{"id":17,"date":"2026-04-13T16:13:21","date_gmt":"2026-04-13T15:13:21","guid":{"rendered":"https:\/\/arrowlancer.ma\/blog\/conformite-cndp-loi-09-08-checklist-2026\/"},"modified":"2026-04-13T16:13:21","modified_gmt":"2026-04-13T15:13:21","slug":"conformite-cndp-loi-09-08-checklist-2026","status":"publish","type":"post","link":"https:\/\/arrowlancer.ma\/blog\/fr\/conformite-cndp-loi-09-08-checklist-2026\/","title":{"rendered":"Conformit\u00e9 CNDP loi 09-08 : checklist 2026 pour entreprises marocaines"},"content":{"rendered":"<p class=\"wp-block-paragraph\">La <strong>conformit\u00e9 CNDP loi 09-08<\/strong> n&#8217;est plus une option en 2026 : les contr\u00f4les se multiplient, les amendes s&#8217;alourdissent, et la moindre fuite de donn\u00e9es expose votre entreprise \u00e0 une crise de r\u00e9putation. Ce guide est une checklist op\u00e9rationnelle pour v\u00e9rifier o\u00f9 vous en \u00eates \u2014 et ce qui reste \u00e0 faire.<\/p>\n<h2 class=\"wp-block-heading\">Rappel : qu&#8217;est-ce que la conformit\u00e9 CNDP loi 09-08 ?<\/h2>\n<p>La loi 09-08 du 18 f\u00e9vrier 2009 et son d\u00e9cret d&#8217;application 2-09-165 encadrent le traitement des donn\u00e9es personnelles au Maroc. L&#8217;autorit\u00e9 de contr\u00f4le est la <a href=\"https:\/\/www.cndp.ma\/\" target=\"_blank\" rel=\"noopener\">Commission Nationale de contr\u00f4le de la protection des Donn\u00e9es \u00e0 caract\u00e8re Personnel (CNDP)<\/a>.<\/p>\n<p>Depuis 2020, la CNDP a consid\u00e9rablement renforc\u00e9 ses actions : contr\u00f4les terrain, sanctions financi\u00e8res, publications d&#8217;avis. En 2026, l&#8217;autorit\u00e9 oriente clairement la conformit\u00e9 vers une logique proche du RGPD europ\u00e9en \u2014 plus exigeante que la lecture litt\u00e9rale du texte de 2009.<\/p>\n<h2 class=\"wp-block-heading\">Qui est concern\u00e9 par la conformit\u00e9 CNDP loi 09-08 ?<\/h2>\n<p>Toute entreprise ou administration qui <strong>traite des donn\u00e9es personnelles<\/strong> de personnes physiques au Maroc. En pratique, cela couvre :<\/p>\n<ul class=\"wp-block-list\">\n<li>RH (paie, gestion du personnel, candidatures)<\/li>\n<li>Marketing et CRM (contacts clients, newsletters, programmes de fid\u00e9lit\u00e9)<\/li>\n<li>E-commerce (profils utilisateurs, historiques d&#8217;achat)<\/li>\n<li>Services m\u00e9dicaux (donn\u00e9es de sant\u00e9 \u2014 niveau de sensibilit\u00e9 \u00e9lev\u00e9)<\/li>\n<li>Banque, assurance (donn\u00e9es financi\u00e8res)<\/li>\n<li>Vid\u00e9o-surveillance (cam\u00e9ras sur lieu public ou d&#8217;entreprise)<\/li>\n<\/ul>\n<p>Si vous traitez des donn\u00e9es personnelles de citoyens europ\u00e9ens, vous \u00eates aussi soumis au <strong>RGPD<\/strong> \u2014 deux r\u00e9gimes \u00e0 concilier.<\/p>\n<h2 class=\"wp-block-heading\">La checklist op\u00e9rationnelle \u2014 conformit\u00e9 CNDP loi 09-08<\/h2>\n<h3 class=\"wp-block-heading\">1. D\u00e9claration ou autorisation pr\u00e9alable<\/h3>\n<p>Avant tout traitement, vous devez soit le <strong>d\u00e9clarer<\/strong> \u00e0 la CNDP (la majorit\u00e9 des traitements courants), soit demander une <strong>autorisation pr\u00e9alable<\/strong> (donn\u00e9es sensibles : sant\u00e9, origine, opinions, etc.).<\/p>\n<p><strong>Checklist<\/strong> :<\/p>\n<ul class=\"wp-block-list\">\n<li>Identifier tous les traitements en cours (RH, clients, prospects, vid\u00e9osurveillance\u2026).<\/li>\n<li>Pour chaque traitement, qualifier : d\u00e9claration ou autorisation ?<\/li>\n<li>D\u00e9poser les dossiers via le portail CNDP.<\/li>\n<li>Conserver les r\u00e9c\u00e9piss\u00e9s \u2014 ils peuvent \u00eatre demand\u00e9s lors d&#8217;un contr\u00f4le.