Protection des données (CNDP)

CNDP et Loi 09-08 : Protection des données personnelles au Maroc | Upsilon Consulting

Salaheddine Yatim

Salaheddine Yatim

Managing Partner

Partager
CNDP et Loi 09-08 : Protection des données personnelles au Maroc | Upsilon Consulting

En bref : La Loi 09-08 encadre la protection des données personnelles au Maroc. Toute entreprise traitant des données personnelles doit effectuer des déclarations ou obtenir des autorisations auprès de la CNDP, respecter les droits des personnes concernées et garantir la sécurité des données.

Avec plus de 15 ans d’expérience en conseil juridique et fiscal, les experts-comptables d’Upsilon Consulting vous accompagnent dans la mise en conformité avec les exigences de la CNDP.

Qu’est-ce que la CNDP ?

La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est l’autorité marocaine chargée de veiller au respect de la Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Créée en 2009, elle est composée de 7 membres nommés par Sa Majesté le Roi.

La CNDP a pour missions principales :

  • Recevoir les déclarations et les demandes d’autorisation préalables au traitement de données personnelles
  • Informer les personnes de leurs droits et les responsables de traitement de leurs obligations
  • Mener des investigations et des contrôles sur place
  • Prononcer des sanctions en cas de manquement

Champ d’application de la Loi 09-08

La Loi 09-08 s’applique au traitement des données à caractère personnel, automatisé en tout ou partie, ainsi qu’au traitement non automatisé de données contenues ou appelées à figurer dans des fichiers manuels.

Qu’est-ce qu’une donnée à caractère personnel ?

Toute information, de quelque nature qu’elle soit, relative à une personne physique identifiée ou identifiable. Exemples : nom, prénom, adresse, numéro de CIN, adresse email, numéro de téléphone, données de géolocalisation, adresse IP.

Qu’est-ce qu’une donnée sensible ?

Les données sensibles bénéficient d’une protection renforcée. Il s’agit des données qui révèlent :

  • L’origine raciale ou ethnique
  • Les opinions politiques, les convictions religieuses ou philosophiques
  • L’appartenance syndicale
  • La santé, y compris les données génétiques
  • Les données biométriques

Le traitement des données sensibles est en principe interdit, sauf dans des cas limitativement prévus par la loi (consentement explicite, nécessité pour la sauvegarde de la vie, traitement par une association à caractère religieux, politique ou syndical, etc.).

Obligations des entreprises

Finalité et proportionnalité

Les données personnelles doivent être :

  • Collectées pour des finalités déterminées, explicites et légitimes
  • Adéquates, pertinentes et non excessives au regard des finalités
  • Exactes et mises à jour
  • Conservées pendant une durée n’excédant pas celle nécessaire aux finalités du traitement

Consentement

Le traitement des données personnelles ne peut être effectué que si la personne concernée a exprimé son consentement de manière indubitable, sauf exceptions prévues par la loi (exécution d’un contrat, obligation légale, sauvegarde de la vie, mission d’intérêt public).

Sécurité des données

Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé.

Déclaration et autorisation préalables

Avant tout traitement de données personnelles, l’entreprise doit :

Effectuer une déclaration préalable auprès de la CNDP pour les traitements de données non sensibles.

Obtenir une autorisation préalable de la CNDP pour :

  • Le traitement de données sensibles
  • Le traitement de données relatives à la CIN
  • L’interconnexion de fichiers ayant des finalités principales différentes
  • Le transfert de données vers un État étranger ne disposant pas d’un niveau de protection adéquat

Droits des personnes concernées

La Loi 09-08 consacre plusieurs droits fondamentaux au profit des personnes dont les données sont traitées :

Droit à l’information

Toute personne dont les données sont collectées doit être informée de : l’identité du responsable du traitement, la finalité du traitement, les destinataires des données, l’existence d’un droit d’accès et de rectification.

Droit d’accès

Toute personne peut obtenir du responsable du traitement la confirmation que des données la concernant font ou ne font pas l’objet d’un traitement, ainsi que la communication des données qui la concernent.

Droit de rectification

Toute personne peut exiger du responsable du traitement que ses données soient rectifiées, complétées, mises à jour, verrouillées ou effacées.

Droit d’opposition

Toute personne peut s’opposer, pour des motifs légitimes, au traitement de ses données. Elle peut également s’opposer, sans frais, à l’utilisation de ses données à des fins de prospection commerciale.

Transfert de données à l’étranger

Le transfert de données personnelles vers un État étranger ne peut avoir lieu que si cet État assure un niveau de protection suffisant de la vie privée et des libertés. À défaut, une autorisation de la CNDP est nécessaire, qui peut être accordée si des garanties suffisantes sont présentées (clauses contractuelles types, règles internes d’entreprise).

