Formulaire F211 CNDP — mode d'emploi 2026
Le F211 est le formulaire le plus utilisé au Maroc. Bien le qualifier et bien le remplir évite 80 % des frictions d'instruction.
Le F211 — déclaration normale est le formulaire CNDP de référence pour les traitements ordinaires de données personnelles au Maroc. C'est statistiquement le formulaire le plus déposé : la majorité des activités commerciales standards passent par lui. Ce guide détaille ses cas d'usage, sa constitution, son dépôt, et les pièges récurrents.
1. À qui s'adresse le F211 ?
Le F211 est le formulaire par défaut pour tout traitement de données personnelles qui n'entre pas dans une des catégories sensibles relevant du F112 (autorisation préalable). Il couvre la grande majorité des traitements ordinaires :
- Fichiers clients : CRM, historique d'achat, programme fidélité (hors scoring sensible)
- Fichiers prospects : base de prospection commerciale, abonnés newsletter
- Fichiers fournisseurs : coordonnées et historique de commandes
- Fichiers RH non sensibles : annuaire interne, contacts d'urgence, gestion administrative du personnel
- Vidéo-surveillance simple : sécurité des locaux, accès, parking (hors reconnaissance faciale)
- Fichiers candidats : recrutement, CV reçus, suivi de candidatures
- Logs et journaux techniques : traces de connexion à un service en ligne, à des fins de sécurité
À l'inverse, ne passent pas en F211 (mais en F112 — autorisation préalable) :
- Données de santé
- Données biométriques (empreintes, reconnaissance faciale)
- Données relatives aux infractions et condamnations
- Scoring crédit ou évaluation comportementale automatisée
- Interconnexion de fichiers à des finalités multiples
- Fichiers sensibles au sens de l'article 1 de la loi 09-08
2. Pièces à fournir
Le dossier F211 comporte plusieurs sections à compléter avec précision :
2.1 Identification du responsable du traitement
- Dénomination sociale complète (telle qu'inscrite au registre de commerce)
- Numéro RC et identifiant fiscal
- Adresse du siège
- Représentant légal : nom, qualité, contact
- Personne de contact pour la CNDP (souvent le DPO ou le juriste interne)
Pour les filiales de groupes étrangers, indiquer également la maison mère et la juridiction d'origine. La CNDP attache de l'importance à la chaîne de responsabilité.
2.2 Description du traitement
- Finalité : décrire précisément l'objectif. Pas « gestion clients » mais « tenue d'un fichier clients aux fins d'exécution des commandes, facturation, support après-vente et information sur les offres commerciales »
- Catégories de données : nom, prénom, email, téléphone, adresse postale, données de paiement, historique d'achat, etc.
- Catégories de personnes concernées : clients, prospects, mineurs ?, salariés ?
- Origine : collecte directe auprès des personnes, données reçues d'un tiers, données calculées par scoring
2.3 Destinataires
- Internes : services qui auront accès aux données (commercial, support, comptabilité)
- Externes : sous-traitants (hébergeur, prestataire emailing, comptable externe) avec leur fonction précise
2.4 Durée de conservation
À indiquer par catégorie :
| Catégorie | Durée typique |
|---|---|
| Données de prospect non transformé | 24 mois maximum après dernier contact |
| Données client actif | Durée du contrat + obligations comptables (généralement 10 ans) |
| Données candidat non recruté | 24 mois maximum après dernière candidature |
| Logs techniques | 6 à 12 mois selon finalité |
| Images de vidéo-surveillance | 30 jours sauf incident |
2.5 Mesures de sécurité
Décrire les mesures techniques et organisationnelles :
- Techniques : TLS, chiffrement au repos, gestion des accès, MFA, journalisation, sauvegardes
- Organisationnelles : NDA salariés, charte informatique, formation, procédures d'incident
2.6 Transferts internationaux
Si applicable : pays destinataires et fondement juridique (F118 séparé, SCC, etc.). Si tous les traitements sont internes au Maroc, le déclarer explicitement.
3. Constitution du dossier — bonnes pratiques
3.1 Une fiche par traitement
L'erreur la plus fréquente : mélanger plusieurs finalités dans une seule déclaration. La règle : une finalité = une déclaration. Si vous gérez à la fois un fichier clients et un fichier prospects, ce sont deux F211 distincts.
3.2 Description précise, pas générique
Une finalité trop générique sera rejetée ou demandera des compléments. Au lieu de « marketing », écrivez : « envoi de newsletters mensuelles d'information produit aux abonnés ayant donné leur consentement préalable ».
3.3 Cohérence interne
Les durées déclarées doivent correspondre à la réalité de votre infrastructure. Si vous déclarez « logs conservés 6 mois » mais que techniquement vous gardez 24 mois, un contrôle vous le reprochera. Vérifiez avec votre DSI ou votre hébergeur.
