Sécurité, données et conformité IT en entreprise (Maroc)

La conformité IT en entreprise au Maroc désigne l'ensemble des obligations légales, techniques et organisationnelles qui encadrent la gouvernance des données, la protection des données personnelles (CNDP, loi 09-08), la cybersécurité (DGSSI, loi 05-20) et la résilience opérationnelle. En 2025-2026, ce qui était un sujet de DSI est devenu un sujet de conseil d'administration.

Réponse rapide : Maîtriser la sécurité, les données et la conformité IT au Maroc repose sur cinq piliers : (1) une gouvernance des données structurée (cartographie, classification, propriétaires), (2) la conformité CNDP à la loi 09-08 et bientôt à la loi 07-26, (3) un socle de cybersécurité aligné sur la DGSSI et la loi 05-20, (4) un choix cloud / on-premise éclairé par la souveraineté (région Oracle Casablanca, politique Cloud First), et (5) un dispositif de réponse à incident avec PCA/PRA. Le déclencheur de 2025 : la CNDP est passée à la sanction active et deux fuites majeures (CNSS, Marjane) ont fait de la conformité un enjeu de direction générale.

Ce guide pilier cartographie l'ensemble du paysage. Chaque sous-sujet est positionné comme une porte d'entrée, et la conformité CNDP, le sujet le plus dense, fait l'objet d'un article approfondi dédié.

Pourquoi la gouvernance des données est-elle devenue stratégique au Maroc en 2025-2026 ?

Parce que le risque s'est matérialisé et que le régulateur a changé de posture. Le Maroc est classé Tier 1 de l'Indice mondial de cybersécurité 2024 de l'UIT avec un score de 97,5/100, seul pays du Maghreb dans cette catégorie d'élite. Mais cette excellence institutionnelle contraste avec la réalité des entreprises : la fuite de données de la CNSS en avril 2025 a exposé les informations de près de 2 millions de salariés et de près de 500 000 entreprises, et le groupe Marjane, premier distributeur du pays, a été visé par une revendication de rançongiciel en novembre 2025. En parallèle, la CNDP a officiellement clôturé en février 2025 sa phase de sensibilisation de quinze ans pour passer à un contrôle sectoriel actif. Pour un dirigeant marocain, la question n'est plus « faut-il s'en occuper ? » mais « combien de temps reste-t-il avant un contrôle ou un incident ? ». La gouvernance des données est devenue le socle qui conditionne à la fois la conformité, la résilience et la confiance des clients.

Qu'est-ce que la gouvernance des données, et par où commencer ?

La gouvernance des données est l'ensemble des règles, rôles et processus qui définissent qui peut accéder à quelles données, dans quelles conditions et pour quelle finalité. Avant toute mise en conformité, c'est le préalable indispensable : on ne protège pas, et on ne déclare pas à la CNDP, des données que l'on n'a pas inventoriées.

Trois chantiers concrets pour démarrer :

• Cartographie des données. Recensez tous les traitements : RH, paie, CRM, vidéosurveillance, marketing, sous-traitants. Pour chacun, identifiez la finalité, la base légale, les destinataires et le lieu d'hébergement (un point critique pour les transferts).
• Classification. Distinguez les données publiques, internes, confidentielles et sensibles (santé, données bancaires, opinions). Les données sensibles déclenchent des obligations renforcées au titre de la loi 09-08.
• Propriétaires de données. Attribuez un responsable métier à chaque jeu de données. Sans propriétaire désigné, aucune décision de conservation, de partage ou de suppression n'est tenue.

Cette cartographie alimente directement vos déclarations CNDP et votre analyse de risque cybersécurité. C'est le document de référence dont tout le reste découle.

CNDP et loi 09-08 : quelles obligations, et déclaration ou autorisation ?

