utilisateur
  • Les hebergeurs, integrateurs et agences agissant comme sous-traitants
  • Les multinationales et SaaS etrangers qui ciblent le marche marocain
  • Les entreprises utilisant des cameras de videosurveillance, de la biometrie ou des outils de geolocalisation

Quelques exemples pour fixer la frontiere :

ExempleConcerne ?
Site vitrine avec formulaire de contactOui
ERP interne gerant paie et dossiers RHOui
Application mobile avec inscription emailOui
Boutique e-commerce avec comptes clientsOui
Statistiques web 100 % anonymes et agregeesNon
Fichier de factures B2B ne contenant aucune donnee personnelleNon

La regle : si vous pouvez identifier une personne physique, directement ou indirectement, vous etes concerne.

3. Loi 09-08 vs RGPD : les differences cles

La loi 09-08 impose une declaration prealable obligatoire et encadre plus strictement les transferts internationaux, tandis que le RGPD repose sur la responsabilite a posteriori et prevoit des amendes bien plus lourdes.

Beaucoup de DSI marocains gerent aussi des clients ou filiales en Europe, soumis au RGPD. Voici les differences qui impactent la pratique quotidienne :

AspectLoi 09-08 (Maroc)RGPD (UE)
Base legaleConsentement + cas limites6 bases, dont interet legitime
Declaration prealableObligatoire avant traitementSupprimee depuis 2018
DPONon obligatoire (mais recommande)Obligatoire dans certains cas
Amendes maximales300 000 DH + sanctions penales4 % du CA mondial
Droits des personnesAcces, rectification, opposition, suppressionIdem + portabilite + explication IA
Transferts internationauxAutorisation CNDP requiseDecisions d’adequation, SCC, BCR
Notification violationObligatoire, pas de delai precis72 heures a l’autorite
Registre des traitementsNon legalement obligatoireObligatoire au-dessus de certains seuils

Retenez deux points :

  1. Au Maroc, la declaration prealable reste centrale. Contrairement au RGPD qui mise sur la responsabilite a posteriori, la CNDP veut etre informee avant le demarrage du traitement.
  2. Les transferts internationaux sont plus restrictifs. La CNDP exige une autorisation explicite pour heberger des donnees hors du pays, meme vers des juridictions jugees adequates.

4. Les 4 obligations cles pour une entreprise

Quatre chantiers structurent la mise en conformite. Les trois premiers sont legaux, le quatrieme est technique et conditionne les trois autres.

4.1 Declarer chaque traitement aupres de la CNDP

La declaration prealable est l’obligation la plus visible. Elle concerne chaque finalite de traitement : gestion des clients, gestion RH, prospection commerciale, videosurveillance, newsletter, etc. Un meme systeme (votre ERP) peut concentrer plusieurs declarations separees.

4.2 Tenir un registre des traitements

Bien que non impose par la loi, le registre est systematiquement reclame lors d’un controle. Il documente, pour chaque traitement : la finalite, les categories de donnees collectees, les destinataires, la duree de conservation, les mesures de securite, et les transferts eventuels. Format type : tableur partage entre DSI, RH et juridique.

4.3 Informer les personnes concernees

Trois livrables techniques :

  • Mentions legales incluant le numero de recepisse CNDP (affiche sur site ou app)
  • Politique de confidentialite listant finalites, bases legales, droits et contact
  • Consentement explicite pour marketing, cookies non essentiels, et donnees sensibles

Un bandeau cookies conforme CNDP (non-implicite, avec choix granulaire) devient la norme depuis les recentes decisions de la Commission.

4.4 Securiser les donnees

Les mesures techniques et organisationnelles sont laissees a l’appreciation du responsable, mais la CNDP verifie leur proportionnalite en cas de controle. Socle minimal :

  • Chiffrement TLS (HTTPS) sur tous les flux
  • Gestion granulaire des acces, principe du moindre privilege
  • Sauvegardes chiffrees, testees regulierement
  • Journalisation (logs) des acces aux donnees sensibles
  • Procedure documentee de reaction en cas de violation

5. La declaration CNDP pas a pas

La procedure se fait en ligne sur le portail CNDP. Elle est gratuite. Voici les etapes pratiques.

Etape 1 — Cartographier les traitements

Listez chaque finalite : base clients, fichier RH, newsletter, prospection, videosurveillance, etc. Une entreprise moyenne a entre 3 et 10 traitements distincts a declarer.

