Médiation, plainte et recours CNDP
Recevoir une notification de la CNDP n'est pas une catastrophe. C'est une procédure ordinaire à laquelle on répond mieux qu'on ne le pense, à condition d'avoir constitué la matière en amont.
Recevoir un courrier de la CNDP a un effet désagréable même sur une direction parfaitement structurée. C'est la procédure qui sort de la routine, l'inconnu administratif, le risque mal calibré. Pourtant, la procédure de plainte et de contrôle de la Commission est codifiée, contradictoire, et globalement raisonnable dans son économie. Une organisation qui sait comment ça se passe et qui a constitué la matière en amont y répond beaucoup mieux qu'elle ne le craint. Cet article décrit ce qui se passe, comment y répondre, et où se situe la marge de manœuvre.
La saisine — d'où elle vient
La CNDP peut être saisie de trois manières principales.
La plainte d'une personne est le déclencheur le plus fréquent. Le plaignant est en général un salarié ou ancien salarié en conflit avec son employeur, un client ou ancien client mécontent de la manière dont ses données ont été traitées, un candidat refusé estimant que sa candidature a été traitée de manière déloyale, un prospect qui n'arrive pas à se faire retirer d'un fichier marketing. La plainte est généralement écrite, motivée, parfois accompagnée d'éléments de preuve (échanges, captures d'écran, preuves de demande de droits restées sans réponse).
L'auto-saisine de la Commission intervient pour les sujets transversaux où la CNDP décide d'enquêter sur un secteur, une technologie, ou un phénomène. Les délibérations publiques sur la biométrie de présence dans les entreprises, sur la vidéo-surveillance, sur la conformité de certains secteurs régulés relèvent de ce mode. C'est plus rare individuellement mais cela balaie de larges périmètres.
Le signalement par un tiers — concurrent, journaliste, observatoire — existe également, généralement moins formel mais pas négligeable. La presse économique marocaine (Médias24, L'Économiste) joue un rôle indirect : un reportage qui pointe une non-conformité sectorielle peut déclencher une instruction d'auto-saisine.
Ce qui arrive concrètement après la saisine
L'organisation reçoit une notification de la Commission, généralement par courrier officiel. La notification mentionne le motif de la saisine (plainte, auto-saisine, contrôle programmé), les éléments en possession de la Commission, et la demande qui est faite à l'organisation. Le délai de réponse est précisé — typiquement entre quinze et trente jours selon la nature.
C'est le moment-clé. La qualité de la réponse à cette notification initiale conditionne le ton de toute la procédure. Une réponse précipitée, défensive, incomplète, ou tonalement maladroite peut faire passer un dossier d'un avertissement probable à une mise en demeure. Une réponse documentée, sereine, factuelle, complète peut faire basculer un dossier de mise en demeure à classement sans suite.
Concrètement, voici ce qu'on prépare dans les jours qui suivent la notification :
D'abord, l'identification précise de ce qui est reproché. Pas l'idée générale, le contenu exact. Quel traitement est concerné, quels droits sont en cause, quelles dates, quels acteurs. Sans cette précision, la réponse est forcément approximative.
Ensuite, la production des preuves. Toutes les preuves disponibles : extraits de registre, déclarations CNDP déposées, copie des récépissés obtenus, échanges avec le plaignant si applicable, copies des politiques publiées au moment des faits, captures d'écran horodatées si la situation a évolué. La preuve papier ou numérique horodatée est l'allié principal.
Puis, la qualification juridique. Que dit la loi 09-08 sur la situation reprochée ? L'organisation est-elle effectivement en manquement ou la qualification du plaignant repose-t-elle sur une lecture inexacte ? Quels articles invoquer en défense ? La consultation d'un avocat spécialisé est particulièrement utile à cette étape pour les dossiers à enjeu.
