F112 — autorisation préalable CNDP, en pratique
Si vous ne savez pas pourquoi votre traitement relève du F112 plutôt que du F211, vous avez de bonnes chances d'avoir mal qualifié au moins un de vos dossiers déposés.
Précision sur la nomenclature. La CNDP utilise désormais le code F112 pour ce formulaire (anciennement référencé F212 dans certains documents préparatoires). Le contenu de ce guide a été mis à jour le 12 mai 2026 pour refléter la nomenclature en vigueur sur cndp.ma.
Pendant longtemps, j'ai cru — comme la plupart des praticiens débutants — que le F112 concernait surtout les hôpitaux et les laboratoires. Quelques mois passés à cartographier des PME marocaines m'ont convaincue du contraire. Le F112 traverse silencieusement les RH, le marketing, la sécurité physique, la finance. Et dans à peu près une PME sur trois, au moins un traitement censément en F211 relève en réalité du F112. C'est l'un des écarts les plus structurants de la conformité CNDP au Maroc.
Ce que dit la loi, et ce que ça signifie en pratique
L'article 12 de la loi n° 09-08 soumet à autorisation préalable de la Commission tout traitement qui présente des risques particuliers d'atteinte aux droits et libertés des personnes. Le décret n° 2-09-165 précise la procédure. La logique est simple : pour le tout-venant, on déclare ; pour ce qui touche à l'intimité, à la liberté ou à la prise de décision automatisée, on demande l'autorisation.
Cinq catégories typiques justifient un F112. Les voici, avec les pièges qui vont avec :
Les données de santé. Évident pour un hôpital, moins pour une PME. Pourtant, dès qu'un dossier RH conserve un certificat médical, une déclaration d'aptitude, ou la simple mention d'une longue maladie pour la gestion des absences, on touche à la donnée de santé. Même chose pour une mutuelle gérée en interne, pour un suivi de médecine du travail, pour un dispositif d'accessibilité dont les bénéficiaires sont fichés. La règle pratique : si une donnée révèle l'état physique ou mental d'une personne, c'est de la santé.
La biométrie. Le marché marocain en raffole — empreinte digitale pour pointer, reconnaissance faciale pour l'accès aux locaux, parfois iris pour les zones sensibles. Chacun de ces dispositifs est un traitement de données biométriques au sens de la doctrine CNDP, et chacun requiert un F112. La Commission a publié plusieurs délibérations encadrant l'usage : proportionnalité stricte, alternative non biométrique pour les salariés qui refusent, durée de conservation minimale. Voir le site officiel de la Commission (cndp.ma) pour la doctrine à jour.
Les infractions et les condamnations. Tout fichier qui enregistre une mise en cause, une fraude, un incident disciplinaire, un défaut de paiement transmis pour contentieux — tout cela touche à la donnée d'infraction. Même un fichier interne d'incidents fraude e-commerce y ressemble. La requalification CNDP est quasi systématique en cas de contrôle.
Le scoring et la décision automatisée. Sujet en explosion. Un scoring de risque crédit, un scoring d'éligibilité assurance, une notation comportementale d'un client e-commerce, un algorithme RH qui filtre des CV : ce sont des traitements qui, à eux seuls, peuvent influer significativement sur la situation d'une personne. La doctrine CNDP suit globalement la position de la CNIL sur le sujet : autorisation préalable, transparence sur la logique, intervention humaine garantie.
L'interconnexion de fichiers. Quand on croise un fichier RH avec un fichier client, ou un fichier de visiteurs vidéo-surveillés avec un fichier d'employés, on crée un traitement nouveau dont l'usage n'était pas couvert par les déclarations initiales. C'est typiquement un cas F112. Beaucoup d'organisations utilisent des plateformes data (CDP, lakehouse) qui agrègent par défaut des sources hétérogènes : le risque de croisement non déclaré devient mécanique.