Etape 2 — Classer chaque traitement

La CNDP distingue :

  • Declaration normale — traitement standard sans donnees sensibles
  • Declaration simplifiee — rentre dans une norme simplifiee publiee par la CNDP (paie, gestion clients courante, videosurveillance standard)
  • Autorisation prealable — donnees sensibles (sante, religion, origine, opinions politiques, biometrie, judiciaire) ou transfert international

Etape 3 — Creer un compte entreprise sur le portail CNDP

Requiert : RC, IF, ICE, adresse siege, coordonnees d’un referent. Compte valide sous 48 a 72 h.

Etape 4 — Remplir le formulaire

Les champs cles :

  • Identite du responsable du traitement
  • Finalite precise
  • Categories de donnees collectees
  • Categories de personnes concernees
  • Destinataires (internes + externes)
  • Duree de conservation
  • Mesures de securite
  • Transferts hors du Maroc (oui/non + details)

Etape 5 — Soumettre et suivre

Reponse CNDP sous 2 mois (silence vaut accord pour les declarations normales et simplifiees ; silence ne vaut PAS accord pour les autorisations). Vous recevez un numero de recepisse a afficher dans vos mentions legales.

En pratique, le delai reel observe varie entre 4 et 8 semaines. Anticipez lors du planning projet.

6. Transferer des donnees hors du Maroc

Tout transfert de donnees personnelles hors du Maroc est interdit par defaut et requiert une autorisation explicite de la CNDP, sauf vers une liste limitee de pays reconnus adequats (UE, Suisse, Canada, Islande, Norvege, Liechtenstein).

C’est le point le plus souvent sous-estime par les entreprises qui migrent vers le cloud. Des lors que vos donnees sortent physiquement du territoire marocain (hebergement AWS Paris, Azure Europe, Google Cloud Belgique, SaaS americains), vous realisez un transfert international.

Le principe

Le transfert est interdit par defaut sauf autorisation explicite de la CNDP.

Les exceptions

La CNDP publie une liste de pays adequats offrant un niveau de protection equivalent : Etats membres de l’Union Europeenne, Suisse, Canada, Islande, Norvege, Liechtenstein, et quelques autres. Les transferts vers ces juridictions restent declaratifs plutot que restrictifs.

Les transferts vers d’autres pays (Etats-Unis, Royaume-Uni post-Brexit, pays du Maghreb hors MA, etc.) requierent une autorisation specifique, accompagnee de clauses contractuelles types inspirees des SCC europeennes.

Impact concret sur vos choix techniques

Avant de signer avec un hebergeur, posez trois questions :

  1. Dans quelle region physique les donnees sont-elles stockees ?
  2. Le fournisseur peut-il acceder aux donnees depuis d’autres pays ?
  3. Peut-il garantir un data residency dans une zone adequate ?

AWS, Azure et Google Cloud proposent tous des regions europeennes avec garanties contractuelles. Forcer la region au moment du deploiement simplifie considerablement la declaration CNDP.

7. Conformite CNDP dans un projet IT concret

Voici comment les obligations s’incarnent dans trois scenarios que nous rencontrons chaque semaine chez nos clients.

7.1 Deploiement d’un ERP (Odoo, SAP, Microsoft Dynamics)

Un ERP concentre des donnees clients, fournisseurs, salaries et parfois patients ou beneficiaires. Il declenche souvent deux declarations distinctes : gestion commerciale d’une part, gestion RH de l’autre.

Points de vigilance :

  • Choix de l’hebergement (on-premise, cloud MA, cloud EU) avant signature
  • Habilitations fines dans l’ERP (separation des roles)
  • Desactivation des modules non utilises qui collectent des donnees inutiles
  • Export des donnees possibles pour satisfaire les droits d’acces et suppression

Notre equipe accompagne ces chantiers de bout en bout dans le cadre de notre offre d’integration ERP/CRM. Nous integrons le volet CNDP des la phase de cadrage pour eviter les retours tardifs en production.

7.2 Application web ou mobile avec comptes utilisateurs

Une application qui collecte email, mot de passe, numero de telephone ou geolocalisation declenche un traitement soumis a declaration des la premiere inscription.

