DPO au Maroc : obligation, profil, désignation
Le DPO n'est pas obligatoire dans la loi 09-08 actuelle. Mais entre une obligation formelle absente et l'utilité opérationnelle réelle, il y a un fossé que les organisations sérieuses ne tardent pas à franchir.
Quand on présente la fonction DPO à une direction qui n'y est pas familière, la réaction la plus fréquente tient en une phrase : « c'est obligatoire ou pas ? ». La réponse, comme souvent en matière de conformité marocaine, demande deux nuances. Pas de réponse oui-ou-non binaire. Le DPO n'est pas légalement obligatoire au sens strict de la loi 09-08 actuelle, mais l'obligation arrive par d'autres voies plus souvent qu'on ne pense, et même quand elle n'arrive pas, l'utilité opérationnelle finit par primer. Les organisations qui prennent leur conformité au sérieux désignent un DPO. Celles qui résistent y arrivent dans les deux ou trois ans, souvent après un incident.
L'obligation juridique, version sobre
La loi 09-08 ne contient pas de disposition équivalente à l'article 37 du RGPD européen, qui rend la désignation d'un DPO obligatoire dans trois cas (autorité publique, suivi régulier et systématique à grande échelle, traitement à grande échelle de données sensibles). C'est une différence structurelle entre les deux cadres, attendue à la résorption par la réforme de la loi 09-08 qu'on annonce depuis plusieurs années.
En revanche, l'obligation RGPD frappe de plein droit dans plusieurs situations qui concernent directement le marché marocain :
Toute filiale marocaine d'un groupe européen dont le groupe a désigné un DPO doit fournir à ce DPO un correspondant local. Selon la structure du groupe, ce correspondant peut être qualifié de DPO local de plein exercice (avec les obligations RGPD complètes) ou de relais opérationnel. Dans tous les cas, il faut quelqu'un de désigné, qualifié, joignable.
Toute organisation marocaine offrant des biens ou services à des personnes situées dans l'UE entre dans le champ de l'application territoriale du RGPD (article 3). C'est typiquement le cas des sites e-commerce qui livrent en Europe, des plateformes SaaS marocaines avec clients européens, des cabinets de services qui interviennent pour le compte d'organisations UE. Si en plus les critères de seuil sont atteints, le DPO devient obligatoire.
Et pour les organisations qui ne tombent dans aucune des hypothèses précédentes, le DPO reste une bonne pratique. Les délibérations publiées par la CNDP (cndp.ma) le suggèrent régulièrement pour les structures les plus sensibles. C'est aussi un signal de maturité que les grands comptes et les auditeurs apprécient.
Le profil que personne ne trouve du premier coup
Le DPO efficace combine quatre dimensions qu'on ne croise quasiment jamais simultanément chez un seul candidat marocain :
Une compétence juridique d'abord. Connaissance fine de la loi 09-08 et de son décret 2-09-165, connaissance opérationnelle du RGPD, lecture régulière des délibérations CNDP, capacité à qualifier un traitement (F211, F112, F118 ou rien). Cette compétence se construit, mais sa courbe d'apprentissage est lente — typiquement entre douze et vingt-quatre mois de pratique avant d'être autonome.
Une compétence technique ensuite. Le DPO doit comprendre les SI qu'il rencontre — CMS, CRM, ERP, SaaS, infrastructures cloud, architectures applicatives, notions de sécurité réseau et applicative. Pas besoin d'être ingénieur, mais ne pas être bloqué face à un DSI. C'est précisément cette compétence qu'on néglige souvent quand on désigne un juriste pur, et c'est pourquoi le binôme DSI-DPO finit par fonctionner en parallèle plutôt qu'en intégration.
Une indépendance structurelle ensuite. Le DPO doit pouvoir saisir la direction sans intermédiaire, ne reçoit pas d'instructions sur le contenu de ses avis, et ne peut pas être sanctionné pour l'exercice de sa mission. Ces principes sont posés par l'article 38 du RGPD et largement repris dans la doctrine CNDP de facto. Concrètement, cela exclut d'attribuer la fonction à un collaborateur dont la performance dépend du chiffre d'affaires des traitements qu'il devrait pouvoir auditer.
