F118 et transferts internationaux CNDP
Si vous utilisez Google Workspace ou Microsoft 365 sans F118 ni clauses contractuelles types documentées, vous êtes en non-conformité. Comme à peu près neuf PME marocaines sur dix.
Précision sur la nomenclature. La CNDP utilise désormais le code F118 pour le formulaire de transfert international de données (anciennement référencé F214 dans certains documents préparatoires, code qui désigne aujourd'hui la déclaration simplifiée). Le contenu de ce guide a été mis à jour le 12 mai 2026 pour refléter la nomenclature en vigueur sur cndp.ma.
Quand on commence un audit dans une PME marocaine, il y a une question qui produit toujours le même effet : « Avez-vous un F118 pour Google Workspace ? » Sept fois sur dix, on reçoit en réponse un silence interrogateur. Une fois sur dix, on entend « on a signé quelque chose à l'inscription, je ne sais plus où c'est ». Une fois sur dix, l'équipe sait qu'il faut faire quelque chose mais n'a pas su par où commencer. Une fois sur dix, le dossier est en règle. C'est l'estimation grossière mais réaliste de la maturité du marché en 2026, et c'est l'angle le plus immédiat sur lequel un audit CNDP peut produire de la valeur.
L'enjeu en deux paragraphes
La loi n° 09-08, dans ses articles 43 à 47, soumet à autorisation préalable de la Commission tout transfert de données personnelles hors du Maroc vers un pays qui n'offre pas un niveau de protection adéquat. Le décret d'application 2-09-165 organise la procédure via le formulaire F118. Deux portes de sortie existent : soit le pays destinataire bénéficie d'une reconnaissance d'adéquation par la CNDP (liste très restreinte en 2026), soit le transfert est encadré par des garanties contractuelles suffisantes — typiquement des Clauses Contractuelles Types alignées sur celles validées par les autorités européennes.
Or, l'usage quotidien de SaaS américains est devenu inévitable : Google Workspace pour la bureautique, Microsoft 365 pour la même chose, Salesforce ou HubSpot pour le CRM, Slack pour la communication interne, Notion ou Asana pour la gestion de projet, Zendesk pour le support, Stripe ou les passerelles de paiement internationales pour la facturation. Chacun de ces outils opère un transfert de données vers les États-Unis ou vers d'autres juridictions. Chacun nécessite un F118 ou une documentation rigoureuse de garanties contractuelles. La probabilité qu'une PME moyenne soit totalement en règle sur l'ensemble de sa stack tend vers zéro.
Ce qu'on découvre concrètement en audit
Le réflexe pédagogique est de partir de la stack technique. On demande à la DSI la liste exhaustive des outils SaaS utilisés en production, et on croise avec les déclarations CNDP déposées. L'écart est presque toujours significatif. Dans une PME du secteur retail récemment auditée — anonymisée par secteur, fidèle aux règles d'anonymisation strictement sectorielle — la stack comprenait dix-sept outils SaaS, dont quatorze hébergés hors Maroc, dont onze hors UE. Le nombre de F118 déposés : zéro. Le nombre de DPA signés : trois, dont deux à des SaaS qu'on avait cessé d'utiliser deux ans plus tôt. Ce n'est pas un cas extrême, c'est la moyenne.
L'autre découverte typique concerne les sous-traitants ultérieurs. Quand vous utilisez Google Workspace, vous transférez à Google. Google sous-traite à des CDN, à des fournisseurs de stockage régional, à des partenaires de sécurité. Ces sous-sous-traitants sont publics — Google les liste dans sa documentation produit accessible à tous. Mais ils ne sont jamais récupérés et versés au dossier conformité. La cartographie reste superficielle, alors que c'est précisément la profondeur de la cartographie qui distingue une conformité réelle d'une conformité de façade.
Les trois fondements juridiques disponibles
L'autorisation explicite via F118. C'est la voie reine. On dépose à la CNDP un dossier détaillant la finalité du transfert, le pays destinataire, le fournisseur, les catégories de données, les mesures de sécurité contractuelles, la durée de conservation. La Commission instruit, généralement entre deux et quatre mois pour un dossier classique. Le récépissé devient la pièce maîtresse à produire en cas de contrôle.
Les clauses contractuelles types. Les fournisseurs majeurs — Google, Microsoft, Amazon, Salesforce, HubSpot — proposent depuis plusieurs années un Data Processing Addendum (DPA) intégrant des SCC alignées sur celles validées par la Commission européenne en 2021. Ces SCC, quand elles sont explicitement adoptées par votre organisation (signature, archivage, traçabilité), constituent une garantie juridique reconnue par la doctrine CNDP, dans la limite de l'évolution de cette doctrine. Voir les délibérations publiées sur cndp.ma pour la position courante. Pour la doctrine comparée européenne, les recommandations de l'EDPB sur les transferts internationaux fournissent une référence utile : edpb.europa.eu.
Les dérogations. La loi prévoit des dérogations limitées : consentement explicite de la personne concernée pour un transfert occasionnel, exécution d'un contrat impliquant nécessairement le transfert, motif d'intérêt public. Ces dérogations sont d'interprétation stricte et ne couvrent pas l'usage routinier de SaaS. Elles ne sont pas une solution de gouvernance, juste une porte de secours pour des cas ponctuels.
