Vous êtes une agence marocaine qui développe pour des clients français. Une SaaS de Casablanca dont la moitié des utilisateurs sont en Europe. Un centre de services qui traite des dossiers clients pour un donneur d'ordre belge. Dans tous ces cas, une question finit toujours par tomber : "Êtes-vous conformes au RGPD ?" Et la mauvaise réponse peut faire perdre le contrat.
La protection des données n'est plus un sujet de juristes. C'est devenu un argument commercial et un filtre à l'entrée des marchés européens. Ce guide explique ce que vous devez réellement faire quand vous traitez des données de personnes européennes depuis le Maroc, sans jargon inutile et avec les étapes concrètes.
Le problème : deux cadres juridiques qui se superposent
Quand une entreprise marocaine traite des données européennes, elle vit sous deux régimes en même temps.
Le premier est la loi 09-08, promulguée le 18 février 2009, qui encadre le traitement des données personnelles au Maroc. Son autorité de contrôle est la CNDP (Commission Nationale de contrôle de la Protection des Données à caractère personnel). Toute entreprise opérant au Maroc relève de cette loi.
Le second est le RGPD (Règlement Général sur la Protection des Données), en vigueur dans l'Union européenne depuis le 25 mai 2018. Le RGPD a une portée extraterritoriale : il s'applique dès que vous traitez les données de personnes situées dans l'UE pour leur offrir des biens ou services, même si votre entreprise est entièrement basée au Maroc.
Le point qui surprend beaucoup de dirigeants : le Maroc ne bénéficie pas d'une décision d'adéquation de la Commission européenne au titre de l'article 45 du RGPD. Concrètement, l'Europe ne considère pas (à ce jour, en 2026) que le cadre marocain offre automatiquement un niveau de protection équivalent. Cela ne ferme pas la porte aux transferts de données, mais cela impose des garanties supplémentaires que nous détaillons plus bas.
Loi 09-08 et RGPD : les différences à connaître
Les deux textes partagent la même philosophie — protéger les personnes — mais divergent sur plusieurs points pratiques.
| Sujet | Loi 09-08 (Maroc) | RGPD (UE) | |-------|-------------------|-----------| | Formalité d'entrée | Déclaration ou autorisation préalable à la CNDP | Pas de déclaration préalable, logique de responsabilité | | Délégué à la protection (DPO) | Pas d'obligation générale | Obligatoire dans certains cas | | Niveau des amendes | Plus faible | Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial | | Transferts internationaux | Encadrés, autorisation CNDP souvent requise | Encadrés par décisions d'adéquation et clauses types |
La loi 09-08 est antérieure au RGPD et plus légère sur certains aspects — pas d'obligation générale de DPO, amendes plus modestes. Mais elle est plus stricte sur d'autres : la déclaration préalable auprès de la CNDP est obligatoire pour de nombreux traitements, là où le RGPD a abandonné cette logique au profit de la responsabilisation. Ignorer la formalité CNDP est l'erreur la plus fréquente des PME marocaines.
Les transferts de données : le vrai point sensible
C'est ici que se concentre le risque pour une entreprise marocaine servant l'Europe. Quand des données personnelles de l'UE arrivent sur vos serveurs ou entre vos mains au Maroc, il s'agit d'un transfert hors UE.
En l'absence de décision d'adéquation pour le Maroc, le mécanisme principal pour légaliser ces transferts est constitué par les clauses contractuelles types (CCT, en anglais Standard Contractual Clauses ou SCC), adoptées par la Commission européenne au titre de l'article 46 du RGPD. Ce sont des contrats standardisés que le client européen (responsable de traitement) et le prestataire marocain (sous-traitant) signent pour s'engager sur un niveau de protection équivalent.
Côté marocain, le transfert vers ou depuis l'étranger requiert généralement une autorisation de la CNDP. Vous devez donc gérer les deux bouts de la chaîne : les garanties contractuelles côté européen, et la formalité administrative côté marocain.
Une analyse d'impact des transferts est souvent attendue par les clients exigeants : elle documente où sont stockées les données, qui y accède, et quelles mesures techniques les protègent. Un audit digital de vos flux de données est le meilleur moyen de cartographier tout cela avant qu'un client ne vous le demande.
La feuille de route en 7 étapes
Étape 1 : Cartographier vos traitements
Listez toutes les données personnelles que vous traitez : qui, quoi, pourquoi, où c'est stocké, combien de temps, qui y a accès. Sans cette cartographie, aucune conformité n'est possible. C'est le document de base que tout auditeur réclamera.
Étape 2 : Déterminer votre rôle
Êtes-vous responsable de traitement (vous décidez des finalités) ou sous-traitant (vous agissez pour le compte d'un client) ? La plupart des agences et SaaS marocaines sont sous-traitants pour leurs clients européens. Ce statut détermine vos obligations contractuelles.