Le moment où ça coince : l'instruction
Un F211 récupère son récépissé en six à huit semaines dans le bon scénario. Un F112, c'est trois à six mois. Parfois plus. Et contrairement au F211, on ne peut pas exploiter le traitement pendant l'instruction. C'est une différence qu'on néglige systématiquement : l'accusé de réception d'un F112 n'autorise rien, il atteste seulement du dépôt.
La conséquence opérationnelle est lourde. Une équipe RH qui veut déployer un système biométrique de pointage en mars doit déposer le F112 au plus tard en septembre de l'année précédente, et croiser les doigts. Une équipe sécurité qui prévoit de la reconnaissance faciale d'accès doit l'anticiper sur l'exercice budgétaire suivant, pas dans le quarter en cours. C'est l'un des arguments qui finissent par convaincre les directions générales que la conformité ne se résume pas à un acte administratif à côté du business : elle s'intègre au cycle produit.
Pendant l'instruction, la Commission peut demander des compléments : justifications de proportionnalité, mesures de sécurité détaillées, contrats sous-traitants annexés, dispositif d'information des personnes concernées. Plus le dossier est solide d'emblée, plus on évite les allers-retours. C'est typiquement le moment où l'investissement initial dans un cabinet conseil ou un cabinet d'avocats spécialisé se paie.
Les réserves : la zone qu'on lit mal
Plus subtile que le refus, plus fréquente que l'autorisation sèche : la réserve. La Commission accorde l'autorisation, mais y attache des conditions. Limitation de la durée de conservation à 24 mois quand l'organisation demandait 60. Encadrement strict des destinataires. Audit annuel obligatoire. Suppression d'une finalité accessoire jugée disproportionnée.
Ces réserves ne sont pas négociables, et elles sont opposables. Un contrôle peut révéler que l'organisation respecte la lettre de l'autorisation (le numéro est bien affiché en footer) mais pas les réserves (la durée réelle est de 72 mois, pas 24). La sanction est alors aussi sévère qu'en cas d'absence totale d'autorisation, parfois plus, parce qu'il y a déloyauté caractérisée.
Mon réflexe quand j'ouvre un dossier client qui a obtenu un F112 il y a plusieurs années : relire les réserves avant tout le reste. Dans deux tiers des cas, au moins une réserve n'est plus respectée — souvent par dérive progressive, jamais par décision consciente. C'est l'angle mort classique de la gouvernance données.
L'erreur de qualification : où elle se loge
La confusion F211/F112 ne vient quasiment jamais d'une mauvaise foi. Elle vient d'un défaut de vocabulaire. Quand l'équipe RH parle d'un « fichier salariés », personne ne réalise qu'il contient des données de santé. Quand l'équipe IT parle d'un « système de pointage », personne ne se demande si l'empreinte digitale tombe sous le coup de la biométrie. La discussion entre métier et juridique se fait rarement avec la granularité requise.
Concrètement, voici ce que je fais lors d'un audit : pour chaque fichier déclaré, je demande l'export complet du schéma de données. Pas la liste des champs telle qu'elle figure dans le F211, mais le vrai schéma de la base. Dans la moitié des cas, on découvre des colonnes que la déclaration ne mentionnait pas. Un fichier salariés contient une mention « profil glycémique » oubliée d'un projet pilote bien-être au travail. Un fichier candidats contient un score automatique d'employabilité jamais expliqué à la direction. Un fichier clients e-commerce contient un flag « comportement à risque » utilisé pour limiter les paniers — un scoring de fait, sans F112.
Aucune de ces situations n'est dramatique en soi. Ce qui l'est, c'est de découvrir ces écarts pendant un contrôle plutôt qu'en amont. L'audit interne préalable a un coût ; le contrôle CNDP non préparé en a un autre, généralement plus élevé.
Vous opérez sans F112 : que faire ?
C'est une situation très répandue. Aucune raison de la dramatiser ni de la nier — il faut la traiter. Trois options réalistes, à arbitrer selon le contexte :
La régularisation spontanée consiste à reconnaître le manquement, déposer le F112 nécessaire en explicitant le contexte (par exemple que le traitement a été initié avant que la qualification correcte ne soit identifiée), et continuer à opérer pendant l'instruction sous surveillance interne renforcée. La Commission traite généralement ces régularisations avec une certaine bienveillance, surtout quand l'organisation montre qu'elle a fait l'effort de cartographier l'ensemble de ses traitements. C'est souvent l'option la plus saine.