Enfin, la posture relationnelle. La Commission n'est pas un adversaire. Elle est un régulateur. Le ton de la réponse doit être respectueux, factuel, coopératif. Une organisation qui montre qu'elle prend le sujet au sérieux et qu'elle s'inscrit dans une démarche de mise en conformité est traitée différemment d'une organisation qui se défausse ou conteste systématiquement.
La médiation — quand elle est pertinente
Pour certains types de différends, la CNDP propose ou accepte une médiation plutôt qu'une procédure formelle d'emblée. C'est typiquement le cas pour les dossiers où le plaignant exerce un droit (accès, rectification, suppression) et où l'organisation a montré sa bonne foi mais a peut-être tardé ou mal exécuté. La médiation permet de résoudre le différend rapidement, sans alimenter la procédure formelle.
Les avantages de la médiation : rapidité (généralement quelques semaines), absence d'inscription au dossier comme sanction, restauration de la relation avec la personne concernée. Les conditions de succès : reconnaissance honnête de ce qui n'a pas fonctionné, proposition concrète de mise en conformité, exécution immédiate.
La médiation ne convient pas à tous les cas. Quand le manquement est caractérisé, structurel, ou quand il y a déloyauté avérée, la procédure formelle s'engage de toute façon. La médiation est un outil pour les cas où il y a un différend ponctuel sur fond de bonne foi générale.
La procédure formelle — gradations
Si la médiation n'est pas pertinente ou n'aboutit pas, la procédure formelle se déroule selon plusieurs étapes possibles, dans une logique de gradation.
L'avertissement est la sanction la plus légère. Il est prononcé pour les manquements mineurs ou pour les premières saisines où la coopération a été bonne. Il n'a pas d'effet financier direct mais il s'inscrit au dossier de l'organisation et peut être pris en compte en cas de récidive.
La mise en demeure assortie d'un délai de mise en conformité est l'étape intermédiaire la plus fréquente. La Commission constate le manquement, fixe ce qu'il faut corriger, donne un délai (généralement trois à six mois), et conditionne l'absence de suite à l'exécution. C'est une procédure contradictoire et négociable : l'organisation peut discuter le périmètre des corrections, demander un allongement raisonnable du délai, proposer une trajectoire plus structurée.
La sanction proprement dite intervient pour les manquements graves, les défauts de coopération, ou la persistance après mise en demeure. Elle peut combiner volet administratif (amende, retrait d'autorisation, publicité de la sanction) et volet pénal (transmission au procureur pour les manquements caractérisés au sens des articles pénaux de la loi 09-08).
Le recours — quand le mobiliser
Toute décision de la Commission est susceptible de recours. Deux voies coexistent.
Le recours administratif s'exerce directement auprès de la CNDP, pour demander un réexamen de la décision. Il est utile quand l'organisation estime que la qualification ou les faits ont été mal compris, et qu'un nouvel examen documenté pourrait changer la décision. Il est gratuit, relativement rapide, et n'engage pas la confrontation juridictionnelle.
Le recours juridictionnel devant le tribunal administratif compétent intervient en cas d'échec du recours administratif ou directement pour les sanctions à fort impact. Il nécessite un avocat, il prend du temps (généralement plusieurs mois à un an), il a un coût. On le mobilise pour les sanctions financières significatives ou pour les sanctions à fort impact réputationnel quand on estime que la décision est juridiquement contestable.
En pratique, les recours sont rares en proportion des décisions prises. Les organisations préfèrent généralement la voie de la mise en conformité accélérée et de la négociation discrète à la voie contentieuse. C'est cohérent : un dossier porté devant le tribunal administratif laisse une trace publique que l'organisation préfère parfois éviter, indépendamment du résultat.
