RGPD vs loi 09-08 — comparaison article par article
Les deux cadres sont proches sur les principes mais divergent profondément sur les modalités. Cumulatif, pas exclusif : il faut respecter le plus exigeant des deux pour chaque traitement.
La loi 09-08 marocaine et le RGPD européen sont deux cadres juridiques de protection des données personnelles proches dans les principes mais profondément différents dans les modalités. Toute organisation marocaine exposée à l'international — filiale d'un groupe UE, e-commerce expédiant en Europe, prestataire de services pour clients européens, utilisateur massif de SaaS américains — doit articuler les deux.
Ce guide compare les deux textes article par article et identifie ce qu'il faut faire concrètement quand on est exposé aux deux.
1. Historique et structure
| Loi 09-08 (Maroc) | RGPD (UE) | |
|---|---|---|
| Promulgation | 2009 | 2016 |
| Entrée en vigueur | 2009 | 25 mai 2018 |
| Texte d'application | Décret 2-09-165 (2009) | Directement applicable |
| Autorité de contrôle | CNDP (Rabat) | Autorité nationale par État (CNIL en France, DPC en Irlande, etc.) + EDPB au niveau UE |
| Logique générale | Déclaration préalable obligatoire | Accountability + registre interne |
| Nature | Loi nationale | Règlement européen (effet direct) |
Le RGPD a 15 ans de retard sur la loi 09-08, ce qui paraît surprenant — mais le retard tient au cycle législatif européen. Une réforme de la loi 09-08 est attendue depuis plusieurs années pour rapprocher le cadre marocain du RGPD, sans date officielle ferme à ce jour.
2. Champ d'application
2.1 Application territoriale
- Loi 09-08 : s'applique aux traitements opérés au Maroc, aux traitements opérés depuis l'étranger utilisant des moyens situés au Maroc, et aux traitements dirigés vers des personnes au Maroc.
- RGPD : extraterritorial. S'applique à tout traitement de données de personnes situées dans l'UE, peu importe où se trouve l'organisation.
En pratique : un site marocain qui vend à des clients européens est soumis aux deux. Un site européen qui collecte des CV de candidats marocains est soumis aux deux. La double soumission est fréquente.
2.2 Application matérielle
Quasi identique : les deux textes s'appliquent à tout traitement de données personnelles, automatisé ou manuel intégré dans un fichier structuré. Les définitions de « donnée personnelle » et de « traitement » sont très proches.
3. Formalités administratives — la grande différence
C'est le point de divergence le plus opérationnel.
3.1 Loi 09-08 — déclaration préalable systématique
Tout traitement doit faire l'objet d'une déclaration préalable auprès de la CNDP via les formulaires F211 (déclaration normale), F214 (déclaration simplifiée), F112 (autorisation préalable), F113 (autorisation simplifiée), F118 (transfert international). La Commission délivre un récépissé qui doit être affiché publiquement.
C'est un système a priori : on déclare avant de traiter.
3.2 RGPD — accountability et registre interne
Pas de déclaration préalable obligatoire. À la place :
- Un registre des traitements tenu en interne (article 30 du RGPD)
- Une analyse d'impact (DPIA) pour les traitements à risque élevé (article 35)
- Une notification à l'autorité seulement en cas de fuite (article 33)
C'est un système a posteriori : on documente et on assume sa conformité, le contrôle intervient sur signalement ou audit.
3.3 Cumul pour les exposés aux deux
Une organisation marocaine soumise au RGPD doit cumuler :
- Déclarations CNDP (formulaires F211, F214, F112, F113, F118)
- Registre interne RGPD
- DPIA si applicable
- Notification CNDP et notification CNIL (ou autre) en cas de fuite
4. Principes fondamentaux — proches
Les deux textes partagent les principes-clés :
| Principe | Loi 09-08 | RGPD |
|---|---|---|
| Licéité | Art. 4 | Art. 6 |
| Finalité déterminée | Art. 3 | Art. 5(1)(b) |
| Proportionnalité (minimisation) | Art. 3 | Art. 5(1)(c) |
| Qualité (exactitude) | Art. 3 | Art. 5(1)(d) |
| Limitation de la conservation | Art. 3 | Art. 5(1)(e) |
| Sécurité | Art. 23 | Art. 5(1)(f) et Art. 32 |
L'écart porte sur la profondeur : le RGPD est plus précis sur les modalités (ex : « privacy by design » de l'article 25 RGPD, peu détaillé dans la loi 09-08).
5. Droits des personnes concernées
5.1 Droits communs
| Droit | Loi 09-08 | RGPD |
|---|---|---|
| Accès | Art. 7 | Art. 15 |
| Rectification | Art. 8 | Art. 16 |
| Opposition (motif légitime) | Art. 9 | Art. 21 |
| Suppression | Art. 11 (cas limités) | Art. 17 (droit à l'oubli plus large) |
5.2 Droits spécifiques au RGPD
Le RGPD ajoute des droits non explicitement prévus par la loi 09-08 :
- Droit à la portabilité (Art. 20) : récupérer ses données dans un format structuré, lisible par machine, et les transmettre à un autre responsable
- Droit à l'oubli renforcé (Art. 17) : suppression dans des cas plus larges
- Droit de ne pas faire l'objet d'une décision automatisée (Art. 22)
- Droit à la limitation (Art. 18) : geler le traitement plutôt que de le supprimer
Pour les organisations exposées aux deux, proposer ces droits supplémentaires est une bonne pratique même si la loi 09-08 ne l'impose pas explicitement.
6. DPO — obligation différente
- Loi 09-08 : pas d'obligation générale de désigner un DPO. Recommandé pour les structures traitant des données sensibles ou à grande échelle.
