Conformité CNDP au Maroc — Guide complet 2026

Précision sur la nomenclature CNDP 2025. Plusieurs documents préparatoires antérieurs utilisaient des codes aujourd'hui obsolètes pour les formulaires CNDP. La nomenclature en vigueur sur cndp.ma est la suivante : F211 déclaration normale, F214 déclaration simplifiée (cas pré-autorisés par décision-cadre), F112 autorisation préalable (anciennement référencé F212), F113 autorisation simplifiée, F118 transfert international (anciennement référencé F214 dans certains documents). Ce guide a été corrigé le 12 mai 2026 pour refléter ce mapping.

La conformité CNDP n'est pas un sujet « européen importé ». C'est une obligation marocaine, fondée sur la loi n° 09-08 promulguée en 2009 et son décret d'application 2-09-165 publié en 2009 également. Toute organisation, marocaine ou étrangère, qui traite des données personnelles concernant des personnes situées au Maroc est soumise à ce cadre, contrôlé par la CNDP — Commission Nationale de contrôle de la Protection des Données à caractère Personnel, basée à Rabat.

Ce guide pilier couvre l'intégralité des obligations pratiques, formulaire par formulaire, article par article, dans une logique opérationnelle pour les organisations marocaines en 2026. Il ne remplace pas un audit personnalisé, mais il vous donne la cartographie complète à laquelle se référer.

Règle de lecture. Ce guide est descriptif et juridique, mais pas juridiquement contraignant. Pour les arbitrages sensibles — qualification d'un traitement, opportunité d'un F112 vs un F211, contentieux — l'avis d'un cabinet d'avocats spécialisé reste indispensable. Notre rôle : couvrir 90 % des questions opérationnelles, et identifier les 10 % qui méritent l'avocat.

1. Le cadre légal en deux lignes

La protection des données personnelles au Maroc repose sur deux textes superposés :

• La loi n° 09-08 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel, qui pose les principes (finalité, proportionnalité, qualité, sécurité, droits) et institue la CNDP.
• Le décret n° 2-09-165 d'application, qui précise les modalités concrètes : formulaires CNDP, délais d'instruction, organisation de la Commission, modalités d'exercice des droits.

L'autorité de contrôle est la CNDP, créée par la loi 09-08 et qui dispose de pouvoirs d'investigation, de mise en demeure et de proposition de sanctions. Elle publie ses délibérations (décisions et lignes directrices), dont certaines sont publiques et constituent la doctrine de référence pour les praticiens.

À ces deux textes principaux s'ajoute, pour les organisations exposées à l'Union européenne (filiales de groupes UE, sites destinés aux européens, e-commerce expédiant vers l'UE), le RGPD (règlement UE 2016/679). Les deux cadres se superposent sans s'exclure : il faut respecter le plus exigeant des deux, traitement par traitement.

2. À qui s'applique la loi 09-08 ?

2.1 Champ d'application matériel

La loi s'applique à tout traitement automatisé ou non automatisé de données à caractère personnel dès lors qu'il est intégré dans un fichier structuré. La définition est très large :

• Une base clients dans un CRM : oui.
• Un fichier Excel RH : oui.
• Un dossier papier organisé par nom : oui.
• Des vidéos de surveillance permettant d'identifier les personnes : oui.
• Des logs serveur contenant l'adresse IP : oui (l'IP est considérée comme donnée personnelle dans la doctrine moderne).

2.2 Champ d'application territorial

La loi s'applique :

• Aux traitements opérés sur le territoire marocain, quelle que soit la nationalité du responsable du traitement ;
• Aux traitements opérés depuis l'étranger mais utilisant des moyens situés au Maroc (hébergement, sous-traitant local, salariés au Maroc), à l'exclusion des moyens de simple transit ;
• Aux traitements dirigés vers des personnes au Maroc, dans une logique de plus en plus extra-territoriale alignée avec les standards internationaux.