<\/li>\n<\/ul>\n<h3 class=\"wp-block-heading\">2. Information des personnes concern\u00e9es<\/h3>\n<p>Toute personne dont vous collectez des donn\u00e9es doit \u00eatre inform\u00e9e \u2014 au moment de la collecte \u2014 de :<\/p>\n<ul class=\"wp-block-list\">\n<li>L&#8217;identit\u00e9 du responsable du traitement<\/li>\n<li>La finalit\u00e9 du traitement<\/li>\n<li>Les destinataires des donn\u00e9es<\/li>\n<li>Le caract\u00e8re obligatoire ou facultatif de la r\u00e9ponse<\/li>\n<li>Les droits d&#8217;acc\u00e8s, de rectification et d&#8217;opposition<\/li>\n<\/ul>\n<p><strong>En pratique<\/strong> : formulaires web avec mention l\u00e9gale, politique de confidentialit\u00e9 visible en pied de page, avis d&#8217;information sur les panneaux de vid\u00e9osurveillance, clauses dans les contrats de travail.<\/p>\n<h3 class=\"wp-block-heading\">3. Registre des traitements (bonne pratique \u2014 non obligatoire mais fortement recommand\u00e9)<\/h3>\n<p>Le texte marocain n&#8217;impose pas formellement un registre (contrairement au RGPD article 30). Mais en cas de contr\u00f4le CNDP, savoir lister vos traitements, leurs finalit\u00e9s, les dur\u00e9es de conservation et les mesures de s\u00e9curit\u00e9 associ\u00e9es est ce qui distingue une entreprise s\u00e9rieuse d&#8217;une entreprise en d\u00e9faut.<\/p>\n<h3 class=\"wp-block-heading\">4. S\u00e9curit\u00e9 des donn\u00e9es<\/h3>\n<p>L&#8217;article 23 de la loi 09-08 impose des &#8220;mesures techniques et organisationnelles appropri\u00e9es&#8221;. Interpr\u00e9tation 2026 : ce qu&#8217;une entreprise mature fait en s\u00e9curit\u00e9 informatique. Au minimum :<\/p>\n<ul class=\"wp-block-list\">\n<li>Chiffrement des donn\u00e9es en transit (HTTPS partout, TLS 1.2+)<\/li>\n<li>Chiffrement des donn\u00e9es sensibles au repos<\/li>\n<li>Contr\u00f4le d&#8217;acc\u00e8s bas\u00e9 sur les r\u00f4les (RBAC)<\/li>\n<li>Journalisation des acc\u00e8s aux donn\u00e9es sensibles<\/li>\n<li>Sauvegardes r\u00e9guli\u00e8res et test\u00e9es<\/li>\n<li>Politique de mots de passe + authentification \u00e0 deux facteurs sur les acc\u00e8s admin<\/li>\n<\/ul>\n<h3 class=\"wp-block-heading\">5. Dur\u00e9e de conservation limit\u00e9e<\/h3>\n<p>Vous ne pouvez pas conserver les donn\u00e9es ind\u00e9finiment. Les dur\u00e9es doivent \u00eatre proportionn\u00e9es \u00e0 la finalit\u00e9 : un CV non retenu se supprime sous 2 ans maximum, un contrat de travail se conserve pendant la relation + dur\u00e9e de prescription, les donn\u00e9es bancaires ont leurs propres r\u00e8gles (AML).<\/p>\n<p><strong>\u00c0 faire<\/strong> : d\u00e9finir une politique de r\u00e9tention par type de donn\u00e9e, l&#8217;automatiser (scripts de purge), la documenter.<\/p>\n<h3 class=\"wp-block-heading\">6. Transferts internationaux de donn\u00e9es<\/h3>\n<p>Si vous utilisez un <a href=\"\/blog\/fr\/cloud-souverain-maroc-comparaison-2026\/\">cloud h\u00e9berg\u00e9 hors du Maroc<\/a> (AWS Paris, Azure Irlande, Google US), vous r\u00e9alisez un transfert international au sens de la loi 09-08. Vous devez :<\/p>\n<ul class=\"wp-block-list\">\n<li>V\u00e9rifier que le pays destinataire offre un niveau de protection &#8220;suffisant&#8221; (liste CNDP)<\/li>\n<li>Sinon, encadrer le transfert par des clauses contractuelles type<\/li>\n<li>Dans tous les cas, informer les personnes concern\u00e9es<\/li>\n<\/ul>\n<h3 class=\"wp-block-heading\">7. Droits des personnes<\/h3>\n<p>Vos utilisateurs ont le droit d&#8217;acc\u00e9der \u00e0 leurs donn\u00e9es, de les rectifier, de s&#8217;y opposer. Pratiquement :<\/p>\n<ul class=\"wp-block-list\">\n<li>D\u00e9finissez un point de contact unique (adresse e-mail d\u00e9di\u00e9e : <code>privacy@<\/code> ou <code>donnees@<\/code>)<\/li>\n<li>D\u00e9lai de r\u00e9ponse cible : 30 jours maximum<\/li>\n<li>Gardez une trace \u00e9crite de chaque demande et de la r\u00e9ponse apport\u00e9e<\/li>\n<\/ul>\n<h3 class=\"wp-block-heading\">8. Vid\u00e9osurveillance<\/h3>\n<p>Domaine particulier, tr\u00e8s contr\u00f4l\u00e9 par la CNDP :<\/p>\n<ul class=\"wp-block-list\">\n<li>Autorisation pr\u00e9alable CNDP obligatoire.