La déclaration et l'autorisation préalable sont les deux régimes par lesquels la loi 09-08 encadre tout traitement de données personnelles au Maroc. La déclaration auprès de la CNDP est la formalité de droit commun ; l'autorisation est l'exception réservée aux traitements à risque plus élevé. Choisir le bon régime, c'est éviter une infraction qui engage personnellement le dirigeant.
En résumé : déclarez par défaut, et basculez en autorisation préalable dès qu'apparaît l'un des déclencheurs prévus par la loi (données sensibles, génétiques, numéro de CIN/CNIE, infractions, interconnexion de fichiers, réutilisation au-delà de la finalité initiale, ou transfert hors d'un pays jugé adéquat). En cas de doute, sous-classifier coûte plus cher que sur-déclarer.
C'est l'arbitrage le plus mal compris de la conformité marocaine. Beaucoup d'entreprises déposent une déclaration générique et pensent leur dossier clos, alors que des traitements quotidiens (paie, KYC bancaire, hébergement cloud) relèvent en réalité de l'autorisation. Ce guide vous donne le tableau de décision, les délais comparés, les sanctions correctement distinguées, et la méthode pour qualifier chaque traitement sans vous tromper.
Quelle est la règle de base : pourquoi la déclaration est-elle le régime par défaut ?
L'article 12 de la loi 09-08 (promulguée par le Dahir n° 1-09-15 du 18 février 2009, décret d'application n° 2-09-165) est la porte d'entrée de tout le système. Il pose un principe simple : tout traitement de données personnelles doit faire l'objet d'une déclaration préalable auprès de la CNDP, sauf s'il est exclu du champ de la loi, exempté de déclaration, ou soumis au régime de l'autorisation préalable.
Autrement dit, la déclaration est la situation normale. Vous ne demandez pas une permission : vous notifiez à l'autorité l'existence et les caractéristiques de votre traitement. La CNDP délivre alors un récépissé qui matérialise votre démarche. L'autorisation, elle, est une procédure plus lourde, déclenchée par la nature des données ou l'usage que vous en faites.
La conséquence pratique : ne partez jamais du principe que votre fichier est « ordinaire ». Partez de l'article 12, puis vérifiez, déclencheur par déclencheur, s'il ne bascule pas dans le régime de l'autorisation. C'est l'inverse du réflexe habituel, et c'est ce qui protège.
Quels traitements exigent une autorisation préalable de la CNDP ?
La loi liste limitativement les cas où la simple déclaration ne suffit pas. Voici la check-list qu'un dirigeant peut s'appliquer à lui-même. L'autorisation préalable de la CNDP est requise pour :
- les données sensibles : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données de santé (y compris génétiques) ;
- les données génétiques, sauf lorsqu'elles sont traitées par du personnel de santé à des fins médicales ;
- les données relatives aux infractions, condamnations ou mesures de sûreté, sauf traitement par des auxiliaires de justice ;
- les données comportant le numéro de la carte d'identité nationale (CIN/CNIE) ;
- l'interconnexion de fichiers (entre organismes de service public poursuivant des finalités d'intérêt public différentes, ou entre d'autres organismes dont les finalités principales diffèrent) ;
- le traitement à des fins autres que celles pour lesquelles les données ont été collectées (réutilisation au-delà de la finalité initiale).
À cela s'ajoute le transfert transfrontalier de données vers un pays étranger, encadré par les articles 43 et 44, que nous traitons plus bas comme une branche de décision à part entière. Notez bien : les biométriques (reconnaissance faciale, empreintes) ne disposent pas d'un article dédié comme dans le RGPD ; elles relèvent de la catégorie des données sensibles et donc du régime de l'autorisation.