Étape 3 : Régulariser auprès de la CNDP
Effectuez les déclarations ou demandes d'autorisation requises par la loi 09-08, y compris pour les transferts internationaux. C'est une obligation légale au Maroc, indépendante du RGPD.
Étape 4 : Signer les clauses contractuelles types
Pour chaque client européen dont vous traitez les données, mettez en place les CCT appropriées et un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD. C'est souvent le document que le client vous enverra en premier.
Étape 5 : Sécuriser techniquement
Chiffrement des données en transit et au repos, contrôle des accès, journalisation, sauvegardes. Le RGPD impose des mesures "appropriées" : pas de liste figée, mais l'absence de mesures de base est indéfendable. Notre guide de la cybersécurité pour les PME marocaines détaille les fondamentaux.
Étape 6 : Préparer la gestion des incidents
Le RGPD impose de notifier une violation de données à l'autorité compétente en moins de 72 heures dans de nombreux cas. Ayez une procédure écrite : qui fait quoi, qui prévient le client, dans quel délai.
Étape 7 : Documenter et maintenir
La conformité n'est pas un projet ponctuel mais un état permanent. Tenez un registre des traitements, datez vos décisions, conservez les preuves. En cas de contrôle ou de question d'un client, la documentation fait la différence.
Exemple concret : une agence web de Rabat
Prenons une agence de développement à Rabat qui gère l'hébergement et la base de données d'un site e-commerce français. Les données des clients français — noms, adresses, historiques d'achat — transitent par des serveurs gérés depuis le Maroc.
Cette agence est sous-traitant. Elle doit : signer un DPA et des CCT avec son client français, déclarer le traitement et le transfert auprès de la CNDP, chiffrer la base, restreindre les accès aux seuls développeurs concernés, et disposer d'une procédure de notification d'incident. Sans cela, le client français est lui-même en infraction et risque de changer de prestataire au premier audit.
À l'inverse, une fois ces éléments en place, l'agence transforme la contrainte en avantage : elle peut afficher sa conformité comme un argument de vente face à des concurrents qui ne l'ont pas. Accompagner cette démarche relève souvent d'un projet de transformation digitale plus large, où la gouvernance des données est intégrée dès la conception.
Checklist de conformité
- Cartographie des traitements à jour
- Rôle clarifié (responsable ou sous-traitant) pour chaque flux
- Déclarations et autorisations CNDP effectuées
- DPA et clauses contractuelles types signés avec chaque client UE
- Chiffrement en transit et au repos activé
- Politique d'accès restreint documentée
- Procédure de notification d'incident écrite et testée
- Registre des traitements tenu et daté
- Information claire des personnes (mentions et politique de confidentialité)
- Revue de conformité planifiée au moins une fois par an
Transformer la contrainte en avantage
La conformité a un coût, mais la non-conformité en a un plus élevé : perte de contrats européens, exposition aux amendes RGPD, atteinte à la réputation. Pour une entreprise marocaine qui vise le marché européen — l'un des relais de croissance les plus naturels pour le nearshoring — la maîtrise de la protection des données est un passeport, pas une corvée. Un cadrage en conseil digital permet de prioriser les actions selon votre exposition réelle et d'avancer sans sur-investir.
FAQ
Le RGPD s'applique-t-il vraiment à une entreprise basée uniquement au Maroc ?
Oui, dès que vous traitez les données de personnes situées dans l'UE pour leur proposer des biens ou services, ou que vous traitez ces données pour le compte d'un client européen. La portée du RGPD est extraterritoriale : la localisation de votre entreprise ne vous exonère pas.
Le Maroc a-t-il une décision d'adéquation avec l'UE ?
Non, pas à ce jour en 2026. Le Maroc avait demandé cette reconnaissance, mais elle n'est pas en vigueur. En conséquence, les transferts de données depuis l'UE vers le Maroc doivent s'appuyer sur des garanties comme les clauses contractuelles types.
Faut-il déclarer mes traitements à la CNDP même si je sers surtout des clients européens ?
Oui. La loi 09-08 s'applique à toute entreprise opérant au Maroc, indépendamment du RGPD. La déclaration ou l'autorisation préalable auprès de la CNDP est une obligation distincte qu'il ne faut pas négliger, notamment pour les transferts internationaux.
Quelles sont les amendes en cas de non-conformité au RGPD ?
Le RGPD prévoit des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Au-delà de l'amende, le risque principal pour une entreprise marocaine est la perte de clients européens qui exigent la conformité de leurs sous-traitants.
Ai-je besoin d'un délégué à la protection des données (DPO) ?
La loi 09-08 ne l'impose pas de manière générale, mais le RGPD le rend obligatoire dans certains cas, notamment pour le suivi à grande échelle de personnes. Même sans obligation, désigner un référent données en interne facilite grandement la gestion de la conformité.