Checklist technique :

  • Formulaire d’inscription avec consentement explicite (case non pre-cochee)
  • Page “Politique de confidentialite” accessible depuis chaque ecran
  • API d’export et de suppression du compte exposees a l’utilisateur
  • Logs d’authentification et d’acces aux donnees sensibles
  • Chiffrement des mots de passe (bcrypt/argon2 minimum)
  • Bandeau cookies conforme (sur le web) avec choix granulaire

C’est le socle que nous livrons systematiquement dans notre offre de developpement web et applications.

7.3 Data pipeline et Business Intelligence

Les projets data posent un defi particulier : l’agregation multi-sources peut re-identifier des personnes meme a partir de donnees anonymisees. La CNDP considere les donnees pseudonymisees comme personnelles.

Bonnes pratiques :

  • Tagger les colonnes sensibles des le schema du data warehouse
  • Masquer ou hacher les identifiants dans les environnements non-production
  • Documenter les traitements automatises (notamment si IA predictive)
  • Limiter les acces aux tables contenant des donnees personnelles (RBAC)
  • Definir une duree de retention par table et automatiser la purge

Notre offre data engineering et analytics couvre cette partie, avec architecture des permissions et politiques de retention automatisees.

8. Sanctions et controles CNDP

La non-conformite a la loi 09-08 expose a des amendes administratives de 10 000 a 300 000 dirhams par infraction, jusqu’a deux ans d’emprisonnement pour les cas graves, et a une publication des decisions CNDP qui impacte la reputation.

Les controles CNDP se declenchent sur plainte d’une personne ou d’office (enquete de la Commission). La procedure suit generalement ces etapes :

  1. Demande d’information ecrite
  2. Controle sur piece ou sur place
  3. Mise en demeure avec delai de regularisation (30 a 90 jours)
  4. Sanction si non-respect

Sanctions administratives

Les amendes vont de 10 000 a 300 000 dirhams par infraction. Plusieurs manquements simultanes peuvent etre cumules. L’exposition reelle depasse frequemment le million de dirhams pour une entreprise moyenne non-conforme.

Sanctions penales

Les articles 51 a 60 de la loi prevoient jusqu’a deux ans d’emprisonnement et des amendes plus lourdes pour les cas graves : collecte deloyale, detournement de finalite, refus de cooperer avec la CNDP, traitement non autorise de donnees sensibles.

Effet reputationnel

Les decisions CNDP sont publiees sur son site. Pour un editeur SaaS ou une entreprise B2B, apparaitre dans une decision defavorable impacte durablement la confiance des prospects et des partenaires internationaux.

9. Quand nommer un DPO

Contrairement au RGPD, la loi 09-08 n’impose pas de Delegue a la Protection des Donnees. Cependant, la nomination d’un DPO (ou “referent protection des donnees”) est fortement recommandee des lors que vous entrez dans l’un de ces cas :

  • Plus de 50 salaries actifs
  • Traitement de donnees sensibles (sante, biometrie, mineurs, etc.)
  • Volume important de donnees personnelles (e-commerce > 10 000 clients, par exemple)
  • Filiale ou client impose par ailleurs une conformite RGPD

Deux modeles :

  • DPO interne — salarie avec lettre de mission. Adapte aux groupes et ETI.
  • DPO externe — cabinet ou consultant mutualise. Cout observe : 500 a 2 000 DH par mois selon perimetre. Adapte aux PME.

Un DPO bien positionne reduit aussi le risque operationnel : il relit les contrats, cadre les projets IT des le lancement, et prepare les reponses aux plaintes.

10. Checklist de conformite rapide

A imprimer et valider avec votre DSI, votre DPO et votre juriste :

  • Inventaire complet des traitements realise
  • Declaration(s) CNDP soumises pour chaque traitement
  • Numero(s) de recepisse recus et archives
  • Mentions legales + politique de confidentialite publiees, incluant le numero de recepisse
  • Bandeau cookies conforme (choix granulaire, refus possible)
  • Contrats sous-traitants incluent une clause protection des donnees
  • Autorisation transfert hors MA obtenue si hebergeur etranger
  • Clauses contractuelles types signees avec chaque destinataire international
  • Registre des traitements tenu et partage entre DSI, RH et juridique
  • Procedure de reaction en cas de violation de donnees documentee
  • Mesures de securite techniques en place : TLS, chiffrement, RBAC, sauvegardes
  • Journalisation (logs) des acces aux donnees sensibles activee
  • Droits d’acces, rectification, opposition et suppression implementes dans vos outils
  • Formation conformite pour RH, support client et developpeurs realisee
  • DPO (interne ou externe) designe si seuil atteint
  • Revue annuelle du registre et des declarations planifiee

Besoin d’aller plus vite ? Nous realisons des audits CNDP d’infrastructure IT en 72 heures pour les entreprises marocaines. Parlons-en.