Cette disposition est particulièrement importante pour les filiales de groupes internationaux et les entreprises utilisant des services cloud hébergés à l’étranger.

Sanctions prévues par la Loi 09-08

Sanctions administratives

La CNDP peut prononcer :

  • Un avertissement
  • Une mise en demeure de cesser le manquement dans un délai fixé
  • Le retrait provisoire ou définitif du récépissé de déclaration ou de l’autorisation

Sanctions pécuniaires

Des amendes sont prévues pour les infractions à la loi, dont le montant varie selon la gravité du manquement.

Sanctions pénales

La Loi 09-08 prévoit des peines d’emprisonnement et des amendes pour les infractions les plus graves, notamment :

  • Le traitement de données personnelles sans déclaration ni autorisation
  • Le détournement de la finalité du traitement
  • Le transfert illicite de données vers l’étranger
  • L’entrave à l’exercice des droits des personnes concernées

Comment se mettre en conformité ?

La mise en conformité avec la Loi 09-08 est un processus structuré qui comprend :

  1. Cartographier l’ensemble des traitements de données personnelles de votre entreprise
  2. Évaluer la conformité de chaque traitement au regard de la loi
  3. Effectuer les déclarations et demandes d’autorisation nécessaires
  4. Mettre en place les mentions d’information, procédures de consentement et mesures de sécurité
  5. Former vos équipes aux obligations de protection des données
  6. Maintenir la conformité dans le temps (veille réglementaire, mises à jour)

Upsilon Consulting propose un accompagnement complet à la compliance CNDP adapté à la taille et aux besoins de votre entreprise. Contactez-nous pour un diagnostic gratuit.

Questions fréquentes

La CNDP est-elle l’équivalent de la CNIL en France ?

Oui, la CNDP joue un rôle similaire à la CNIL française ou au contrôleur européen de la protection des données. Elle est l’autorité indépendante chargée de veiller au respect de la législation marocaine sur la protection des données personnelles.

Mon entreprise doit-elle obligatoirement déclarer ses traitements ?

Oui. Tout traitement de données personnelles doit faire l’objet d’une déclaration préalable ou d’une autorisation préalable auprès de la CNDP, sous peine de sanctions pénales.

La Loi 09-08 s’applique-t-elle aux entreprises étrangères ?

Oui, dès lors qu’elles traitent des données personnelles sur le territoire marocain ou utilisent des moyens situés au Maroc pour effectuer ces traitements.

À LIRE ÉGALEMENT

Articles connexes

creation-entreprise

Créer une société au Maroc en 2026 : guide complet par un expert-comptable

Créer une société au Maroc en 2026 : 7 étapes, coûts dès 5 000 MAD, SARL, SAS ou SA. Guide complet par un expert-comptab

Lire la suite →
comptabilite/normes

Plan Comptable Marocain PDF — Téléchargement Gratuit PCGE 2026

Téléchargez gratuitement le Plan Comptable Marocain (PCGE) 2026 en PDF. Document officiel 32 pages, nomenclature complèt

Lire la suite →
fiscalite/is

IS au Maroc : passage du résultat comptable au résultat fiscal

Comment passer du résultat comptable au résultat fiscal pour le calcul de l'IS au Maroc : réintégrations, déductions, ba

Lire la suite →
fiscalite/is

Calcul de l'impôt sur les sociétés au Maroc — Guide complet 2026

Calcul de l'IS au Maroc en 2026 : taux proportionnels définitifs (20%, 35%, 40%), cotisation minimale 0,25%, historique

Lire la suite →

Upsilon

Consulting

Un cabinet independant, une expertise de proximite

Upsilon Consulting est un cabinet d'expertise comptable, d'audit et de conseil fiscal membre de l'Ordre des Experts Comptables du Maroc. Notre equipe de 40+ professionnels accompagne les entreprises marocaines et multinationales depuis plus de 15 ans. Notre approche pluridisciplinaire et notre proximite client nous permettent de vous accompagner avec rigueur et reactivite.

Membres de l'OEC Expertise technique Approche pluridisciplinaire Proximité client

Parlons de votre projet

Contactez-nous pour une consultation gratuite. Nos experts vous repondent sous 24h.

Nous contacter +212 522 202 568
Newsletter

Restez informé des nouveautés fiscales et comptables

Recevez nos analyses, guides pratiques et alertes réglementaires directement dans votre boîte mail. Rejoignez +500 professionnels qui nous font confiance.

Pas de spam. Désabonnement en un clic.

Ils nous font confiance

PfizerAlstomDrägerCFAO MotorsCDG CapitalBourse de Casablanca