Aller au contenu principal

Votre site est-il en règle
avec la CNDP?

Vérifiez-le en 30 secondes. Trois scores indépendants : conformité CNDP, sécurité technique, RGPD européen.Audit gratuit fondé sur la loi 09-08 et le décret 2-09-165.

✓ Audit non intrusif✓ Crawl multi-page✓ Aucune donnée conservée
Ce que dit la loi

La CNDP n'est plus une option.

Loi 09-08 promulguée en 2009. Décret d'application en vigueur depuis 2009. Sanctions effectives. Récépissé CNDP exigé avant tout traitement de données personnelles. Si votre site collecte un nom, un email ou un téléphone, vous êtes concerné.

Sanction maximale

300 000 MAD

par traitement non conforme (loi 09-08, art. 52)

Récépissé CNDP

Obligatoire

avant tout traitement (loi 09-08, art. 12)

Délai d'instruction

1 à 6 mois

selon le formulaire (F211, F112, F118)

Vous n'êtes pas sûr d'être concerné, ni en règle ?

Notre offre · CNDP

Comprendre, auditer, réparer, déclarer. Une seule agence.

On vous accompagne sur les 4 moments-clés de votre mise en conformité CNDP. Vous nous appelez pour un audit, on reste tant qu'il faut, vous repartez en règle — avec votre récépissé.

Échange initial sur la conformité CNDP
Étape 1 — Comprendre
01Étape 1 — Comprendre

On commence par vous expliquer si vous êtes concerné, et jusqu'à quel point.

Avant de payer quoi que ce soit, on a besoin de savoir où vous en êtes. PME, e-commerce, cabinet, SaaS, institution — chaque profil tombe sous un cadre CNDP différent. Cette première étape, on ne la facture pas.

  • Échange téléphonique 30 minutes

    Sans engagement, sans facturation, sans script de vente.

  • Cartographie de vos traitements de données

    Newsletter, CRM, formulaires, paiement, cookies, transferts.

  • Cadre CNDP applicable à votre activité

    Quel formulaire, quel délai, quelles obligations spécifiques.

  • Estimation honnête du chantier

    On vous dit combien de temps, combien ça coûte, et si vous pouvez le faire vous-même.

À la fin de cet échange, vous savez exactement ce qui vous attend. Si on n'est pas le bon partenaire pour vous, on vous le dira.

Lire nos guides CNDP
Audit conformité — analyse documents légaux
Étape 2 — Auditer
02Étape 2 — Auditer

On photographie votre conformité actuelle. Précisément. Sans angle mort.

L'audit gratuit en haut de page vous donne un premier score. Quand vous voulez aller plus loin, on passe en audit manuel approfondi : on lit chacune de vos pages, on vérifie chaque traitement, on contrôle vos contrats sous-traitants, on simule un contrôle CNDP. Vous saurez exactement où vous en êtes.

  • Audit automatisé gratuit

    Trois scores en 30 secondes : CNDP, sécurité, RGPD.

  • Audit manuel approfondi

    Rapport priorisé livré sous 5 jours ouvrés. À partir de 4 900 MAD.

  • Revue documentaire complète

    Politique, mentions, registre, contrats, registre des consentements.

  • Plan d'action chiffré et séquencé

    Vous savez quoi faire, par qui, dans quel ordre, et combien ça coûte.

Le rapport reste votre propriété — vous pouvez l'utiliser avec votre IT actuel, sans nous engager pour la suite.

Tester l'audit gratuit
Mise en conformité opérationnelle
Étape 3 — Réparer
03Étape 3 — Réparer

Une fois les manquements identifiés, on les corrige. Avec vous, ou pour vous.

Deux options selon votre équipe. Soit votre IT applique notre plan de remédiation — on les forme, on les guide à distance. Soit on prend en main : configuration technique, rédaction documentaire, ou refonte complète d'un site conforme by-design.

  • Politique de confidentialité localisée

    Vraie rédaction loi 09-08, pas du copier-coller RGPD européen.

  • Mentions légales, registre, contrats sous-traitants

    Documents complets, opposables, à jour des dernières délibérations CNDP.

  • Hardening technique du site

    En-têtes de sécurité, TLS, DMARC, bannière cookies avec blocage runtime.

  • Option site complet conforme by-design

    Pour les refontes : on construit un site conforme dès le premier commit.