La loi 09-08, promulguée en 2009, est l'épine dorsale juridique de la protection des données personnelles au Maroc. La CNDP en est l'autorité : elle informe, conseille, contrôle et sanctionne. Toute entreprise qui traite des données personnelles doit accomplir une formalité préalable, et le choix entre deux régimes est souvent mal compris.

| Formalité | Quand l'utiliser | Particularité | |---|---|---| | Déclaration | Traitements courants (RH, paie, fichier clients) | Le traitement peut démarrer après dépôt | | Autorisation préalable | Cas sensibles : données de santé, transferts hors du Maroc, surveillance | Le traitement ne peut pas commencer avant l'accord de la CNDP |

L'enjeu juridique est réel : la loi 09-08 prévoit des amendes de 20 000 à 200 000 MAD et des peines de 3 mois à 1 an d'emprisonnement. La CNDP peut aussi émettre un avertissement, une mise en demeure, suspendre un traitement jusqu'à 3 mois ou retirer une autorisation. Depuis février 2025, ces leviers ne sont plus théoriques.

Ce sujet est le plus dense de tout le dispositif. Nous l'avons détaillé dans notre article de référence : conformité CNDP et loi 09-08 pour votre entreprise, à consulter avant tout dépôt.

Loi 07-26 (2026) : qu'est-ce qui change par rapport à la loi 09-08 ?

La loi 07-26 modernise la loi 09-08 plutôt qu'elle ne la remplace. Elle vise à rapprocher le cadre marocain des standards internationaux (logique proche du RGPD européen) tout en renforçant la souveraineté. Les évolutions rapportées sont structurantes pour les directions.

Selon une source secondaire (à vérifier impérativement contre le texte officiel publié au Bulletin Officiel avant toute décision), la loi 07-26 introduirait :

• De nouveaux barèmes d'amendes : 10 000 à 50 000 MAD pour les manquements mineurs, et 100 000 à 600 000 MAD par violation majeure, soit un saut d'échelle considérable par rapport aux 200 000 MAD plafond actuels.
• Une notification obligatoire sous 72 heures à la CNDP en cas de violation de données, un réflexe que la plupart des entreprises marocaines n'ont pas encore intégré.
• Une localisation des données pour les infrastructures critiques.
• Des peines d'emprisonnement portées de 3 mois à 2 ans.

Le message pour un dirigeant : la fenêtre de tolérance se referme. Les organisations qui structurent leur gouvernance maintenant aborderont la transition sereinement ; les autres découvriront le délai de 72 heures dans l'urgence d'un incident. Traitez la loi 07-26 comme un programme à anticiper, pas comme une mise à jour réglementaire à subir.

Quel est le socle minimal de cybersécurité au Maroc ?

Le socle de cybersécurité réglementaire repose sur la DGSSI (Direction Générale de la Sécurité des Systèmes d'Information), créée en 2011 au sein de l'Administration de la Défense Nationale. C'est l'autorité nationale qui fixe les règles pour les administrations et les infrastructures d'importance vitale (OIV/IIV).

Quatre références à connaître :

• La loi 05-20 sur la cybersécurité (décret d'application n° 2-21-406) couvre les administrations, établissements publics, collectivités, entreprises publiques et toutes les infrastructures critiques, publiques ou privées. Elle impose de désigner un responsable de la sécurité des systèmes d'information, d'élaborer des plans de continuité et de reprise, et de déclarer les incidents à l'autorité nationale.
• La DNSSI (Directive Nationale de la Sécurité des Systèmes d'Information) fixe les objectifs et règles de sécurité minimaux.
• La Stratégie Nationale de Cybersécurité 2030 structure l'action autour de 4 piliers, 11 objectifs, 26 initiatives et 60 actions.
• Pour le secteur financier, la Directive n°3/W/2016 de Bank Al-Maghrib impose audits, tests d'intrusion et détection avancée, avec adoption du cadre CROE.

Réalité du terrain : selon le baromètre AUSIM x PwC 2025, 64 % des entreprises marocaines externalisent tout ou partie de leur cybersécurité. L'enjeu n'est pas de tout internaliser, mais de piloter le bon dispositif.