2.3 Les trois acteurs

La distinction responsable/sous-traitant détermine les obligations : le responsable doit déclarer, informer, sécuriser ; le sous-traitant doit signer un contrat de sous-traitance (DPA) et n'agir que sur instruction.

3. Les obligations clés en huit points

3.1 Déclaration préalable — l'obligation centrale

La loi 09-08 organise la conformité autour de l'obligation déclarative préalable. Concrètement, avant de démarrer un traitement de données personnelles, l'organisation doit déclarer ce traitement à la CNDP. La nomenclature 2025 structure ce mécanisme autour des formulaires suivants :

• F211 — Déclaration normale : le cas général. La majorité des traitements ordinaires (RH, clients, fournisseurs, vidéo-surveillance non sensible).
• F214 — Déclaration simplifiée : pour les cas pré-autorisés par décision-cadre de la CNDP (typologies récurrentes ne présentant pas de risque particulier).
• F112 — Autorisation préalable : pour les traitements sensibles (santé, biométrie, infractions, interconnexion de fichiers). Anciennement référencé F212 dans certains documents préparatoires.
• F113 — Autorisation simplifiée : régime allégé d'autorisation pour les traitements relevant d'une décision-cadre dédiée.
• F118 — Transfert international : pour transférer des données hors du Maroc vers un pays sans niveau de protection adéquat. Anciennement référencé F214 dans certains documents préparatoires.

Toute évolution substantielle d'un dossier déjà déposé (nouvelle finalité, nouveau sous-traitant, nouvelle catégorie de données) se traite via un redépôt avec mention « modificative » ; les modalités exactes ont évolué et continuent d'évoluer — ce point a été corrigé dans la présente version du guide pour éviter de propager l'ancienne dénomination « F112 modificative ».

À l'issue de l'instruction, la CNDP délivre un récépissé CNDP qui matérialise la conformité administrative et doit être affiché publiquement (en pratique, en footer du site et dans la politique de confidentialité).

3.2 Information préalable — article 5 de la loi 09-08

Toute personne concernée doit être informée, avant la collecte ou au moment de celle-ci, des éléments suivants :

• L'identité du responsable du traitement
• La finalité poursuivie
• Le caractère obligatoire ou facultatif des réponses
• Les destinataires des données
• L'existence des droits d'accès, de rectification et d'opposition
• Le cas échéant, les transferts envisagés

Cette information se matérialise sur le site web par la politique de confidentialité (page dédiée) et par des mentions courtes au point de collecte (formulaire, bandeau, écran de création de compte). Un copier-coller RGPD ne suffit pas : les mentions doivent référencer la loi 09-08 et la CNDP, pas seulement la CNIL ou l'EDPB.

3.3 Consentement et bases de licéité

Le consentement est requis lorsque le traitement n'a pas d'autre fondement (intérêt légitime, obligation légale, exécution de contrat). Pour être valide, il doit être :

• Libre : pas de cases pré-cochées, pas de conditionnement abusif
• Spécifique : un consentement par finalité, pas un consentement « global »
• Éclairé : précédé d'une information complète
• Univoque : action positive non équivoque
• Retirable : aussi simple à retirer qu'à donner

Pour les cookies tracking, le consentement préalable est exigé : aucun script tiers ne doit se déclencher avant le consentement, et l'absence de réponse ne vaut pas consentement (pas de « consentement implicite »).

3.4 Sécurité — article 23

L'article 23 de la loi 09-08 impose au responsable du traitement de prendre toutes les précautions utiles pour garantir la sécurité des données et empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Concrètement, cela implique :

• Chiffrement TLS sur toutes les pages collectant des données (TLS 1.2 minimum, TLS 1.3 recommandé)
• HSTS preload pour interdire tout downgrade HTTPS → HTTP
• En-têtes HTTP de sécurité stricts : Content-Security-Policy, X-Frame-Options, Permissions-Policy
• Gestion des accès : comptes nominatifs, principe du moindre privilège, MFA pour les accès admin
• Journalisation : traces auditables des accès aux données sensibles
• Sauvegardes : régulières, chiffrées, testées (test de restauration au moins annuel)
• Procédure de gestion d'incident : qui prévient qui, sous quel délai, vers la CNDP

Un site sans HSTS et avec des cookies trackeurs déclenchés avant consentement n'est pas seulement « pas optimal » : il viole l'article 23.