Le tableau de décision : déclaration ou autorisation, selon le cas d'usage
Voici la pièce centrale. Repérez la ligne qui correspond à votre traitement, puis lisez le régime requis et la base légale. C'est l'outil à garder sous les yeux lors de votre cartographie. La base légale renvoie au régime applicable : l'article 12 fixe la règle d'entrée (déclaration par défaut), tandis que les déclencheurs d'autorisation se situent autour des articles 12 et 21-22, et le transfert transfrontalier relève des articles 43-44.
| Type de donnée ou cas d'usage | Régime requis | Base légale | Notes | |---|---|---|---| | Fichier clients courant (nom, email, téléphone) | Déclaration | Art. 12 (droit commun) | Régime de droit commun | | Fichier du personnel / paie de base | Déclaration | Art. 12 (droit commun) | Bascule si le numéro de CIN est traité | | Numéro de CIN / CNIE | Autorisation | Régime d'autorisation (art. 12 / 21-22) | Très fréquent en RH, KYC, télécoms | | Données de santé, génétiques | Autorisation | Régime d'autorisation, données sensibles | Exception : personnel de santé à fins médicales | | Origine, opinions, religion, syndicat | Autorisation | Régime d'autorisation, données sensibles | Inclut les biométriques | | Infractions, condamnations, sûreté | Autorisation | Régime d'autorisation (art. 12 / 21-22) | Exception : auxiliaires de justice | | Interconnexion de fichiers | Autorisation | Régime d'autorisation (art. 12 / 21-22) | Finalités principales différentes | | Réutilisation au-delà de la finalité initiale | Autorisation | Régime d'autorisation (art. 12 / 21-22) | Cas typique de l'IA et du data mining | | Transfert vers pays non adéquat | Autorisation | Art. 43-44 | Sauf exception de l'art. 44 | | Association religieuse, politique, syndicale, culturelle, sportive | Exempté | Art. 12-1-a | Carve-out non lucratif | | Registre public destiné à l'information du public | Hors régime ordinaire | Art. 12 | Pas de déclaration |
La lecture est claire : un fichier clients standard se déclare ; dès qu'une donnée sensible, un numéro de CIN, un croisement de fichiers, une réutilisation ou un transfert apparaît, vous changez de régime. Pour le cadre complet, appuyez-vous sur notre guide CNDP et loi 09-08 pour l'entreprise.
Quels sont les délais et la procédure de chaque régime ?
Les deux régimes n'ont rien de comparable en termes de calendrier, ce qui doit peser dans votre planification projet. La procédure se fait sur formulaire (codes F211, F214, etc.), en français et en arabe, sur le portail de la CNDP. Choisir le mauvais formulaire ou sous-classifier son traitement est l'erreur administrative la plus courante chez les PME marocaines.
| Étape | Déclaration | Autorisation préalable | |---|---|---| | Délivrance du récépissé | Sous 24 heures | Pas de récépissé : décision motivée | | Fenêtre de requalification | 8 jours pour reclasser en autorisation si « dangers manifestes » | Sans objet | | Délai de décision | Immédiat (récépissé) | 2 mois, renouvelable une fois | | Dossier incomplet | À compléter | Suspend le délai jusqu'à régularisation | | Nature de l'acte | Notification | Autorisation à obtenir avant traitement |
Point crucial souvent mal compris : la déclaration n'est pas une approbation. La CNDP ne valide pas votre traitement ; elle accuse réception sous 24 heures et se réserve, pendant 8 jours, le droit de vous notifier que votre traitement présente des dangers manifestes pour la vie privée et les libertés fondamentales, et qu'il bascule donc dans le régime de l'autorisation. L'autorisation, à l'inverse, est une véritable décision rendue dans un délai de deux mois, renouvelable une fois, et tout dossier incomplet suspend ce délai. Concrètement, intégrez deux à trois mois dans le planning de tout projet touchant des données sensibles.
Pourquoi le cloud et le SaaS étranger vous poussent-ils vers l'autorisation ?
C'est la branche de décision que la plupart des entreprises marocaines négligent. Dès que vous hébergez des données personnelles sur une région AWS, Google Cloud ou Microsoft Azure située hors du Maroc, ou que vous utilisez un CRM, un outil RH ou une solution de paie étrangère, vous opérez un transfert transfrontalier au sens des articles 43 et 44.
L'article 43 interdit le transfert vers un pays étranger sauf si celui-ci assure un niveau de protection suffisant ; la CNDP tient et met à jour une liste des pays jugés adéquats. L'article 44 prévoit des exceptions permettant le transfert vers un pays non adéquat, notamment avec l'autorisation de la CNDP ou le consentement de la personne concernée. En pratique, la plupart des régions par défaut des grands fournisseurs ne figurent pas sur la liste d'adéquation, ce qui pousse l'entreprise vers la procédure d'autorisation.