La constitution préalable du dossier de défense
L'enseignement principal de la pratique, c'est qu'une organisation se défend bien parce qu'elle a constitué la matière avant que la procédure ne se déclenche. Voici ce qu'un dossier de défense préparé contient typiquement :
Un registre des traitements à jour, exportable rapidement, avec date de dernière mise à jour. Les déclarations CNDP, récépissés et autorisations classés et accessibles. Les contrats sous-traitants signés et les DPA associés. La politique de confidentialité publiée à différentes dates (archives Wayback ou archive interne). Les procédures internes de gestion des droits, avec traces des demandes traitées par le passé. Les rapports d'audit sécurité et les preuves de correctifs appliqués. Une trace des formations dispensées aux équipes.
Ce dossier ne se constitue pas en urgence. Il se constitue dans le calme, sur quelques semaines, avec l'aide d'un cabinet conseil ou d'un DPO. Quand la notification arrive, il est déjà là, prêt à être complété pour répondre. Ce simple fait — pouvoir produire en quelques jours un dossier de défense structuré — distingue les organisations préparées des autres. Et c'est, je le constate régulièrement, le critère qui pèse le plus dans la gradation de la sanction.
Ressources
- Site officiel CNDP — délibérations et procédures
- Bulletin Officiel — textes de loi
- CNIL — procédure de plainte pour la doctrine européenne comparée
- EDPB — guidelines sanctions et procédures
- Guide pilier — Conformité CNDP au Maroc 2026
- Sanctions CNDP — ce que vous risquez
- Service — Audit conformité CNDP
Le pire moment pour découvrir la procédure CNDP, c'est quand on reçoit la notification. Le meilleur moment pour la comprendre, c'est avant. Une organisation qui prend une heure pour intégrer ces principes et qui investit quelques semaines de constitution documentaire transforme la procédure d'inconnue stressante en routine maîtrisée. C'est, fondamentalement, le passage à l'âge adulte de la gouvernance données.
Leila B. — experte protection des données, contributrice DataSouv. Article relu et validé par Amine Rais, fondateur.
Questions fréquentes
Qui peut saisir la CNDP par plainte ?
Toute personne qui estime que ses données personnelles font l'objet d'un traitement non conforme à la loi 09-08. Salarié, ancien salarié, client, candidat refusé, prospect, visiteur d'un site web. La plainte doit être motivée et accompagnée des éléments en possession du plaignant. La Commission instruit ensuite contradictoirement.
Que se passe-t-il après une plainte ?
La CNDP notifie l'organisation mise en cause et lui demande de produire ses éléments dans un délai imparti. La procédure est contradictoire : l'organisation peut répondre, produire ses preuves, contester les faits ou les qualifications. À l'issue, la Commission classe sans suite, prononce un avertissement, met en demeure, ou décide d'une sanction selon la gravité.
Quelle est la différence entre médiation et procédure formelle ?
La médiation est un mode de résolution amiable proposé dans certains cas, généralement quand le différend porte sur l'exercice d'un droit (accès, rectification, suppression) et que l'organisation a montré sa bonne foi. La procédure formelle s'engage quand la médiation n'a pas abouti ou quand les faits sont suffisamment graves pour la justifier d'emblée. Les deux ne s'excluent pas — la médiation peut aboutir, échouer puis basculer en formel.
Faut-il un avocat pour répondre à une plainte CNDP ?
Pour les dossiers simples — typiquement une demande d'exercice de droit mal traitée — la réponse peut être préparée en interne ou avec un cabinet conseil spécialisé. Pour les dossiers à enjeu (traitement sensible, manquement caractérisé, exposition pénale, sanction probable), l'avocat spécialisé en droit de la donnée devient indispensable. Le coût d'un cabinet d'avocats à ce moment est presque toujours inférieur au coût d'une sanction mal défendue.
Une décision de la CNDP est-elle susceptible de recours ?
Oui. Les décisions de la Commission peuvent faire l'objet de recours administratifs auprès de la Commission elle-même (réexamen) et, en cas de désaccord persistant, de recours juridictionnels devant le tribunal administratif compétent. En pratique, les recours sont rares pour les avertissements et mises en demeure ; ils se justifient pour les sanctions formelles ayant un impact réputationnel ou financier significatif.