À la livraison, votre site est en règle. Et votre équipe a tout ce qu'il faut pour le rester.

Dépôt formalités CNDP
Étape 4 — Déclarer
04Étape 4 — Déclarer

On dépose votre dossier CNDP. Vous attendez le récépissé. C'est tout.

Constitution du dossier, dépôt physique ou numérique selon le cas, suivi de l'instruction, réponse aux demandes complémentaires de la CNDP, renouvellements et modificatives. Tarif forfaitaire par dossier, transparent. Vous n'avez plus rien à gérer côté CNDP — sauf signer.

  • F211 — déclaration normale

    Pour la majorité des traitements courants.

  • F112 — autorisation préalable

    Données sensibles, données de santé, finalité particulière.

  • F118 — transfert international

    Hébergement à l'étranger, sous-traitant hors Maroc, clauses contractuelles types.

  • F214 — déclaration simplifiée

    Cas pré-autorisés par décision-cadre de la CNDP.

À la réception du récépissé, on vous accompagne pour l'afficher correctement sur votre site — c'est votre meilleur signal de confiance gratuit.

Vous ne savez pas par où commencer ?

On commence toujours par un premier échange gratuit de 30 minutes pour comprendre votre situation. À la fin de l'appel, vous saurez précisément ce qu'il faut faire — qu'on s'en occupe ou pas.

Notre offre · Sécurité

La conformité juridique ne protège pas contre une fuite.

Vous pouvez être en règle avec la CNDP et vous faire pirater le mois suivant. Les deux sujets sont distincts. On traite la sécurité technique comme un sujet à part entière, avec la même rigueur.

Audit sécurité technique
Auditer

On regarde votre site comme un attaquant le ferait. Sans toucher.

L'audit non intrusif évalue la surface visible : en-têtes HTTP, TLS, fingerprinting, configuration cookies, security.txt, DMARC. L'audit approfondi va plus loin : journalisation, gestion des secrets, dépendances datées, exposition d'admin panels.

  • Audit non intrusif inclus dans toute mission
  • Méthodologie OWASP ASVS + Mozilla Observatory
  • Rapport avec niveau de risque CVSS
Test d'intrusion contrôlé
Tester

Test d'intrusion ciblé. Avec scope, autorisation écrite et assurance.

Quand l'audit non intrusif ne suffit pas — acteur réglementé, post-incident, certification, déploiement critique — on passe en pentest. Rules of Engagement écrites, fenêtre convenue, preuves d'exploitation reproductibles. Re-test après remédiation inclus.

  • RoE écrites, scope précis, NDA bidirectionnel
  • Black-box, gray-box ou white-box selon contexte
  • Assurance RC pro, conformité art. 607-3 du Code pénal marocain
Méthodologie de remédiation sécurité — DataSouv
Réparer

On colmate les vulnérabilités identifiées. Votre IT, ou nous.

Une fois les manquements identifiés, deux options : votre équipe IT applique notre plan, ou on intervient nous-mêmes. En-têtes durcis, TLS renforcé, security.txt, DMARC en politique reject, correction des CVE prioritaires.

  • Plan de remédiation priorisé livré clé-en-main
  • Implémentation par votre IT (on les guide) ou par nous
  • Vérification post-remédiation incluse
Formation équipe sécurité
Former

On rend votre équipe autonome. Pour qu'elle ne nous appelle plus.

Une mission ponctuelle ne suffit pas. On forme votre équipe pour qu'elle reste autonome après notre départ : revue de code orientée sécurité pour les devs, hygiène numérique pour les non-techniciens, gestion des incidents.

  • Atelier dev 4h — OWASP Top 10, secrets, revue de code
  • Atelier business 2h — phishing, MFA, mot de passe
  • Documentation interne livrée, à jour de votre stack

Si vous ne faites rien, voici ce qui peut arriver

Pas de la dramaturgie : ce sont les quatre scénarios qu'on observe le plus souvent sur les sites marocains qu'on analyse.

  • Fuite de données personnelles

    Notification CNDP obligatoire (art. 35) + atteinte d'image

  • Plugin non patché compromis

    Pivot vers d'autres systèmes, exfiltration silencieuse

  • Email envoyé en votre nom

    Phishing de vos clients, perte de confiance commerciale

  • Trackers chargés sans consentement

    Sanction CNDP + amende RGPD si visiteurs européens

Pilier 3 — RGPD européen

Si vous touchez l'Europe, le RGPD vous concerne. Même si vous êtes à Casablanca.

