CNDP et loi 09-08 : guide de conformité entreprise

La CNDP (Commission Nationale de contrôle de la Protection des Données à caractère personnel) est l'autorité administrative indépendante chargée de faire appliquer la loi 09-08, le texte qui encadre depuis 2009 tout traitement de données personnelles au Maroc. Ensemble, ils fixent les obligations de chaque entreprise marocaine : déclarer ses traitements, sécuriser les données et respecter les droits des personnes.

En 2026, toute entreprise marocaine qui collecte des données personnelles (clients, salariés, prospects) doit, avant traitement, soit déposer une déclaration sur cndp.ma (récépissé sous 24h), soit obtenir une autorisation préalable pour les données sensibles. Depuis début 2025, la CNDP a quitté la phase de sensibilisation pour les contrôles actifs, avec des amendes jusqu'à 300 000 MAD et des sanctions pénales.

Pendant quinze ans, la conformité CNDP est restée un sujet théorique pour la plupart des dirigeants marocains. Ce temps est révolu. Ce guide explique, sans jargon, ce que la loi 09-08 exige réellement, qui est concerné, comment accomplir les formalités, ce que vous risquez, et par où commencer concrètement.

Qu'est-ce que la loi 09-08 et la CNDP, et pourquoi concernent-elles mon entreprise ?

La loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel a été promulguée par le Dahir 1-09-15 du 18 février 2009. Son décret d'application (n° 2-09-165) date du 21 mai 2009, pour une pleine entrée en vigueur en 2011 après une période transitoire.

La CNDP est l'autorité indépendante qui l'applique. Ses missions : informer, conseiller, traiter les déclarations et demandes d'autorisation, contrôler et sanctionner. Le Maroc a par ailleurs ratifié la Convention 108 du Conseil de l'Europe et son Protocole additionnel, en vigueur pour le Royaume depuis le 1er septembre 2019, devenant le 55e État partie.

Pourquoi cela vous concerne ? Parce que dès que votre entreprise collecte un nom, un email, un numéro de téléphone, une fiche RH ou un historique d'achat, vous êtes un responsable de traitement soumis à la loi. Ce n'est pas une question d'effectif ou de secteur : c'est une obligation de droit commun.

Mon entreprise est-elle vraiment soumise à la loi 09-08 ?

Oui, dans la quasi-totalité des cas. Les obligations s'appliquent très largement : toute société marocaine qui collecte des données personnelles, les entreprises étrangères qui traitent des données de résidents marocains ou utilisent une infrastructure marocaine, les associations et ONG, les institutions publiques, ainsi que les sites web, applications mobiles et plateformes e-commerce.

En pratique, si vous avez un fichier clients, un système de paie, un CRM, un site avec formulaire de contact ou de la vidéosurveillance, vous êtes concerné. Trois cas seulement échappent à l'obligation de déclaration : les activités purement personnelles ou domestiques, les registres publics destinés à l'information du public, et certains traitements liés à la défense nationale, à la sûreté de l'État ou à la prévention des infractions. Les associations à caractère religieux, philosophique, politique, syndical, culturel ou sportif bénéficient aussi d'exemptions ciblées.

Autrement dit, la loi 09-08 ne vise pas une niche : elle couvre l'ensemble du tissu économique marocain, de la PME familiale au grand groupe coté.

Déclaration ou autorisation CNDP : quelle formalité s'applique à mon traitement ?

Le Maroc applique un système à deux régimes, et choisir le mauvais est l'erreur la plus fréquente. La déclaration est le régime par défaut : tout traitement doit être déclaré, sauf s'il est exempté ou s'il relève de l'autorisation. La CNDP délivre un récépissé sous 24 heures et dispose de 8 jours pour vous signaler que votre traitement nécessite en réalité une autorisation préalable.

L'autorisation préalable est exigée pour les traitements plus sensibles. Le tableau ci-dessous résume la bascule.

| Critère | Déclaration (par défaut) | Autorisation préalable | |---------|--------------------------|------------------------| | Données concernées | Données courantes (nom, email, RH de base) | Données sensibles : origine, opinions, santé, génétique, religion, syndicat | | Identifiants | Coordonnées classiques | Numéro de CIN, casier judiciaire, condamnations | | Usage | Finalité initiale | Réutilisation des données au-delà de la collecte initiale | | Croisement | Fichier unique | Interconnexion de fichiers à finalités différentes | | International | Pas de transfert hors zone adéquate | Transfert vers un pays non adéquat | | Délai CNDP | Récépissé sous 24h | Avis sous 2 mois, renouvelable une fois |

Concrètement : un fichier clients standard se déclare ; un fichier de données de santé, le traitement du numéro de CIN, ou un transfert vers un cloud étranger non adéquat exigent une autorisation.