Cloud ou on-premise au Maroc : comment choisir, et qu'apporte le cloud souverain ?

Le choix dépend de votre profil de risque, de la sensibilité des données et de vos contraintes de transfert. Le paysage marocain a changé d'échelle : le pays compte désormais plusieurs centres de données opérationnels et Oracle a ouvert en avril 2026 la première région cloud d'hyperscaler d'Afrique du Nord, à Casablanca (hébergée par N+ONE), avec traitement et hébergement strictement maintenus dans les frontières nationales et une seconde région prévue à Settat.

| Critère | On-premise | Cloud international | Cloud souverain (région Maroc) | |---|---|---|---| | Contrôle physique | Total | Faible | Élevé (données au Maroc) | | Conformité transferts (art. 43-44) | Native | Autorisation CNDP requise | Native, pas de transfert | | Coût initial | Élevé (CAPEX) | Faible (OPEX) | Faible (OPEX) | | Évolutivité | Limitée | Maximale | Élevée | | Adéquation données sensibles | Forte | À encadrer | Forte |

La politique Cloud First de la feuille de route Cloud 2025-2030, intégrée à Maroc Digital 2030, fera progressivement du cloud l'option par défaut des services publics. Pour une entreprise privée, le cloud souverain réconcilie agilité OPEX et exigence de souveraineté, sans le casse-tête réglementaire des transferts.

Transferts de données hors du Maroc : pourquoi la souveraineté conditionne votre choix de cloud ?

Parce que l'hébergement de vos données à l'étranger n'est pas un détail technique : c'est un acte juridique encadré. Les articles 43 et 44 de la loi 09-08 interdisent de transférer des données personnelles vers un pays qui n'assure pas un niveau de protection suffisant, sauf autorisation préalable de la CNDP ou consentement explicite de la personne concernée. Point crucial souvent ignoré : utiliser un serveur cloud situé à l'étranger constitue un transfert international, même via un revendeur local.

Concrètement, si votre CRM, votre paie ou vos données clients résident dans un datacenter européen ou américain via un fournisseur SaaS, vous effectuez un transfert international qui exige une formalité CNDP. C'est précisément ce lien qui fait de la décision cloud une décision de conformité, et non un simple arbitrage IT. Choisir une région cloud au Maroc (comme Oracle Casablanca) ou un hébergement on-premise élimine la qualification de transfert pour les données concernées, simplifiant radicalement votre dossier CNDP. La souveraineté n'est donc pas un slogan : c'est le paramètre qui détermine si vous devez ou non solliciter une autorisation, avec les délais et les risques que cela implique.

Comment se préparer à un incident : réponse à incident, PCA et PRA ?

En partant du principe que l'incident arrivera, pas qu'il pourrait arriver. Au premier semestre 2025, environ 21 millions d'attaques ont été détectées au Maroc, dont 2,1 millions d'attaques RDP ; le vol d'identifiants et les logiciels espions ont chacun progressé de 22 % par rapport au premier semestre 2024. Le coût mondial moyen d'une violation de données atteint 4,44 millions de dollars en 2025.

Trois dispositifs à formaliser :

• Plan de réponse à incident. Qui décide, qui communique, qui investigue ? La loi 05-20 impose déjà la déclaration des incidents ; la loi 07-26 ajouterait un délai de 72 heures vers la CNDP. Sans procédure écrite et testée, ce délai est intenable.
• PCA (Plan de Continuité d'Activité). Comment maintenir les opérations critiques pendant l'incident ? Quels processus en mode dégradé ?
• PRA (Plan de Reprise d'Activité). Sauvegardes isolées (testées, immuables, hors ligne), objectifs de temps et de point de reprise (RTO/RPO) définis par criticité.

L'erreur classique observée chez Marjane comme à la CNSS : des dispositifs sur le papier, jamais simulés en conditions réelles. Un PRA non testé est une fiction rassurante.