Une disponibilité enfin. Joignable dans des délais raisonnables (vingt-quatre à quarante-huit heures) par les personnes concernées et par la CNDP. Présent aux moments-clés : audits, lancement de produit, incident, contrôle. Cette dimension est plus tactique mais elle structure tout. Un DPO injoignable est pire qu'un DPO inexistant — c'est un signal de gouvernance défaillante en plus du manquement opérationnel.
L'erreur de gouvernance la plus fréquente
Quand une direction décide de désigner un DPO sans expérience préalable du sujet, voici ce qui se passe statistiquement dans la majorité des cas : on désigne le juriste interne, ou le DSI, parfois le DRH, en cumul de leur fonction principale. C'est rapide, c'est peu coûteux, c'est rassurant. C'est aussi presque toujours problématique à terme.
Le juriste interne a la compétence juridique mais souvent pas la compétence technique. Il se retrouve en posture d'audit face à un DSI qu'il ne peut pas challenger sur le fond. Les décisions techniques significatives passent au-dessus de lui. Quand un contrôle arrive, son rapport contradictoire est mince.
Le DSI a la compétence technique mais souvent pas la compétence juridique fine. Et surtout, il est en conflit d'intérêt structurel : il devrait pouvoir auditer ses propres choix. Quand un sous-traitant mal cadré pose problème, il doit pouvoir le signaler — y compris si c'est lui qui l'a choisi. Ça arrive, mais ça crée une charge psychologique et politique qui n'est pas anodine.
Le DRH est un cas particulier. Il a souvent les meilleures conditions d'indépendance et une bonne sensibilité aux données personnelles (RH oblige). Mais sa charge opérationnelle ne lui laisse généralement pas l'espace pour devenir un DPO compétent au-delà du périmètre RH.
L'alternative qui marche le mieux est de séparer la fonction. Soit on désigne un collaborateur dédié, ce qui n'est viable qu'à partir d'une certaine taille (typiquement plus de cent collaborateurs ou en secteur régulé). Soit on externalise, ce qui apporte la compétence immédiate, l'indépendance par construction, et un coût prévisible.
Interne ou externe — l'arbitrage en quatre questions
Les bons arbitrages sortent rarement d'un modèle théorique. Voici les quatre questions concrètes que je pose aux directions qui hésitent :
Combien de traitements votre organisation opère-t-elle ? En dessous de cinq traitements simples, l'externalisation est presque toujours plus efficiente. Au-delà de vingt traitements ou en cas de traitements sensibles, la fonction est suffisamment riche pour mériter un interne dédié — ou un externalisé à temps significatif.
Quel est votre rythme d'évolution produit ? Une organisation qui sort un produit ou une fonctionnalité par trimestre a besoin d'un DPO impliqué très tôt dans le cycle de design (privacy by design, article 25 du RGPD). Si vous itérez vite, vous avez besoin de proximité ; soit un interne, soit un externalisé en disponibilité accrue.
Êtes-vous soumis au RGPD de plein droit ? Si oui, et que vos enjeux RGPD sont stratégiques (partenariats UE, clients corporate européens, M&A à venir), la dimension de gouvernance externe rassure plus que la dimension de gouvernance interne. Un DPO externalisé documenté par contrat lisible est plus crédible auprès d'un auditeur tiers qu'un DPO interne désigné en cumul.
Avez-vous les compétences en interne ? Question simple mais sous-estimée. Si vous n'avez personne avec les quatre dimensions du profil, l'externalisation est l'option pragmatique. Vous pouvez toujours internaliser plus tard quand un collaborateur compétent émerge.
La mission externalisée — comment elle se déroule
Pour clarifier ce que recouvre concrètement une mission DPO externalisée, voici ce qu'on livre dans un format standard douze mois :
Le mois zéro consiste en un cadrage approfondi : cartographie initiale des traitements, état des lieux des formalités CNDP, revue des contrats sous-traitants, identification des risques majeurs. C'est souvent l'étape qui fait le plus émerger de surprises.