Comment faire une déclaration CNDP étape par étape ?

Tout se fait en ligne sur cndp.ma. La déclaration doit contenir, conformément à l'article 15 : l'identité du responsable de traitement, la finalité, les catégories de données, les catégories de personnes concernées, les destinataires, les transferts internationaux et leurs garanties, la durée de conservation et les mesures de sécurité.

Le choix du formulaire dépend de votre situation :

| Formulaire | Usage | |-----------|-------| | F211 | Déclaration normale | | F214 | Déclaration simplifiée | | F112 | Demande d'autorisation normale | | F113 | Demande d'autorisation simplifiée | | F118 | Transfert de données vers l'étranger |

La marche à suivre est simple sur le papier : cartographiez d'abord vos traitements (un fichier = une finalité), créez votre compte sur le portail CNDP, sélectionnez le bon formulaire, remplissez les huit rubriques de l'article 15, soumettez et conservez votre récépissé. Attendez ensuite 8 jours pour vérifier qu'aucune autorisation complémentaire n'est requise. La difficulté réelle n'est pas administrative : c'est la cartographie préalable, qui suppose de savoir exactement quelles données vous détenez et pourquoi. C'est là qu'un accompagnement en conseil digital fait gagner des semaines.

Quels sont les droits des personnes concernées que je dois garantir ?

La loi 09-08 confère aux personnes dont vous traitez les données un socle de droits que votre entreprise doit pouvoir honorer rapidement et gratuitement dans la plupart des cas.

Le droit à l'information impose de dire clairement, au moment de la collecte, qui collecte, pourquoi, et quels sont les droits de la personne : c'est le rôle de votre politique de confidentialité. Le droit d'accès permet à toute personne de savoir quelles données vous détenez sur elle. Le droit de rectification lui permet de corriger des informations inexactes ou périmées. Le droit d'opposition lui permet de refuser, pour motif légitime, certains traitements, notamment la prospection commerciale. S'y ajoute la possibilité de retirer son consentement lorsque le traitement reposait sur celui-ci.

Pour une entreprise, garantir ces droits suppose trois choses : une politique de confidentialité lisible, un point de contact identifié pour recevoir les demandes, et une procédure interne pour y répondre dans des délais raisonnables. Ignorer une demande d'accès ou d'opposition est précisément le type de manquement que la CNDP contrôle désormais.

Pourquoi 2025 change tout pour la conformité CNDP ?

C'est le point que beaucoup de dirigeants n'ont pas encore intégré. Après environ quinze ans consacrés à la pédagogie, la CNDP a officiellement clôturé sa phase de sensibilisation début 2025 pour passer aux contrôles actifs et aux poursuites, avec des échéances de mise en conformité strictes.

La première vague a visé le secteur pharmaceutique en février 2025 : plus de 3 000 pharmacies ont reçu un courrier officiel fixant des délais précis pour déclarer leurs traitements. En mai 2025, la campagne s'est élargie à la santé (cliniques, laboratoires), à la finance (établissements de crédit), au e-commerce (plateformes, marketplaces) et aux télécoms. La CNDP a envoyé des courriers aux entreprises non conformes, leur imposant de déclarer l'ensemble de leurs traitements, de désigner un responsable clair des données et d'obtenir les autorisations nécessaires, sous peine de sanctions.

Le message est sans ambiguïté : la déclaration n'est plus une formalité que l'on repousse. Les secteurs réglementés sous l'autorité de Bank Al-Maghrib, de l'ACAPS ou de l'AMMC sont en première ligne, mais aucune entreprise n'est désormais à l'abri d'un contrôle.

Que risque mon entreprise en cas de non-conformité ?

Les sanctions de la loi 09-08 sont de nature pénale, ce qui les distingue d'une simple amende administrative et engage la responsabilité personnelle des dirigeants. Elles sont graduées par article.

| Manquement (article) | Amende | Prison | |----------------------|--------|--------| | Traitement sans déclaration (Art. 52) | 10 000 - 100 000 MAD | - | | Manquements aux obligations (Art. 52/53/55) | 20 000 - 200 000 MAD | 3 mois à 1 an | | Données sensibles sans consentement explicite (Art. 56) | 50 000 - 300 000 MAD | 3 mois à 1 an | | Entraves et autres infractions (Art. 62-63) | 10 000 - 100 000 MAD | avec prison |

Point décisif : pour une personne morale, toutes les amendes sont doublées, ce qui porte le plafond effectif à environ 600 000 MAD. S'y ajoutent une peine de prison de 3 mois à 1 an selon l'infraction, et, dans les cas graves, la fermeture de l'établissement ou la saisie d'actifs.