Que nous apprennent les attaques récentes (CNSS, Marjane, secteur bancaire) ?

Trois leçons directement actionnables. D'abord, la donnée personnelle est la cible prioritaire. La fuite de la CNSS (avril 2025), attribuée à l'acteur « Jabaroot », a exposé numéros de CIN, salaires et coordonnées bancaires de près de 2 millions de personnes, et les victimes n'auraient reçu aucune notification du régulateur. C'est exactement le scénario que la notification sous 72 heures de la loi 07-26 vise à corriger.

Ensuite, aucun secteur n'est épargné. Marjane (distribution) frappé par le rançongiciel Stormous en novembre 2025 démontre que la taille et la notoriété n'offrent aucune protection ; elles augmentent même l'exposition.

Enfin, le secteur financier montre la voie de la maturité. Bank Al-Maghrib, via sa Directive n°3/W/2016 et le cadre CROE, intègre la résilience opérationnelle à la supervision prudentielle. Ce modèle (audits réguliers, tests d'intrusion, détection avancée) est transposable à toute entreprise sérieuse. La conformité n'est pas une contrainte administrative : c'est l'assurance que ces scénarios ne deviennent pas votre prochaine une de presse.

Par où démarrer concrètement : une feuille de route de 90 jours ?

En séquençant gouvernance, conformité et sécurité plutôt qu'en traitant tout de front. Voici une trajectoire éprouvée par profil d'entreprise.

| Profil d'entreprise | Priorité des 90 jours | Point de départ | |---|---|---| | PME (50-200 salariés) | Cartographie + déclarations CNDP de base | DATA-TIKA via la CGEM | | ETI / grand groupe | Audit complet + PRA testé + dossier transferts | Gouvernance et conseil structuré | | Acteur réglementé (banque, assurance) | Alignement CROE / sectoriel | Conformité Bank Al-Maghrib / ACAPS |

Le point d'entrée institutionnel existe : la CGEM a adhéré le 13 novembre 2025 au programme DATA-TIKA de la CNDP, créant un « corridor » CGEM-CNDP pour accompagner les entreprises membres vers la conformité. C'est la rampe d'accès la plus structurée pour démarrer.

Jours 1-30 : cartographie et classification des données, désignation des propriétaires. Jours 31-60 : dépôt des déclarations CNDP, audit de cybersécurité aligné loi 05-20, décision cloud / souveraineté. Jours 61-90 : rédaction et test du PRA, plan de réponse à incident, formation des équipes.

Pour structurer cette démarche bout en bout, notre équipe accompagne les entreprises marocaines via le conseil digital, de la cartographie initiale jusqu'au dossier CNDP et au plan de résilience. Le bon moment pour commencer, c'est avant le contrôle, pas après.

FAQ

La loi 09-08 s'applique-t-elle à toutes les entreprises au Maroc ? Oui. Dès qu'une entreprise traite des données personnelles (salariés, clients, prospects, fournisseurs), elle entre dans le champ de la loi 09-08 et doit accomplir une formalité préalable auprès de la CNDP, déclaration ou autorisation selon la sensibilité. La taille de l'entreprise ne change rien à l'obligation, seulement à la complexité du dossier.

Quelle est la différence entre déclaration et autorisation CNDP ? La déclaration concerne les traitements courants (RH, paie, fichier clients) et le traitement peut démarrer dès le dépôt. L'autorisation préalable vise les cas sensibles (données de santé, transferts hors du Maroc, surveillance) et interdit de commencer le traitement avant l'accord explicite de la CNDP. Choisir le mauvais régime expose à une non-conformité, même de bonne foi.

Mes données hébergées dans le cloud à l'étranger sont-elles un transfert international ? Oui. Selon les articles 43-44 de la loi 09-08, utiliser un serveur cloud situé hors du Maroc constitue un transfert international de données personnelles, même si vous passez par un revendeur local. Cela exige une autorisation CNDP ou le consentement explicite des personnes concernées. Une région cloud au Maroc, comme Oracle Casablanca, élimine cette qualification.