3.5 Droits des personnes — articles 7 à 11

Toute personne concernée dispose de quatre droits opposables :

L'organisation doit prévoir un canal de saisine (email dédié, formulaire, courrier) clairement indiqué dans la politique de confidentialité. Les demandes doivent être tracées (qui, quand, traitement appliqué) — c'est la première chose qu'un contrôleur CNDP demande.

3.6 Sous-traitance — articles 21 et 22

Tout sous-traitant qui traite des données pour votre compte (hébergeur, SaaS, prestataire RH, infogérant) doit faire l'objet :

1. D'un contrat écrit précisant les obligations en matière de protection des données (DPA — Data Processing Agreement)
2. De garanties suffisantes quant aux mesures de sécurité techniques et organisationnelles
3. D'une interdiction d'utiliser les données au-delà des instructions du responsable

En pratique, votre relation contractuelle avec Google Workspace, Microsoft 365, AWS, Salesforce, HubSpot doit comporter un DPA signé. La plupart des éditeurs en proposent un standard téléchargeable — encore faut-il l'avoir effectivement contractualisé.

3.7 Transferts internationaux — articles 43 à 47

Le transfert de données hors du Maroc est soumis à autorisation préalable de la CNDP via le F118, sauf dans deux cas :

• Le pays destinataire offre un niveau de protection adéquat reconnu par la CNDP (liste restreinte)
• Le transfert est encadré par des garanties contractuelles suffisantes (Clauses Contractuelles Types — SCC — ou règles internes d'entreprise)

En 2026, l'utilisation banalisée de SaaS américains (Google, Microsoft, Slack, Salesforce, HubSpot, Notion, etc.) implique de déclarer F118 ces transferts ou de documenter les SCC. C'est l'une des non-conformités les plus fréquentes du marché marocain : 80 % des organisations utilisent Google Workspace sans avoir déposé de F118 et sans SCC documentées.

3.8 Durée de conservation et minimisation

Les données ne doivent être conservées que le temps nécessaire à la finalité poursuivie. À l'issue, elles doivent être supprimées ou anonymisées. La durée doit être :

• Définie par finalité (ex : prospects 24 mois, clients durée du contrat + obligations comptables)
• Documentée dans le registre des traitements
• Auditée périodiquement (purge automatique recommandée)

4. Les sanctions — ne pas sous-estimer

4.1 Sanctions administratives

La CNDP peut prononcer :

• Avertissement (rappel à la loi)
• Mise en demeure assortie d'un délai de mise en conformité (généralement 3 à 6 mois)
• Retrait de l'autorisation pour les traitements soumis à F112
• Publicité des sanctions, ce qui ajoute une dimension réputationnelle

4.2 Sanctions pénales

La loi 09-08 prévoit des sanctions pénales : peines d'emprisonnement et amendes pour les manquements caractérisés (collecte frauduleuse, refus de droits, défaut de déclaration, divulgation illicite). Les seuils précis sont susceptibles d'être actualisés par la réforme attendue ; le principe reste : il ne s'agit pas d'une simple amende administrative.

4.3 Sanctions économiques et réputationnelles

Au-delà du juridique, l'absence de conformité expose à des conséquences économiques de plus en plus significatives :

• Appels d'offres publics et grands comptes : la conformité CNDP devient un critère bloquant
• Partenariats avec groupes UE : exigence d'un standard RGPD-compatible
• Due diligence M&A : la non-conformité est un point de friction systématique
• Réputation client : publication par la CNDP, presse spécialisée, signalements en ligne

5. Comparaison loi 09-08 vs RGPD

Comparaison détaillée article par article →

6. Comment se mettre en conformité ? Le parcours en sept étapes

Étape 1 — Audit initial

Cartographier les traitements existants, les sous-traitants, les flux de données. Sans cette base, toute action ultérieure est désorganisée. Un audit complet prend 3 à 6 semaines pour une PME, jusqu'à 3 mois pour un groupe multi-entités.