<\/li>\n<li>Panneaux d&#8217;information visibles aux entr\u00e9es.<\/li>\n<li>Interdiction de filmer les lieux priv\u00e9s (vestiaires, bureaux individuels sans justification, logements du personnel).<\/li>\n<li>Dur\u00e9e de conservation typique : 30 jours maximum, sauf cas exceptionnels.<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\">Les sanctions en cas de non-conformit\u00e9<\/h2>\n<ul class=\"wp-block-list\">\n<li><strong>Sanctions administratives<\/strong> : amendes de 10 000 \u00e0 300 000 MAD par infraction, suspension des traitements.<\/li>\n<li><strong>Sanctions p\u00e9nales<\/strong> : emprisonnement de 3 mois \u00e0 1 an + amendes pour les cas graves (traitement illicite de donn\u00e9es sensibles, d\u00e9faut de d\u00e9claration r\u00e9cidivant, divulgation non autoris\u00e9e).<\/li>\n<li><strong>Risque r\u00e9putationnel<\/strong> : la CNDP publie ses d\u00e9cisions. Une mise en demeure publique est souvent pire commercialement que l&#8217;amende elle-m\u00eame.<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\">Par o\u00f9 commencer ?<\/h2>\n<ol class=\"wp-block-list\">\n<li><strong>Audit \u00e9clair (2 semaines)<\/strong> \u2014 cartographiez vos traitements, vos flux, vos outils SaaS. Identifiez les gros risques.<\/li>\n<li><strong>Plan de mise en conformit\u00e9 (3\u20136 mois)<\/strong> \u2014 d\u00e9clarations CNDP, mise \u00e0 jour des politiques, formation des \u00e9quipes.<\/li>\n<li><strong>Gouvernance continue<\/strong> \u2014 d\u00e9signez un r\u00e9f\u00e9rent donn\u00e9es personnelles (\u00e9quivalent DPO), planifiez un contr\u00f4le interne annuel.<\/li>\n<\/ol>\n<h2 class=\"wp-block-heading\">En r\u00e9sum\u00e9<\/h2>\n<p>La <strong>conformit\u00e9 CNDP loi 09-08<\/strong> n&#8217;est pas qu&#8217;une obligation l\u00e9gale \u2014 c&#8217;est un avantage comp\u00e9titif. Les clients, surtout B2B et publics, commencent \u00e0 demander la preuve de conformit\u00e9 dans leurs appels d&#8217;offres. Mieux vaut structurer cette d\u00e9marche maintenant que sous la pression d&#8217;un contr\u00f4le.<\/p>\n<p>Chez <strong><a href=\"https:\/\/arrowlancer.ma\/\">Arrowlancer<\/a><\/strong>, nous aidons les entreprises marocaines \u00e0 articuler conformit\u00e9 CNDP, s\u00e9curit\u00e9 technique et op\u00e9rationnalit\u00e9 quotidienne. Si vous voulez un audit \u00e9clair, <a href=\"https:\/\/arrowlancer.ma\/fr\/#contact\">parlons-en<\/a>.<\/p>\n<p>\u00c0 lire aussi : <a href=\"\/blog\/fr\/esn-maroc-comment-choisir-guide-2026\/\">Comment choisir un ESN au Maroc en 2026<\/a> \u00b7 <a href=\"\/blog\/fr\/cloud-souverain-maroc-comparaison-2026\/\">Cloud souverain Maroc : comparaison 2026<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Checklist op\u00e9rationnelle 2026 pour la conformit\u00e9 CNDP loi 09-08 : d\u00e9clarations, s\u00e9curit\u00e9, dur\u00e9es de conservation, transferts internationaux, vid\u00e9osurveillance. Guide Arrowlancer.<\/p>\n","protected":false},"author":0,"featured_media":13,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-17","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/posts\/17","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/comments?post=17"}],"version-history":[{"count":0,"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/posts\/17\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/media\/13"}],"wp:attachment":[{"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/media?parent=17"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/categories?post=17"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/arrowlancer.ma\/blog\/wp-json\/wp\/v2\/tags?post=17"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}