Conséquence directe : choisir un hébergeur n'est pas qu'une décision technique ou tarifaire. La localisation des serveurs détermine vos obligations légales. De nombreuses entreprises marocaines exploitent ainsi un transfert qu'elles n'ont jamais autorisé. Auditez vos contrats fournisseurs avant qu'un contrôle ne le fasse à votre place.
Quelles exemptions et exceptions éviter de sur-déclarer ?
Bien classifier, c'est aussi savoir quand vous n'êtes pas soumis à l'autorisation, voire à la déclaration. Sur-déclarer mobilise du temps interne pour rien et brouille votre dossier de conformité.
L'article 12-1-a exempte les traitements mis en œuvre par des associations ou tout autre groupement à but non lucratif à caractère religieux, philosophique, politique, syndical, culturel ou sportif, pour les données correspondant à leur objet. Les registres publics destinés à l'information du public échappent au régime ordinaire. Côté autorisation, deux exceptions techniques évitent la bascule : les données génétiques traitées par du personnel de santé à des fins médicales restent hors du régime d'autorisation propre au génétique, et les données relatives aux infractions traitées par des auxiliaires de justice échappent au déclencheur correspondant.
Le réflexe à retenir : vérifiez d'abord si une exemption s'applique, sinon appliquez le régime par défaut (déclaration), et ne montez en autorisation que si un déclencheur de l'article 12 ou des articles 43-44 est présent. Ni plus, ni moins.
Que risque-t-on selon le type de manquement ?
Les sanctions de la loi 09-08 sont de nature pénale : amendes fixes en dirhams et, pour les manquements graves, peines d'emprisonnement. Elles ne sont pas proportionnelles au chiffre d'affaires comme dans le RGPD. Surtout, elles sont graduées selon le type de défaillance, ce que la plupart des articles confondent.
| Manquement | Article | Sanction | |---|---|---| | Traitement sans déclaration ni autorisation | Art. 52 | Amende de 10 000 à 100 000 DH | | Données sensibles sans consentement exprès | Art. 57 | 3 mois à 1 an de prison ET 50 000 à 300 000 DH (ou l'une des deux) | | Transfert transfrontalier illicite (viol. art. 43-44) | Art. 60 | 3 mois à 1 an de prison ET 20 000 à 200 000 DH (ou l'une des deux) | | Finalité détournée, collecte déloyale, conservation excessive, absence de mesures de sécurité (art. 23-24) | Art. 54-59 | 3 mois à 1 an de prison ET 20 000 à 200 000 DH (ou l'une des deux) | | Refus des droits d'accès, rectification, opposition (art. 7-9) | Art. 53 | 20 000 à 200 000 DH par infraction | | Entrave aux missions de contrôle de la CNDP | Art. 62 | 3 à 6 mois de prison et 10 000 à 50 000 DH |
Deux règles aggravantes changent l'échelle. Pour une personne morale, les amendes sont doublées (article 64), avec possible confiscation du matériel et fermeture de l'établissement. En cas de récidive dans l'année suivant une condamnation irrévocable, toutes les peines sont doublées (article 65). À noter : l'amende pour défaut de déclaration ou d'autorisation (10 000 à 100 000 DH, art. 52) est distincte de celle pour données sensibles sans consentement (50 000 à 300 000 DH, art. 57) et de celle pour transfert illicite (20 000 à 200 000 DH, art. 60). Ces bandes sont souvent confondues : ne les amalgamez pas.
Comment classifier vos traitements dès lundi matin ?
Passer de la théorie à l'action tient en une séquence pragmatique, réalisable en quelques semaines pour une PME et plus longue pour un groupe multi-entités.
- Cartographier : listez chaque traitement (un fichier = une finalité) avec qui collecte, quelles données, pourquoi, où c'est stocké, combien de temps, et qui y accède.