Beaucoup d'acteurs marocains pensent que le RGPD ne les concerne pas parce qu'ils n'y sont pas implantés. C'est faux : l'article 3 du règlement le rend applicable extraterritorialement dans plusieurs cas concrets.

Vous avez des clients ou prospects en Europe

Le RGPD s'applique extraterritorialement : si vous proposez biens ou services à des personnes situées dans l'UE, vous y êtes soumis (article 3.2.a).

Vous traitez des données de citoyens européens

Newsletter, CRM, e-commerce, SaaS B2B — dès qu'une personne en UE figure dans vos bases, vos traitements doivent respecter le règlement.

Vous suivez le comportement de personnes dans l'UE

Analytics, retargeting, profilage publicitaire visant le marché européen — article 3.2.b, RGPD applicable même sans présence physique en UE.

CNDP vs RGPD — ce qui diffère

  • Sanction maximum

    CNDP / 09-08
    300 000 MAD par traitement
    RGPD UE
    4 % du CA mondial, jusqu'à 20 M€
  • Autorité

    CNDP / 09-08
    CNDP (Maroc)
    RGPD UE
    Autorité européenne (CNIL, AEPD, etc.) + EDPB
  • Cookies

    CNDP / 09-08
    Délibération D-474/2013
    RGPD UE
    ePrivacy + RGPD : consentement explicite préalable
  • DPO

    CNDP / 09-08
    Recommandé pour acteurs réglementés
    RGPD UE
    Obligatoire dans 3 cas (art. 37)
  • Transferts internationaux

    CNDP / 09-08
    Autorisation F118 préalable
    RGPD UE
    SCC, BCR, décision d'adéquation (chapitre V)

Nos prestations

Cinq lignes de service, sans chevauchement.

Vous nous sollicitez sur une seule prestation ou sur l'ensemble. La cohérence entre conformité administrative, sécurité technique et formalités CNDP est ce qui fait la différence sur le long terme.

Illustration audit : loupe sur documents conformité

À partir de

4 900 MAD

TTC, livraison sous 5 jours ouvrés

Audit

Audit complet CNDP × Sécurité × RGPD

Rapport approfondi de toutes les catégories couvertes par l'outil gratuit, plus l'analyse manuelle approfondie de votre stack, la revue documentaire interne, les recommandations de remédiation chiffrées et la check-list opérationnelle.

  • Audit conformité loi 09-08 + décret 2-09-165 + RGPD
  • Audit sécurité non intrusif (en-têtes, TLS, surface, email)
  • Revue de la politique, mentions, registre, contrats sous-traitants
  • Plan de remédiation priorisé par risque × effort
  • Restitution orale (1h) + rapport PDF
Illustration accompagnement : poignée de main abstraite

Sur devis

Variable

Selon taille du site et nombre de traitements

Accompagnement

Mise en conformité opérationnelle

On exécute le plan de remédiation : rédaction des documents conformes, configuration technique du site, bannière cookies avec blocage runtime, hardening de l'hébergement, formation des équipes internes.

  • Politique de confidentialité localisée (pas du copier-coller RGPD)
  • Mentions légales, registre des traitements, contrats sous-traitants
  • Bannière cookies conforme + blocage runtime des trackers
  • Hardening : en-têtes, TLS, DMARC, security.txt
  • Formation équipes dev + business (atelier 2h)
Illustration formalités : dossier avec cachet abstrait

Sur devis

Forfait par dossier

Selon complexité, transferts impliqués

Formalités

Dépôts CNDP — F211, F112, F118, F214, F113

Constitution complète du dossier réglementaire, dépôt auprès de la CNDP, suivi de l'instruction, gestion des demandes complémentaires, mise à jour modificative. Vous n'avez à vous occuper de rien.

  • F211 — déclaration normale (traitements courants)
  • F112 — autorisation préalable (données sensibles)
  • F118 — transfert international avec SCC
  • F214 — déclaration simplifiée (décisions-cadres CNDP)
  • Suivi d'instruction et réponse aux demandes CNDP
Illustration DPO : étapes méthodologiques

Sur devis

Forfait annuel

Engagement minimum 1 an

DPO

Désignation DPO ou mission externalisée

Désignation officielle d'un DPO interne avec accompagnement, ou mission DPO externalisée pour les structures qui n'ont pas la masse critique d'avoir le rôle en interne mais en ont besoin (acteurs réglementés, gros traitements).