Qu'est-ce que le programme DATA-TIKA et le corridor CGEM-CNDP ?

DATA-TIKA est un programme lancé par la CNDP en 2020 pour renforcer la capacité des organisations en matière de gouvernance et de sécurité des données. Concrètement, il s'agit d'un dispositif d'accompagnement et de labellisation qui aide les adhérents à structurer leur conformité plutôt qu'à la subir.

Son adhésion a pris une dimension nouvelle le 13 novembre 2025 : la CGEM (Confédération Générale des Entreprises du Maroc) a signé une convention de partenariat avec la CNDP, paraphée à Casablanca par le président de la CGEM, Chakib Alj, et le président de la CNDP, Omar Seghrouchni. Ce corridor CGEM-CNDP vise à faciliter la mise en conformité des entreprises adhérentes.

Le signal est stratégique. Quand le principal patronat marocain s'engage formellement aux côtés du régulateur, la conformité cesse d'être un sujet de juristes pour devenir une priorité de gouvernance. Parmi les autres adhérents documentés : la CMR (avril 2024), Maroc Telecom et l'ANGSPE (avril 2025). La CNDP assure par ailleurs le secrétariat permanent du Réseau Africain des autorités de Protection des Données depuis mai 2023, positionnant le Maroc comme référence régionale.

Transferts de données à l'étranger : quand faut-il une autorisation de la CNDP ?

C'est un point que tout dirigeant utilisant le cloud doit comprendre. Dès que vous hébergez des données personnelles sur AWS, Google Cloud, Microsoft Azure ou un SaaS étranger, vous opérez un transfert international, soumis au contrôle de l'Office des Changes pour les flux financiers et, pour les données, à la loi 09-08.

La règle est la suivante : le transfert est plus libre vers les pays reconnus comme offrant un niveau de protection adéquat, équivalent à celui de l'Union européenne. Vers les autres destinations, une autorisation préalable de la CNDP est requise, assortie de garanties comme des clauses contractuelles types entre vous et votre prestataire.

En clair, choisir un hébergeur ne se résume pas à une décision technique ou tarifaire : la localisation des serveurs détermine vos obligations légales. Un projet qui externalise des données clients vers un cloud non adéquat sans autorisation CNDP est en infraction, quelle que soit la qualité de la solution. Une réforme de la loi 09-08 vers un alignement renforcé avec le RGPD (bases légales, responsabilité, niveau des sanctions) est par ailleurs annoncée.

Checklist de conformité CNDP : par où commencer ?

Voici la séquence pragmatique pour passer de zéro à conforme sans vous disperser.

• Cartographier tous vos traitements : un tableau listant qui, quoi, pourquoi, où c'est stocké, combien de temps, qui y accède.
• Qualifier chaque traitement : déclaration simple ou autorisation préalable selon la sensibilité des données.
• Désigner un responsable clair de la protection des données en interne, point de contact pour la CNDP et les personnes concernées.
• Déposer les déclarations et demandes d'autorisation sur cndp.ma avec les bons formulaires (F211, F214, F112, F113, F118).
• Publier une politique de confidentialité claire et accessible sur vos sites et applications.
• Sécuriser techniquement : chiffrement, contrôle des accès, journalisation, sauvegardes.
• Vérifier vos transferts internationaux et obtenir l'autorisation CNDP pour tout cloud non adéquat.
• Préparer une procédure de réponse aux droits des personnes et de notification d'incident.
• Documenter et dater chaque décision : c'est ce qui fait la différence en cas de contrôle.

Cette checklist se traite en quelques semaines pour une PME, plus pour un groupe multi-entités. L'erreur serait d'attendre le courrier de la CNDP.

Quelle formalité pour mon profil d'entreprise ?

Pour fixer les idées, voici l'arbre de décision par cas d'usage courant.