3.4 Annexes : politique de confidentialité publiée
Joignez la version actuellement publiée de votre politique de confidentialité. Si elle n'est pas alignée avec le F211, la Commission demandera de la mettre à jour avant délivrance du récépissé.
4. Le dépôt
Les modalités exactes évoluent ; la CNDP propose aujourd'hui un téléservice complété par un envoi physique des pièces signées. Consultez cndp.ma pour la procédure courante.
Bonnes pratiques de dépôt :
- Numéroter et paginer les pièces
- Joindre une lettre de transmission récapitulative
- Conserver une copie complète du dossier déposé
- Conserver l'accusé de réception (essentiel : il vaut preuve de diligence pendant l'instruction)
5. Le suivi de l'instruction
5.1 Délais
En pratique, l'instruction d'un F211 dure entre 6 semaines et 4 mois selon :
- La charge de la Commission au moment du dépôt
- La complexité du dossier (un F211 « fichier clients standard » est plus rapide qu'un F211 « plateforme e-commerce multi-acteurs »)
- La qualité de la constitution initiale (un dossier bien rédigé évite les demandes de complément)
Pendant l'instruction, vous pouvez continuer à exploiter le traitement sous réserve du respect des principes de la loi 09-08. L'accusé de réception suffit à matérialiser la diligence.
5.2 Demandes de complément
La Commission peut demander :
- Précisions sur la finalité
- Clarification des mesures de sécurité
- Modifications de la politique de confidentialité
- Justifications de la durée de conservation
Y répondre rapidement (idéalement sous 15 jours) et précisément réduit le temps total d'instruction.
5.3 Le récépissé
À l'issue de l'instruction, la CNDP délivre un récépissé comportant un numéro d'enregistrement unique. Ce numéro doit être :
- Affiché publiquement (footer du site, politique de confidentialité)
- Conservé pour produire en cas de contrôle
- Référence pour toute déclaration modificative future
6. Pièges récurrents — checklist d'autocontrôle
Avant de déposer, vérifier :
- Une fiche par finalité distincte (pas de fiche fourre-tout)
- Description de la finalité précise et opérationnelle
- Liste exhaustive des catégories de données collectées
- Durées de conservation alignées avec la réalité technique
- Tous les sous-traitants nommés (hébergeur, SaaS, prestataires externes)
- Mesures de sécurité décrites concrètement (pas « les meilleures pratiques »)
- Politique de confidentialité publiée et alignée avec le F211
- Vérification qu'aucun traitement sensible ne relève en réalité du F112 (autorisation préalable)
- Si SaaS ou hébergeur hors Maroc : F118 préparé en parallèle ou SCC documentées
7. Ressources
- Guide pilier — Conformité CNDP au Maroc 2026
- Récépissé CNDP — délai et procédure
- Service — Formalités CNDP clés en main
- Site officiel CNDP
Le F211 n'est pas difficile dans son principe, mais il est exigeant dans sa précision. Un dossier bien constitué obtient son récépissé sans friction ; un dossier approximatif déclenche des demandes de complément qui doublent ou triplent la durée d'instruction. C'est typiquement le moment où l'accompagnement d'un cabinet rentabilise son coût.
Karim B. — consultant conformité CNDP, contributeur DataSouv. Article relu et validé par Amine Rais, fondateur.
Questions fréquentes
Mon site doit-il déposer un F211 ?
Dès qu'un site collecte des données personnelles (formulaire de contact, compte client, newsletter, paiement, cookies tracking), une déclaration préalable est requise. Pour la majorité des traitements ordinaires (clients, prospects, RH non sensibles, vidéo-surveillance d'accès), le formulaire applicable est le F211 — déclaration normale.
Combien de F211 faut-il déposer ?
Autant qu'il y a de finalités distinctes. Un fichier clients, un fichier prospects, un fichier salariés, un fichier candidats, un système de vidéo-surveillance des locaux, un programme de fidélité : ce sont autant de traitements distincts, donc autant de F211. Une PME a typiquement entre 4 et 10 traitements à déclarer.
Combien coûte un F211 ?
Le dépôt à la CNDP est gratuit. Le coût est celui de la prestation de constitution et de suivi par un cabinet conseil ou un cabinet d'avocats. À titre indicatif chez DataSouv : à partir de 6 000 MAD pour un F211 simple, dégressif si plusieurs F211 sont déposés en même temps (forfait groupé).
Peut-on déposer un F211 en ligne ?
La CNDP propose un téléservice pour les déclarations, complété par un dépôt physique ou un envoi postal des pièces justificatives signées. Les modalités exactes évoluent ; consultez le site officiel cndp.ma pour la procédure en vigueur.
Que se passe-t-il après le dépôt ?
Vous recevez un accusé de réception. Pendant l'instruction (généralement 6 semaines à 4 mois), la Commission peut demander des compléments. À l'issue, elle délivre un récépissé qui matérialise la conformité administrative — à conserver, à afficher en footer, et à mentionner dans la politique de confidentialité.