  • Cadrage du périmètre et des missions
  • Désignation officielle et déclaration CNDP
  • Veille réglementaire trimestrielle
  • Interface entre votre structure et la CNDP
  • Rapports d'activité semestriels
Illustration pentest : cadenas abstrait analysé

Sur devis

Forfait par mission

Selon scope et profondeur

Sécurité avancée

Test d'intrusion (pentest)

Au-delà de l'audit non intrusif inclus dans toute mission, nous proposons des tests d'intrusion ciblés avec scope contractuel et Rules of Engagement écrites. Recommandé pour acteurs réglementés ou en post-incident.

  • RoE écrites, scope précis, fenêtre de test convenue
  • Tests black-box, gray-box ou white-box selon contexte
  • Rapport CVSS avec preuves d'exploitation reproductibles
  • Re-test après remédiation inclus dans le forfait
  • Assurance RC pro et NDA bidirectionnel

Pourquoi DataSouv

Trois différences qu'aucune agence marocaine ne combine.

Les agences digitales font la conformité en side-line. Les juristes ne touchent pas à la sécurité technique. DataSouv est née pour traiter les deux ensemble, avec une posture confraternelle.

Sécurité × Conformité × RGPD

Trois sujets souvent traités séparément, et donc mal couverts. DataSouv les croise dans un seul rapport, avec un plan de remédiation unifié.

Outil d'audit ouvert

Score immédiat sur trois axes, fondé sur le texte intégral de la loi 09-08, du décret 2-09-165 et des standards de sécurité reconnus. Méthodologie publique.

Exemplarité technique

Notre propre site applique ce que nous préconisons : Mozilla Observatory A+, aucun tracker tiers, registre des traitements public, security.txt RFC 9116.

Méthodologie

Quatre étapes, pas de magie, pas de boîte noire

Notre approche est documentée, reproductible, et auditable. Chaque finding est rattaché à un article de loi ou à un standard de sécurité reconnu.

  1. 01

    Cartographie

    Inventaire des traitements, sous-traitants, flux de données, base juridique pour chaque traitement. Distinction utilisateurs / clients / tiers (annuaires).

  2. 02

    Audit croisé

    Conformité loi 09-08 et décret 2-09-165 + sécurité technique (en-têtes, TLS, surface d'attaque). Findings priorisés par impact × effort.

  3. 03

    Plan de remédiation

    Document chiffré, séquencé, avec dépendances et estimation. Vous savez exactement ce qui doit être fait, par qui, dans quel ordre, et combien ça coûte.

  4. 04

    Mise en œuvre & suivi

    Implémentation technique, rédaction documentaire, dépôt CNDP. Audits récurrents trimestriels ou annuels pour les acteurs réglementés.

Fondateur

Amine Rais

Développeur web · MRE belgo-marocain

À propos

Un profil hybride, à l'intersection :
développement web, RGPD européen, loi 09-08 marocaine.

Plus de 5 ans de développement web, dont une partie significative en contexte européen où la conformité RGPD est intégrée par défaut dans les processus depuis 2018. MRE belgo-marocain, de retour sur le marché marocain après avoir traité ces sujets côté UE.

DataSouv applique d'abord ses propres préconisations : déclarations F211 et F214 déposées à la CNDP en mai 2026 (récépissé en cours d'instruction), registre des traitements public, en-têtes durcis, security.txt.

Patterns observés

Trois patterns récurrents sur le web marocain.

Ce ne sont pas des cas clients — nous ne nommons jamais de cas client. Ce sont des patterns que l'on retrouve fréquemment lors d'observations publiques de sites institutionnels et professionnels marocains.