11. Questions frequentes

La loi 09-08 est-elle equivalente au RGPD ?

Non. La loi 09-08 est anterieure au RGPD et plus legere sur plusieurs points (pas d’obligation DPO, amendes plus faibles), mais plus stricte sur d’autres (declaration prealable obligatoire, transferts internationaux contraints). Un alignement avec les standards europeens est regulierement discute mais n’est pas effectif en 2026.

Combien coute une declaration CNDP ?

La declaration est gratuite. Seul le temps interne (cadrage, documentation, suivi) represente un cout, generalement entre une demi-journee et deux jours par traitement declare.

Que faire en cas de violation de donnees ?

Contenir l’incident, evaluer l’impact, notifier la CNDP des que possible (la loi ne precise pas de delai mais la pratique recommande moins de 72 heures), et informer les personnes concernees si le risque est eleve. Documenter la procedure avant tout incident fait gagner un temps precieux.

Puis-je utiliser AWS, Azure ou Google Cloud au Maroc ?

Oui, avec deux conditions. Premiere condition : forcer la region dans une zone adequate (UE par defaut). Seconde condition : inclure le transfert international dans votre declaration CNDP et joindre les clauses contractuelles types. Les trois hyperscalers fournissent ces clauses sur demande.

Un simple site vitrine doit-il etre declare a la CNDP ?

Des qu’il propose un formulaire de contact ou de newsletter, oui. Pour un site 100 % statique sans collecte, non. Le bandeau cookies suffit rarement a se dispenser de declaration.

Quelle duree de conservation pour les donnees clients ?

La loi impose de conserver les donnees le temps necessaire a la finalite. En pratique : 5 ans apres la fin de la relation commerciale pour les donnees de facturation, 3 ans pour les prospects non clients, duree contractuelle + 5 ans pour les donnees RH. Documenter cette duree dans le registre.

Les donnees anonymisees sont-elles concernees ?

Les donnees reellement anonymes (impossible de re-identifier, meme par recoupement) sortent du champ. Les donnees pseudonymisees (remplacees par un identifiant technique mais toujours re-identifiables) restent personnelles.

Un formulaire de contact necessite-t-il une declaration ?

Oui. Le traitement “gestion des demandes clients” doit etre declare, meme si le formulaire ne collecte qu’un nom et un email.

Qui peut agir comme DPO au Maroc ?

Toute personne disposant des competences necessaires : juristes, responsables conformite, consultants independants, cabinets specialises. Aucune certification officielle n’est imposee, mais les certifications RGPD (AFNOR, IAPP) sont de plus en plus valorisees.

Comment reagir a un controle CNDP ?

Cooperer pleinement, designer un interlocuteur unique, fournir le registre des traitements et les declarations, documenter les mesures de securite. Toute opposition ou reticence aggrave le dossier. Un DPO ou un conseil externe peut utilement encadrer la procedure.

En synthese

La loi 09-08 n’est pas un frein. Bien anticipee, elle structure les projets IT et rassure clients, partenaires et investisseurs internationaux, en particulier europeens. Mal anticipee, elle ralentit les mises en production, expose a des sanctions et fragilise la reputation.

Le bon reflexe : integrer la CNDP des le cadrage du projet, pas a la fin. Un DSI qui declare un ERP avant le kick-off gagne 4 a 6 semaines de planning par rapport a une declaration reactive post-deploiement.

Nous accompagnons chaque semaine des entreprises marocaines sur cet exercice. Si vous preparez un deploiement ERP, une application web ou une plateforme data, parlez-nous de vos contraintes de conformite avant de choisir le stack. Nous livrerons un cadrage CNDP + technique integre.

Demander un audit CNDP de votre infrastructure IT (72 heures)

Cet article sera mis a jour apres chaque evolution reglementaire CNDP significative. Derniere revue editoriale : avril 2026.

Retour au blog →

Services lies

Passez a l action avec nos equipes: