Document reglementation/cndp ⚖️ Texte de loi

Loi 09-08 PDF : Protection des données personnelles au Maroc

Téléchargez le texte intégral de la Loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel au Maroc.

Loi n° 09-08 — Protection des données personnelles au Maroc

La Loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel a été promulguée par le Dahir n° 1-09-15 du 18 février 2009 et publiée au Bulletin Officiel n° 5714 du 5 mars 2009.

Ce texte fondateur constitue le cadre juridique de la protection des données personnelles au Maroc. Il institue la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel) comme autorité de régulation.

Structure de la loi

La Loi 09-08 se compose de 8 chapitres et 67 articles :

Chapitre I — Dispositions générales (Art. 1-2)

Définitions fondamentales : données à caractère personnel, données sensibles, traitement, responsable du traitement, sous-traitant, tiers, destinataire, consentement. Champ d’application territorial : tout traitement effectué sur le territoire marocain.

Chapitre II — Conditions de licéité des traitements (Art. 3-11)

  • Qualité des données (Art. 3) : traitement loyal et licite, finalités déterminées, données adéquates et proportionnelles, exactes et mises à jour
  • Consentement (Art. 4) : principe du consentement préalable avec exceptions (obligation légale, contrat, sauvegarde d’intérêts vitaux, intérêt public, intérêt légitime)
  • Données sensibles (Art. 5) : interdiction de principe du traitement, exceptions limitées
  • Droit à l’information (Art. 5 bis) : obligation d’informer la personne concernée
  • Droit d’accès (Art. 7) : communication des données traitées
  • Droit de rectification (Art. 8) : correction, mise à jour, suppression
  • Droit d’opposition (Art. 9) : opposition pour motifs légitimes, interdiction de la prospection sans consentement
  • Prospection directe (Art. 10) : interdiction sauf consentement préalable
  • Neutralité des effets (Art. 11) : aucune décision de justice ne peut avoir pour seul fondement un traitement automatisé

Chapitre III — Déclaration, autorisation et obligations (Art. 12-26)

  • Section 1 — Déclaration préalable (Art. 12-20) : obligation de déclaration auprès de la CNDP avant tout traitement, contenu de la déclaration, récépissé, exemptions
  • Section 2 — Autorisation préalable (Art. 21-22) : requise pour les données sensibles, la CIN, l’interconnexion de fichiers, le transfert international
  • Section 3 — Confidentialité et sécurité (Art. 23-26) : mesures techniques et organisationnelles, secret professionnel, 10 exigences de sécurité

Chapitre IV — La CNDP (Art. 27-42)

Institution, pouvoirs et attributions de la Commission Nationale. Composition : 7 membres nommés par Sa Majesté le Roi. Pouvoirs d’investigation, de contrôle et de sanction. Organisation administrative.

Chapitre V — Transfert de données vers l’étranger (Art. 43-44)

Conditions de transfert : niveau de protection suffisant du pays destinataire. Autorisation de la CNDP avec garanties (clauses contractuelles types) à défaut.

Chapitre VI — Registre national et fichiers (Art. 45-50)

Institution du registre national de la protection des données. Réglementation des fichiers relatifs aux infractions et condamnations. Encadrement des registres centraux.

Chapitre VII — Sanctions pénales (Art. 51-66)

Sanctions détaillées pour chaque type d’infraction :

  • Art. 52 : défaut de déclaration/autorisation → 10.000 à 100.000 DH d’amende
  • Art. 53 : refus des droits d’accès/rectification/opposition → 20.000 à 200.000 DH
  • Art. 54 : collecte frauduleuse, traitement illicite → 3 mois à 1 an d’emprisonnement + 20.000 à 200.000 DH
  • Art. 55-56 : traitement de données sensibles sans autorisation → 6 mois à 2 ans + 50.000 à 300.000 DH
  • Art. 57 : non-respect de la durée de conservation → 3 mois à 1 an + 20.000 à 200.000 DH
  • Art. 58 : défaut de sécurité → 3 mois à 1 an + 20.000 à 200.000 DH
  • Art. 59 : traitement malgré opposition → 3 mois à 1 an + 20.000 à 200.000 DH
  • Art. 60-61 : transfert illicite à l’étranger → 3 mois à 1 an + 20.000 à 200.000 DH
  • Art. 64 : personnes morales → amendes doublées + confiscation possible + fermeture

Chapitre VIII — Dispositions transitoires (Art. 67)

Délai de régularisation de 2 ans à compter de l’installation de la CNDP.

Accompagnement Upsilon Consulting

Upsilon Consulting vous accompagne dans la mise en conformité avec la Loi 09-08 : assistance compliance CNDP.

Contactez-nous pour un diagnostic gratuit de votre conformité CNDP.

Ressources complémentaires

Format PDF Gratuit
Telecharger le PDF

Besoin d'un accompagnement ?

Nos experts sont disponibles pour vous accompagner. Consultation initiale gratuite.

Nous contacter