Les mois suivants alternent routine et événementiel. La routine : tenue du registre, veille réglementaire, support aux équipes sur des questions ad hoc, rapport mensuel à la direction. L'événementiel : audit annuel approfondi, traitement des demandes d'exercice de droits, accompagnement d'un projet produit sensible, gestion d'incident éventuel, point de revue trimestriel avec le comité de direction.
À l'année se dégage une synthèse annuelle qui devient elle-même un livrable opposable : où en est l'organisation par rapport à sa conformité, quels progrès, quels chantiers restants, quelle trajectoire pour l'année suivante. C'est le document qu'un acquéreur, un partenaire ou un contrôleur appréciera de trouver dans le dossier de gouvernance.
Pour aller plus loin
- Article 37 du RGPD — désignation du DPO
- Site officiel CNDP
- CNIL — fonction du DPO pour la doctrine européenne comparée
- EDPB — guidelines DPO
- Guide pilier — Conformité CNDP au Maroc 2026
- Service — Désignation DPO interne ou externalisé
Dans la presse économique (Médias24, L'Économiste, TelQuel), on voit régulièrement remonter le sujet de la souveraineté numérique marocaine et de la professionnalisation des fonctions liées. Le DPO en est l'un des marqueurs : passer d'une conformité subie à une gouvernance données structurée. C'est l'évolution naturelle des organisations matures, et c'est aussi un avantage compétitif à terme — discret mais réel — face aux concurrents qui restent en mode artisanal sur ces sujets.
Nadia T. — consultante conformité, contributrice DataSouv. Article relu et validé par Amine Rais, fondateur.
Questions fréquentes
La désignation d'un DPO est-elle obligatoire au Maroc ?
Pas au sens strict de la loi 09-08 actuelle, qui ne crée pas d'obligation générale comparable à l'article 37 du RGPD. En revanche, dès qu'une organisation marocaine est exposée au RGPD (filiale d'un groupe UE, traitement à grande échelle de données européennes, suivi régulier et systématique de personnes dans l'UE), l'obligation RGPD s'applique de plein droit. Et dans tous les cas, le DPO devient l'outil de gouvernance le plus efficace pour piloter la conformité dans la durée.
Le DSI peut-il cumuler la fonction DPO ?
Possible mais à manier avec précaution. Le DPO doit pouvoir auditer ses propres décisions sans conflit d'intérêt. Un DSI qui est aussi DPO doit pouvoir signaler à la direction une non-conformité dans son propre système, ce qui est inconfortable. La doctrine européenne, alignée par la CNDP dans les faits, considère le cumul DPO-fonction-décisionnelle comme structurellement problématique. Quand c'est possible, on évite.
Quel est le profil idéal d'un DPO ?
Quatre dimensions : compétence juridique (loi 09-08, RGPD, doctrine CNDP), compétence technique (SI courants, sécurité applicative), indépendance structurelle vis-à-vis des fonctions opérationnelles, et disponibilité. Aucune n'est négociable, toutes sont rares ensemble. C'est pourquoi le DPO externalisé est souvent la solution la plus accessible pour les structures de taille moyenne.
Combien coûte un DPO externalisé au Maroc ?
À titre indicatif, entre 2 500 et 7 000 MAD par mois selon la taille de l'organisation et l'intensité de la mission. Engagement annuel typique. Le coût est prévisible, l'expertise immédiate, l'indépendance structurelle. Pour les organisations de plus de cent personnes ou en secteur régulé, un DPO interne formé devient pertinent au-delà de 12-18 mois.
Peut-on commencer par une mission courte ?
C'est même recommandé pour les organisations qui découvrent la fonction. Un format de trois mois permet de réaliser la cartographie initiale, traiter les premières demandes d'exercice de droits, mettre en place le registre des traitements et calibrer la trajectoire. Si la mission se prolonge en externalisé, le coût marginal devient celui d'une routine bien rodée. Si l'organisation internalise ensuite, le DPO interne hérite d'une base déjà construite.