La suspension provisoire est l'option défensive : arrêter le traitement sensible, déposer le F112, attendre l'autorisation pour reprendre. C'est rarement réaliste pour un traitement qui structure l'activité (pointage biométrique, scoring client), mais c'est l'option à privilégier pour les usages accessoires (suivi bien-être pilote, expérimentation marketing).
La reformulation consiste à modifier le traitement pour qu'il ne tombe plus dans le champ F112. Par exemple, remplacer la biométrie par un badge avec photo. Réduire le scoring à des règles métier transparentes documentées. Faire de la médecine du travail un dispositif externalisé avec un prestataire qui assume la responsabilité du traitement. Ce n'est pas toujours possible, mais c'est parfois la solution la plus durable.
Ressources et points d'attention
- Site officiel CNDP — formulaires et délibérations
- Guide pilier — Conformité CNDP au Maroc 2026
- F211 — mode d'emploi de la déclaration normale
- Récépissé CNDP — délais et procédure
- Service — Formalités CNDP clés en main
- Doctrine comparée : CNIL — traitements sensibles et autorisation pour les passages où la position française éclaire celle de la CNDP.
Un dernier mot. Dans la presse économique marocaine (Médias24, L'Économiste) on lit régulièrement des reportages sur des incidents data — souvent des fuites, plus rarement des contrôles. Ces incidents sont presque toujours liés à des traitements sensibles mal cadrés. Ce n'est pas une coïncidence. La porosité commence là où la qualification administrative s'arrête.
Yasmine R. — experte en protection des données, contributrice DataSouv. Article relu et validé par Amine Rais, fondateur.
Questions fréquentes
Comment savoir si mon traitement relève du F211 ou du F112 ?
Le F112 est requis pour les traitements présentant des risques particuliers : données de santé, biométrie, infractions et condamnations, scoring crédit ou comportemental, interconnexion de fichiers à finalités distinctes. Dans le doute, demandez à la CNDP via une consultation préalable, ou faites qualifier le dossier par un professionnel. L'erreur la plus coûteuse est de déclarer un traitement sensible en F211 — le récépissé sera caduc dès qu'un contrôle requalifie.
Combien de temps pour obtenir une autorisation F112 ?
L'instruction dure typiquement entre trois et six mois, parfois jusqu'à neuf en cas de complexité ou de demande de compléments. C'est nettement plus long qu'un F211. Anticipez : déposez le F112 plusieurs mois avant la mise en production effective du traitement. Pendant l'instruction, vous ne pouvez pas exploiter le traitement — contrairement au F211.
Qu'est-ce qu'une autorisation "avec réserves" ?
La CNDP peut accorder l'autorisation tout en conditionnant son exploitation : limitation de la durée de conservation, encadrement strict des destinataires, audit annuel obligatoire, suppression d'une finalité accessoire. Ces réserves sont opposables et doivent être appliquées. Elles ne sont pas un détail administratif : leur non-respect peut entraîner un retrait.
Et si j'opère un traitement sensible sans F112 ?
Vous êtes en situation irrégulière. Le risque opérationnel est réel : signalement par un salarié, contrôle déclenché par une plainte client, audit interne ou due diligence M&A. La régularisation spontanée est généralement traitée avec plus de bienveillance qu'un dossier découvert par contrôle — mais elle reste à initier rapidement.
L'autorisation est-elle renouvelable ?
L'autorisation reste valide tant que le traitement ne change pas substantiellement. À chaque évolution significative — nouvelle catégorie de données, nouveau sous-traitant, nouvelle finalité — il faut déposer un dossier modificatif. La règle pratique : revoir tous les F112 actifs au moins une fois par an, et déposer un modificatif chaque fois qu'une étape produit ou un partenaire change.