La cartographie minimale à constituer
Si vous voulez avancer sans encore engager d'audit complet, voici la matrice de base à remplir. Une simple feuille Excel suffit, et elle vous fera gagner un temps considérable le jour où vous démarrerez vraiment.
| Outil | Finalité | Données traitées | Hébergement | Fournisseur (siège) | F118 ? | DPA signé ? | Sub-processors récupérés ? |
|---|---|---|---|---|---|---|---|
| Google Workspace | Bureautique, mail | Toutes les communications RH, clients, internes | UE (selon config) + US | Google LLC (US) | À déposer | Oui depuis 202X | À récupérer |
| Microsoft 365 | Bureautique, Teams | Idem | UE + US | Microsoft Corp (US) | À déposer | À vérifier | À récupérer |
| Salesforce | CRM | Données prospects, clients, opportunités | UE / US | Salesforce.com (US) | À déposer | À vérifier | À récupérer |
| HubSpot | Marketing automation | Données prospects, comportements site | US | HubSpot Inc (US) | À déposer | À vérifier | À récupérer |
Cette matrice n'est pas un livrable d'audit, c'est un point de départ. Mais elle révèle généralement plus de problèmes qu'elle n'en cache.
Le timing — anticiper, pas réagir
L'instruction d'un F118 est moins longue qu'un F112 mais plus longue qu'un F211. Comptez deux à quatre mois pour un dossier classique sans complication particulière. Plus, si le pays destinataire est inhabituel ou si le fournisseur est mal documenté. La conséquence opérationnelle : un changement de stack qui implique un transfert international doit se planifier au moins six mois à l'avance. Migrer du CRM A au CRM B avec un go-live prévu en avril, c'est un dossier F118 déposé en octobre de l'année précédente.
Pendant l'instruction, à la différence du F211, l'usage du SaaS n'est pas automatiquement autorisé. La pratique courante consiste à s'appuyer sur les SCC du fournisseur en attendant le récépissé, en documentant cette articulation dans le registre interne et la politique de confidentialité. C'est une zone grise pragmatique, défendable, mais qui mérite d'être traitée explicitement.
Que faire si vous découvrez votre non-conformité
Trois principes simples qui ressortent de la pratique :
D'abord, ne pas paniquer. Vous êtes dans une situation très commune. La régularisation spontanée est mieux traitée que la découverte par contrôle.
Ensuite, prioriser par criticité. Les SaaS qui traitent des données massives ou sensibles passent avant ceux qui hébergent une newsletter de trente abonnés. Une approche pragmatique : commencer par les trois SaaS les plus structurants (typiquement bureautique, CRM, hébergement), déposer leurs F118 ensemble, et étendre ensuite.
Enfin, documenter. Le fait que vous cartographiez vos transferts, constituez vos dossiers, régularisez dans un délai raisonnable est en soi un signal de diligence — opposable à un contrôleur. Le pire scénario n'est pas d'être en non-conformité ; c'est d'être en non-conformité sans avoir entamé la régularisation après en avoir été conscient.
Pour aller plus loin
- Site officiel CNDP — délibérations sur les transferts internationaux
- EDPB — recommandations sur les transferts post-Schrems II
- CNIL — guide pratique sur les transferts hors UE
- Guide pilier — Conformité CNDP au Maroc 2026
- RGPD vs loi 09-08 — comparaison juridique
- Service — Formalités CNDP clés en main
Dans les pages de Médias24 et de L'Économiste, on a vu ces dernières années se multiplier les analyses sur la souveraineté numérique marocaine — sujet qui croise directement la question des transferts. La direction politique est claire : faire émerger une couche locale de stockage et de traitement, et encadrer mieux les transferts. La direction pratique reste la même : tant qu'on utilise du SaaS américain, on documente. Le F118 n'est pas un caprice administratif, c'est l'outil normal de cette documentation.
Karim B. — consultant conformité CNDP, contributeur DataSouv. Article relu et validé par Amine Rais, fondateur.
Questions fréquentes
Tous les SaaS américains imposent-ils un F118 ?
Pour l'essentiel oui, dès lors qu'ils traitent des données personnelles pour le compte d'un responsable marocain et que ce traitement implique un stockage ou un accès depuis les États-Unis ou d'autres juridictions sans niveau de protection adéquat reconnu par la CNDP. Quelques fournisseurs proposent un hébergement explicitement européen avec des clauses contractuelles types couvrant le transfert ; dans ce cas, la documentation des SCC peut suffire selon la doctrine en vigueur.
Que se passe-t-il si j'utilise Google Workspace sans F118 ?
Vous opérez un transfert international non autorisé. En l'absence de plainte ou de contrôle, rien de visible ne se passe. En cas de contrôle ou de signalement, c'est un manquement caractérisé qui peut entraîner une mise en demeure et, dans les cas graves, des sanctions. Au-delà, c'est de plus en plus un point bloquant dans les appels d'offres, les due diligences M&A et les partenariats avec des groupes européens.
Combien coûte un F118 ?
Le dépôt à la CNDP est gratuit. Le coût est celui de la prestation : cartographie des transferts, qualification des fournisseurs, documentation des SCC, constitution du dossier. À titre indicatif, comptez à partir de 8 000 MAD pour un F118 simple. Pour les organisations multi-SaaS, un forfait groupé est plus pertinent.
Les SCC fournies par défaut par Google ou Microsoft suffisent-elles ?
Les éditeurs majeurs proposent des clauses contractuelles types alignées sur les standards européens. Elles constituent une base solide mais doivent être adoptées explicitement par votre organisation, archivées avec date et signataire, et complétées d'une évaluation de transfert (Transfer Impact Assessment) si vous êtes exposé au RGPD. Les avoir sans les avoir activement signées ne vaut juridiquement pas grand-chose.
Et pour les sous-traitants ultérieurs (sous-sous-traitants) ?
Chaque sous-traitant ultérieur — par exemple les CDN, processeurs de paiement, services d'authentification utilisés par votre SaaS principal — doit être tracé. Les éditeurs majeurs publient leur liste de sub-processors. Le bon réflexe : récupérer cette liste, la verser au dossier, et s'abonner aux notifications de changement. Sans cela, votre cartographie est inachevée.