• E-commerce / marketplace : déclaration du fichier clients ; autorisation si vous croisez des fichiers ou hébergez les données hors zone adéquate. Mentions et consentement obligatoires.
• Santé (clinique, labo, cabinet) : autorisation préalable systématique, car données de santé sensibles (Art. 56). Secteur ciblé par les contrôles 2025.
• RH / paie : déclaration du fichier du personnel ; vigilance sur le numéro de CIN, qui peut faire basculer vers l'autorisation.
• Vidéosurveillance : déclaration spécifique, information visible des personnes filmées, durée de conservation limitée.
• IA et données : prudence maximale. La réutilisation de données pour entraîner un modèle, au-delà de la finalité initiale, relève de l'autorisation. À aligner avec la stratégie Maroc Digital 2030 et Maroc IA 2030.
• Finance (sous Bank Al-Maghrib, AMMC, ACAPS) : déclaration plus autorisation pour les croisements et transferts ; secteur prioritaire des contrôles.

Dans le doute, la règle d'or est simple : déclarez par défaut, et passez en autorisation dès qu'apparaissent données sensibles, CIN, croisement de fichiers ou transfert hors zone adéquate.

La conformité CNDP n'est plus une option à reporter. C'est désormais un test de gouvernance que la CNDP fait passer secteur par secteur, et une exigence que vos clients et partenaires commenceront à vérifier. La bonne nouvelle : intégrée dès la conception de vos sites, applications et outils, elle devient un avantage de confiance plutôt qu'une contrainte subie.

Pour cartographier vos traitements, prioriser vos déclarations et sécuriser vos transferts sans sur-investir, parlons de votre conformité. Pour le cadre plus large de la sécurité et de la gouvernance des données, consultez notre guide pilier : sécurité et conformité des données en entreprise au Maroc.

FAQ

Toute entreprise marocaine doit-elle déclarer ses traitements à la CNDP ?

Oui, dans la quasi-totalité des cas. Dès que vous collectez des données personnelles (clients, salariés, prospects), vous êtes responsable de traitement et devez déclarer sur cndp.ma, avec récépissé sous 24h. Seules échappent à l'obligation les activités purement personnelles, les registres publics, et certains traitements de défense ou de sûreté de l'État.

Quelle différence entre déclaration et autorisation CNDP ?

La déclaration est le régime par défaut pour les traitements courants : récépissé sous 24h. L'autorisation préalable est exigée pour les données sensibles (santé, génétique, opinions), le numéro de CIN, le casier judiciaire, l'interconnexion de fichiers et les transferts vers un pays non adéquat. La CNDP rend alors son avis sous deux mois, renouvelable une fois.

Quelles sont les amendes en cas de non-respect de la loi 09-08 ?

Les sanctions sont pénales : de 10 000 MAD (Art. 52) jusqu'à 300 000 MAD pour le traitement de données sensibles sans consentement (Art. 56), assorties de 3 mois à 1 an de prison. Pour une personne morale, toutes les amendes sont doublées, soit jusqu'à 600 000 MAD effectifs, avec possible fermeture de l'établissement.

La CNDP contrôle-t-elle vraiment les entreprises en 2025 et 2026 ?

Oui. Début 2025, la CNDP a mis fin à sa phase de sensibilisation pour passer aux contrôles actifs. La première vague a notifié plus de 3 000 pharmacies en février 2025, puis la santé, la finance, le e-commerce et les télécoms en mai 2025. Les contrôles se poursuivent secteur par secteur.

Mon hébergement cloud étranger nécessite-t-il une autorisation CNDP ?

Oui dès lors que le pays de destination n'est pas reconnu comme offrant un niveau de protection adéquat. Héberger des données personnelles sur un cloud étranger non adéquat est un transfert international qui exige une autorisation préalable de la CNDP et des garanties comme des clauses contractuelles types avec votre prestataire.

Sources

• DPO Consulting, "Loi marocaine sur la protection des données 09-08"
• CNDP, "Formalités" et "Notifier un traitement" (cndp.ma)
• Medias24, "Données personnelles : ce que prévoit la loi en cas de violations" (2023)
• void.ma, "Conformité CNDP et données personnelles"
• Lafrouji Avocats, "Protection des données au Maroc - CNDP"
• Maroc24, "La CNDP intensifie ses contrôles" (mai 2025)
• La Vie éco, "La CGEM adhère au programme DATA-TIKA lancé par la CNDP"
• Village de la Justice, "Le leadership africain de la CNDP"
• Conseil de l'Europe, "Morocco, 55th State Party to Convention 108"
• Upsilon Consulting, "Déclarations et autorisations CNDP : guide pratique"

Dernière vérification : 16 juin 2026.