Pattern récurrent

Cabinets et indépendants

  • Politique RGPD copiée d'un modèle européen, sans référence à la loi 09-08
  • Mentions légales incomplètes (RC, ICE, directeur de publication)
  • Récépissé CNDP rarement affiché même quand la déclaration a été faite
Pattern récurrent

E-commerce et SaaS B2C

  • Bannière cookies sans choix réel, trackers chargés avant consentement
  • Stack SaaS étrangère par défaut sans en-têtes durcis
  • Transferts internationaux non encadrés (pas de SCC mentionnées)
Pattern récurrent

Annuaires sectoriels

  • Données personnelles de tiers publiées sans consentement explicite tracé
  • Aucun mécanisme d'opposition exposé clairement
  • Politique unique pour visiteurs et personnes référencées (à séparer)

Vous reconnaissez votre site dans l'un de ces patterns ? L'audit gratuit en haut de page vous indique précisément lesquels vous concernent.

Questions fréquentes

Ce qu'on nous demande le plus souvent.

C'est quoi le récépissé CNDP, et pourquoi je dois l'afficher ?
Le récépissé est le document délivré par la CNDP après instruction d'une déclaration (F211, F214) ou d'une autorisation (F112, F113, F118). Il atteste que votre traitement est connu et accepté par l'autorité. La loi 09-08 et le décret 2-09-165 imposent l'information des personnes concernées sur l'existence de la déclaration : afficher le numéro de récépissé sur le site est la manière la plus simple et la plus claire de remplir cette obligation, et c'est un signal de confiance gratuit pour vos visiteurs.
Si je suis au Maroc mais que j'ai des clients en Europe, je dois être conforme RGPD aussi ?
Oui. Le RGPD s'applique extraterritorialement dans plusieurs cas (article 3.2) : si vous offrez biens ou services à des personnes en UE, ou si vous suivez leur comportement. Concrètement : un e-commerce marocain qui vend en France, un SaaS marocain qui a des utilisateurs européens, ou un site qui fait du retargeting sur le marché européen, doit respecter le RGPD en plus de la loi 09-08. Notre audit gratuit donne un score séparé sur cet axe.
Quelle différence entre un audit CNDP, un audit de sécurité et un audit RGPD ?
L'audit CNDP évalue la conformité juridique au cadre marocain (politique, mentions, registre, droits, récépissé). L'audit de sécurité évalue la robustesse défensive (en-têtes HTTP, TLS, surface d'attaque, configuration email). L'audit RGPD évalue la conformité au règlement européen. Un site peut être bien classé sur l'un et faible sur les autres : c'est pour cela que DataSouv produit trois scores indépendants.
Mon site est sur Squarespace, Wix ou WordPress — êtes-vous compatibles ?
Oui. La plupart des SaaS hébergés à l'étranger sont en configuration de sécurité par défaut, ce qui nous oblige à intervenir sur la partie configurable (DNS, en-têtes via service worker ou proxy, bannière cookies custom, politique localisée) et à documenter explicitement les transferts hors UE/Maroc avec les clauses applicables.
Combien coûte une mise en conformité complète ?
L'audit approfondi démarre à 4 900 MAD TTC. La mise en conformité opérationnelle (rédaction, configuration, formation) est sur devis, en général entre 15 000 et 50 000 MAD pour un site PME selon la taille et l'état initial. Les formalités CNDP (F211/F112/F118/F214/F113) sont facturées au forfait par dossier. Demandez un devis personnalisé via le formulaire en bas de page.
En combien de temps obtient-on un récépissé CNDP en 2026 ?
Le délai d'instruction varie : 1 à 2 mois pour une déclaration F211 simple, 3 à 6 mois pour une autorisation F118 (transfert international) ou F112 (autorisation préalable) selon la complexité du dossier. L'article 19 du décret 2-09-165 prévoit le mécanisme d'acceptation tacite après silence prolongé de l'administration, mais nous déconseillons de s'en remettre à ce seul mécanisme sans confirmation écrite de la CNDP.
Contact

Parlons de votre site et de votre conformité.

Audit, accompagnement, formalités CNDP, désignation DPO ou test d'intrusion : on commence par un échange initial sans engagement. Confidentialité stricte — aucun cas client n'est jamais cité nominativement, dans aucune communication.

Délai de réponse
48 heures ouvrées
Premier échange
30 minutes, sans engagement
Sécurité
security@datasouv.ma — voir security.txt

Auditons votre site ensemble.

Score gratuit en 30 secondes, rapport approfondi sur demande, accompagnement complet si vous le souhaitez. Aucune pression commerciale — on commence par regarder l'état réel du site.

Échange initial sans engagement · Réponse sous 48h ouvrées · Confidentialité stricte