Quelles sont les amendes en cas de non-conformité au Maroc ? La loi 09-08 prévoit des amendes de 20 000 à 200 000 MAD et des peines de 3 mois à 1 an d'emprisonnement. La loi 07-26 (2026) porterait, selon des sources à vérifier contre le texte officiel, ces montants à 100 000-600 000 MAD par violation majeure, avec notification obligatoire sous 72 heures et peines jusqu'à 2 ans.

Faut-il choisir un cloud souverain marocain pour être conforme ? Pas toujours, mais cela simplifie radicalement la conformité. Héberger ses données au Maroc (région Oracle Casablanca, on-premise, ou un datacenter national) supprime la qualification de transfert international et donc l'obligation d'autorisation CNDP associée. Pour les données sensibles ou les infrastructures critiques, c'est souvent l'option la plus sûre et la plus simple à défendre.

Sources

• CNDP, dépliant officiel sur la loi 09-08 : https://www.cndp.ma/wp-content/uploads/2023/01/CNDP-depliant-fr.pdf
• Déclaration vs autorisation CNDP : https://avocat-jawhari.com/2025/12/18/declaration-autorisation-cndp/
• Sanctions loi 09-08 : https://void.ma/en/guides/conformite-cndp-donnees-personnelles/
• Passage de la CNDP à la sanction (février 2025) : https://lafroujiavocats.com/protection-donnees-maroc-cndp-maroc/
• Transferts internationaux (art. 43-44) : https://www.upsilon-consulting.com/transfert-international-donnees-personnelles-maroc/
• Loi 07-26 (à vérifier contre le Bulletin Officiel) : https://9anonai.com/en/blog/data-breach-fines-morocco-2026
• DATA-TIKA / CGEM-CNDP : https://www.lavieeco.com/au-royaume/la-cgem-adhere-au-programme-data-tika-lance-par-la-cndp
• DGSSI : https://www.dgssi.gov.ma/en/actualites/morocco-has-improved-its-position-global-cybersecurity-index-recently-published/
• Loi 05-20 sur la cybersécurité : https://www.dgssi.gov.ma/fr/textes-legislatifs-et-reglementaires/loi-ndeg-05-20-relative-la-cybersecurite/
• Stratégie Nationale de Cybersécurité 2030 : https://www.dgssi.gov.ma/sites/default/files/publications/pdf/2023-12/strategie_nationale_de_cybersecurite_2030.pdf
• Indice mondial de cybersécurité 2024 (Tier 1) : https://en.yabiladi.com/articles/details/154060/morocco-achieves-tier-global-cybersecurity.html
• Région cloud Oracle Casablanca : https://medias24.com/2026/04/07/infrastructures-numeriques-oracle-ouvre-une-region-cloud-a-casablanca-un-tournant-pour-lia-et-la-souverainete-des-donnees-1655599/
• Stratégie Cloud 2025-2030 : https://leseco.ma/business/strategie-cloud-2025-2030-le-maroc-trace-la-voie-pour-ses-administrations-publiques-video.html
• Fuite CNSS (avril 2025) : https://www.resecurity.com/blog/article/cybercriminals-attacked-national-social-security-fund-of-morocco-millions-of-digital-identities-at-risk-of-data-breach
• Rançongiciel Marjane (novembre 2025) : https://www.moroccoworldnews.com/2025/11/267759/stormous-ransomware-claims-attack-on-moroccos-largest-retailer-marjane/
• Bank Al-Maghrib Directive 3/W/2016 et CROE : https://fnh.ma/article/actualite-financiere-maroc/banques-strategies-cyberattaques
• Baromètre cybersécurité AUSIM x PwC 2025 : https://northafricapost.com/87183-moroccan-cybersecurity-barometer-2025-reveals-key-trends-challenges.html

Dernière vérification : 16 juin 2026.