Arrowlancer

Arrowlancer
EN Nous contacter
arrow_back Tous les articles · Uncategorized

Conformité CNDP loi 09-08 : checklist 2026 pour entreprises marocaines

· 5 min de lecture
ESN Maroc : guide 2026 pour choisir votre prestataire informatique

La conformité CNDP loi 09-08 n’est plus une option en 2026 : les contrôles se multiplient, les amendes s’alourdissent, et la moindre fuite de données expose votre entreprise à une crise de réputation. Ce guide est une checklist opérationnelle pour vérifier où vous en êtes — et ce qui reste à faire.

Rappel : qu’est-ce que la conformité CNDP loi 09-08 ?

La loi 09-08 du 18 février 2009 et son décret d’application 2-09-165 encadrent le traitement des données personnelles au Maroc. L’autorité de contrôle est la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP).

Depuis 2020, la CNDP a considérablement renforcé ses actions : contrôles terrain, sanctions financières, publications d’avis. En 2026, l’autorité oriente clairement la conformité vers une logique proche du RGPD européen — plus exigeante que la lecture littérale du texte de 2009.

Qui est concerné par la conformité CNDP loi 09-08 ?

Toute entreprise ou administration qui traite des données personnelles de personnes physiques au Maroc. En pratique, cela couvre :

  • RH (paie, gestion du personnel, candidatures)
  • Marketing et CRM (contacts clients, newsletters, programmes de fidélité)
  • E-commerce (profils utilisateurs, historiques d’achat)
  • Services médicaux (données de santé — niveau de sensibilité élevé)
  • Banque, assurance (données financières)
  • Vidéo-surveillance (caméras sur lieu public ou d’entreprise)

Si vous traitez des données personnelles de citoyens européens, vous êtes aussi soumis au RGPD — deux régimes à concilier.

La checklist opérationnelle — conformité CNDP loi 09-08

1. Déclaration ou autorisation préalable

Avant tout traitement, vous devez soit le déclarer à la CNDP (la majorité des traitements courants), soit demander une autorisation préalable (données sensibles : santé, origine, opinions, etc.).

Checklist :

  • Identifier tous les traitements en cours (RH, clients, prospects, vidéosurveillance…).
  • Pour chaque traitement, qualifier : déclaration ou autorisation ?
  • Déposer les dossiers via le portail CNDP.
  • Conserver les récépissés — ils peuvent être demandés lors d’un contrôle.

2. Information des personnes concernées

Toute personne dont vous collectez des données doit être informée — au moment de la collecte — de :

  • L’identité du responsable du traitement
  • La finalité du traitement
  • Les destinataires des données
  • Le caractère obligatoire ou facultatif de la réponse
  • Les droits d’accès, de rectification et d’opposition

En pratique : formulaires web avec mention légale, politique de confidentialité visible en pied de page, avis d’information sur les panneaux de vidéosurveillance, clauses dans les contrats de travail.

3. Registre des traitements (bonne pratique — non obligatoire mais fortement recommandé)

Le texte marocain n’impose pas formellement un registre (contrairement au RGPD article 30). Mais en cas de contrôle CNDP, savoir lister vos traitements, leurs finalités, les durées de conservation et les mesures de sécurité associées est ce qui distingue une entreprise sérieuse d’une entreprise en défaut.

4. Sécurité des données

L’article 23 de la loi 09-08 impose des “mesures techniques et organisationnelles appropriées”. Interprétation 2026 : ce qu’une entreprise mature fait en sécurité informatique. Au minimum :

  • Chiffrement des données en transit (HTTPS partout, TLS 1.2+)
  • Chiffrement des données sensibles au repos
  • Contrôle d’accès basé sur les rôles (RBAC)
  • Journalisation des accès aux données sensibles
  • Sauvegardes régulières et testées
  • Politique de mots de passe + authentification à deux facteurs sur les accès admin

5. Durée de conservation limitée

Vous ne pouvez pas conserver les données indéfiniment. Les durées doivent être proportionnées à la finalité : un CV non retenu se supprime sous 2 ans maximum, un contrat de travail se conserve pendant la relation + durée de prescription, les données bancaires ont leurs propres règles (AML).

À faire : définir une politique de rétention par type de donnée, l’automatiser (scripts de purge), la documenter.

6. Transferts internationaux de données

Si vous utilisez un cloud hébergé hors du Maroc (AWS Paris, Azure Irlande, Google US), vous réalisez un transfert international au sens de la loi 09-08. Vous devez :

  • Vérifier que le pays destinataire offre un niveau de protection “suffisant” (liste CNDP)
  • Sinon, encadrer le transfert par des clauses contractuelles type
  • Dans tous les cas, informer les personnes concernées

7. Droits des personnes

Vos utilisateurs ont le droit d’accéder à leurs données, de les rectifier, de s’y opposer. Pratiquement :

  • Définissez un point de contact unique (adresse e-mail dédiée : privacy@ ou donnees@)
  • Délai de réponse cible : 30 jours maximum
  • Gardez une trace écrite de chaque demande et de la réponse apportée

8. Vidéosurveillance

Domaine particulier, très contrôlé par la CNDP :

  • Autorisation préalable CNDP obligatoire.
  • Panneaux d’information visibles aux entrées.
  • Interdiction de filmer les lieux privés (vestiaires, bureaux individuels sans justification, logements du personnel).
  • Durée de conservation typique : 30 jours maximum, sauf cas exceptionnels.

Les sanctions en cas de non-conformité

  • Sanctions administratives : amendes de 10 000 à 300 000 MAD par infraction, suspension des traitements.
  • Sanctions pénales : emprisonnement de 3 mois à 1 an + amendes pour les cas graves (traitement illicite de données sensibles, défaut de déclaration récidivant, divulgation non autorisée).
  • Risque réputationnel : la CNDP publie ses décisions. Une mise en demeure publique est souvent pire commercialement que l’amende elle-même.

Par où commencer ?

  1. Audit éclair (2 semaines) — cartographiez vos traitements, vos flux, vos outils SaaS. Identifiez les gros risques.
  2. Plan de mise en conformité (3–6 mois) — déclarations CNDP, mise à jour des politiques, formation des équipes.
  3. Gouvernance continue — désignez un référent données personnelles (équivalent DPO), planifiez un contrôle interne annuel.

En résumé

La conformité CNDP loi 09-08 n’est pas qu’une obligation légale — c’est un avantage compétitif. Les clients, surtout B2B et publics, commencent à demander la preuve de conformité dans leurs appels d’offres. Mieux vaut structurer cette démarche maintenant que sous la pression d’un contrôle.

Chez Arrowlancer, nous aidons les entreprises marocaines à articuler conformité CNDP, sécurité technique et opérationnalité quotidienne. Si vous voulez un audit éclair, parlons-en.

À lire aussi : Comment choisir un ESN au Maroc en 2026 · Cloud souverain Maroc : comparaison 2026.

Un projet en tête ?

Discutons de votre projet de transformation digitale, sans engagement.

Nous contacter arrow_forward