- Classifier : passez chaque ligne au crible du tableau de décision ci-dessus. Cherchez activement les déclencheurs (CIN, santé, infractions, croisement, réutilisation, transfert).
- Notifier : déposez la bonne formalité sur le portail de la CNDP, déclaration ou demande d'autorisation, avec le formulaire correspondant.
- Conserver : archivez le récépissé ou l'autorisation. C'est votre preuve de conformité en cas de contrôle.
- Re-notifier : dès qu'une finalité change, qu'un nouveau fournisseur entre en jeu, ou qu'un transfert apparaît, rouvrez le dossier. La conformité n'est pas un acte unique.
Le point de friction n'est jamais le formulaire : c'est la cartographie et la qualification. Savoir exactement quelles données vous détenez, et sous quel régime elles tombent, exige une lecture transverse de l'entreprise. C'est précisément là qu'un accompagnement en conseil digital fait gagner des semaines et évite les erreurs de classification. Pour situer ce sujet dans le cadre plus large de la gouvernance et de la cybersécurité, consultez notre guide pilier sur la sécurité et la conformité des données en entreprise au Maroc.
FAQ
La déclaration vaut-elle approbation de mon traitement par la CNDP ?
Non. La déclaration est une simple notification : la CNDP délivre un récépissé sous 24 heures, sans valider votre traitement. Elle dispose ensuite de 8 jours pour vous notifier une requalification en autorisation si le traitement présente des dangers manifestes. Seule l'autorisation préalable constitue une véritable décision, rendue dans un délai de deux mois.
Le traitement du numéro de CIN nécessite-t-il une autorisation ?
Oui. Tout traitement comportant le numéro de la carte d'identité nationale (CIN/CNIE) relève du régime de l'autorisation préalable, et non de la simple déclaration. C'est un déclencheur très fréquent et souvent ignoré : onboarding RH, KYC bancaire, abonnements télécoms et programmes de fidélité capturent le CIN, faisant basculer des traitements en apparence ordinaires dans le régime de l'autorisation.
Mon hébergement cloud étranger exige-t-il une autorisation de la CNDP ?
Le plus souvent, oui. Héberger des données personnelles hors du Maroc est un transfert transfrontalier régi par les articles 43 et 44. Le transfert vers un pays non jugé adéquat par la CNDP requiert une autorisation, sauf si une exception de l'article 44 s'applique (consentement de la personne, par exemple). La plupart des régions cloud par défaut ne figurant pas sur la liste d'adéquation, l'autorisation devient nécessaire.
Quelle est la sanction si je ne déclare pas un traitement ?
Le traitement ou la création d'un fichier sans la déclaration ou l'autorisation requise par l'article 12 est puni d'une amende de 10 000 à 100 000 DH (article 52). Pour une personne morale, cette amende est doublée (article 64). Ne confondez pas cette sanction avec celle des données sensibles sans consentement (50 000 à 300 000 DH, article 57), plus lourde.
Une association doit-elle déclarer ou demander une autorisation ?
Les traitements mis en œuvre par une association ou un groupement à but non lucratif à caractère religieux, philosophique, politique, syndical, culturel ou sportif sont exemptés (article 12-1-a), pour les données correspondant à leur objet. En dehors de ce périmètre, l'association redevient un responsable de traitement de droit commun et applique le régime ordinaire : déclaration par défaut, autorisation si un déclencheur apparaît.
Sources
- CNDP, « Loi 09-08 » (cndp.ma/loi-09-08)
- CNDP, « Formalités » (cndp.ma/formalites)
- CNDP, « Notifier un traitement » (cndp.ma/notifier-un-traitement)
- CNDP, « Notifier une demande d'autorisation préalable » (cndp.ma)
- CNDP, « Liste des infractions à la loi n° 09-08 et des sanctions prévues », PDF officiel (cndp.ma)
- DGSSI, Décret n° 2-09-165 d'application de la loi 09-08
- CMS Law, « Flash info Maroc : transferts de données » (articles 43-44)
Dernière vérification : 17 juin 2026.
Ne pas se tromper de régime, c'est protéger l'entreprise et son dirigeant : qualifiez chaque traitement avec le tableau ci-dessus, puis parlons de votre conformité CNDP.