Étape 2 — Qualification des formulaires

Pour chaque traitement cartographié, déterminer le formulaire pertinent : F211, F214, F112, F113, F118. Cette qualification conditionne la durée d'instruction et le risque d'erreur. L'erreur la plus fréquente : déclarer en F211 un traitement sensible relevant du F112 (autorisation préalable).

Étape 3 — Constitution et dépôt des formalités

Rédaction des formulaires, des annexes (fiches de traitement, mesures de sécurité), des pièces justificatives. Dépôt à la CNDP et conservation de l'accusé de réception, qui vaut preuve de diligence pendant l'instruction.

Étape 4 — Documentation et politiques

• Politique de confidentialité référencée loi 09-08
• Mentions légales
• Politique cookies avec blocage runtime
• Registre des traitements interne
• DPA types pour les sous-traitants
• Procédure de gestion des droits

Étape 5 — Hardening technique

• HSTS preload, CSP stricte, en-têtes HTTP de sécurité complets
• Configuration TLS, SPF/DKIM/DMARC
• Bannière cookies conforme avec blocage runtime effectif
• security.txt (RFC 9116)

Étape 6 — Formation des équipes

Sensibilisation marketing, RH, support, IT, direction. Une politique parfaite couplée à une équipe qui ne sait pas qu'un export Excel envoyé par WhatsApp à un partenaire est une fuite, ce n'est pas conforme.

Étape 7 — Gouvernance continue

Désignation d'un DPO (interne ou externe), revue annuelle, redépôt modificatif à chaque évolution substantielle d'une déclaration ou d'une autorisation existante, exercice annuel de test de procédure.

7. Cas d'usage typiques au Maroc

Site e-commerce

Au minimum : F211 pour le fichier clients, F211 pour les prospects/newsletter, F118 si paiement via gateway internationale, F112 si profilage et scoring. Plus la documentation, la bannière cookies, le DPA avec l'hébergeur et le processeur de paiement.

Vidéo-surveillance des locaux

F211 si surveillance simple des accès, F112 si reconnaissance faciale ou comptage biométrique. Information visible des personnes filmées, durée de conservation des images (généralement 30 jours maximum, sauf incident).

Fichier RH

F211 pour le fichier salariés, F112 si données de santé (médecine du travail), F118 si SIRH hébergé hors Maroc (Workday, BambooHR, etc.). Mention spécifique pour le scoring de performance ou le BYOD.

Outils SaaS US (Google Workspace, Microsoft 365)

F118 obligatoire ou SCC documentées. C'est la non-conformité la plus répandue en 2026 : l'utilisation est massive, la déclaration est rare. Un contrôle CNDP qui révèle ce manquement est presque garanti dans les grandes structures.

8. Ressources

• Site officiel CNDP — formulaires officiels et délibérations
• Article 23 — Sécurité des traitements
• F211 mode d'emploi
• Récépissé CNDP — procédure et délais
• RGPD vs loi 09-08 — comparaison détaillée
• Lancer un audit gratuit en 60 secondes

La conformité CNDP ne se résume pas à un formulaire à déposer. C'est une discipline d'organisation, alimentée par une cartographie tenue à jour, une documentation localisée, une infrastructure technique durcie et une équipe sensibilisée. Le coût d'entrée est modéré, le coût de la non-conformité s'alourdit chaque année — particulièrement pour les structures exposées à l'international ou aux marchés régulés.

Notre approche : confraternelle, silencieuse, exécutée. On vous dit en privé ce qui ne va pas, on vous remet un rapport actionnable, et on vous aide à exécuter — ou on s'efface si vous préférez avancer seul.

Yasmine R. — experte en protection des données, contributrice DataSouv. Article relu et validé par Amine Rais, fondateur.