- RGPD (Art. 37) : DPO obligatoire dans trois cas — traitement par autorité publique, suivi régulier et systématique à grande échelle, traitement à grande échelle de données sensibles.
Une filiale marocaine d'un groupe UE qui traite à grande échelle doit donc avoir un DPO obligatoire au sens du RGPD, désigné soit en interne soit en mission externalisée.
7. Transferts internationaux — logiques divergentes
7.1 Loi 09-08
Un transfert de données hors du Maroc est soumis à autorisation préalable de la CNDP via le F118, sauf si :
- Le pays destinataire offre un niveau de protection adéquat reconnu par la CNDP
- Le transfert est encadré par des garanties contractuelles suffisantes (SCC, BCR)
7.2 RGPD
Le transfert hors UE/EEE est soumis à :
- Décision d'adéquation de la Commission européenne (Royaume-Uni, Japon, Canada commercial, etc.)
- À défaut, garanties appropriées (SCC, BCR, certification, code de conduite)
- À défaut, dérogations spécifiques (consentement explicite, exécution de contrat, etc.)
7.3 Cas pratique : utiliser Google Workspace au Maroc
- Loi 09-08 : F118 à déposer pour autoriser le transfert vers les datacenters Google hors Maroc, avec SCC documentées
- RGPD : SCC avec Google (déjà fournies par défaut), évaluation du transfert (Transfer Impact Assessment) si applicable
Beaucoup d'organisations marocaines utilisent Google Workspace sans avoir déposé de F118 ni documenté de SCC. C'est l'un des manquements les plus systémiques du marché.
8. Sanctions
8.1 Loi 09-08
- Avertissement, mise en demeure, retrait d'autorisation
- Sanctions pénales : peines d'emprisonnement et amendes selon la nature du manquement
- Réforme attendue pour aligner sur les standards internationaux
8.2 RGPD
- Amendes administratives allant jusqu'à 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros (le plus élevé)
- Pouvoir d'enquête large de l'autorité de contrôle
- Sanctions pénales complémentaires possibles selon les législations nationales
L'écart de sévérité financière est important. Une grande organisation exposée au RGPD doit considérer le risque RGPD comme prioritaire en termes d'impact financier potentiel.
9. Notification des fuites de données
- Loi 09-08 : pas d'obligation explicite. Recommandation forte de notifier la CNDP en cas d'incident significatif, dans une logique de bonne foi.
- RGPD (Art. 33-34) : obligation de notifier l'autorité dans les 72 heures (sauf risque faible pour les personnes), et de notifier les personnes concernées si risque élevé.
Pour une organisation exposée aux deux, la procédure de notification doit être prête avec des templates et des canaux identifiés.
10. Stratégie pratique pour une organisation marocaine exposée
10.1 Faire le tronc commun
- Politique de confidentialité localisée référençant les deux cadres
- Registre des traitements interne (RGPD) + déclarations CNDP (loi 09-08)
- DPA signés avec tous les sous-traitants
- Mesures de sécurité techniques niveau RGPD (qui satisfont mécaniquement l'article 23 de la loi 09-08)
- Procédure de gestion des droits couvrant tous les droits RGPD (qui couvrent mécaniquement ceux de la loi 09-08)
10.2 Ajouter les spécifiques
- F211/F112/F118 pour le Maroc
- DPO RGPD si seuils atteints
- DPIA pour les traitements à risque élevé
- Procédure de notification 72 h pour les fuites
10.3 Documenter la double conformité
Avoir un dossier de conformité unique mentionnant les deux cadres rassure les auditeurs, les clients, les partenaires UE et les autorités. Un signal de maturité organisationnelle.
11. Ressources
- Guide pilier — Conformité CNDP au Maroc 2026
- F211 — mode d'emploi
- Récépissé CNDP — délai et procédure
- Service — Audit conformité CNDP (couvre RGPD si applicable)
- Site officiel CNDP
- Site officiel CNIL — RGPD
Cumulatif, pas exclusif. La règle d'or pour les organisations marocaines exposées : appliquer le plus exigeant des deux cadres pour chaque traitement. La complexité apparente disparaît dès qu'on accepte cette logique : on documente une fois, on respecte les deux. C'est l'approche que nous appliquons systématiquement chez DataSouv pour les filiales de groupes UE et les exportateurs marocains.
Hicham E. — spécialiste CNDP et RGPD, contributeur DataSouv. Article relu et validé par Amine Rais, fondateur.
Questions fréquentes
Si je respecte le RGPD, suis-je automatiquement conforme à la loi 09-08 ?
Non. Le RGPD couvre les principes et la majeure partie des droits, mais la loi 09-08 ajoute des obligations formelles spécifiques au Maroc : déclaration préalable systématique (F211/F112), formulaires CNDP normés, autorisation préalable pour les transferts (F118), affichage du récépissé. Ces obligations administratives ne sont pas substituables par une conformité RGPD seule.
Et l'inverse — si je suis conforme à la loi 09-08, suis-je conforme au RGPD ?
Pas non plus. Le RGPD impose des obligations que la loi 09-08 ne prévoit pas explicitement : notification de fuite dans les 72 heures, droit à la portabilité, droit à l'oubli, désignation d'un DPO dans certains cas, sanctions financières lourdes. Une organisation exposée aux deux cadres doit appliquer le plus exigeant des deux pour chaque traitement.
Mon site marocain destiné à des clients marocains est-il concerné par le RGPD ?
Si vous traitez uniquement des données de personnes situées au Maroc et que vous n'offrez pas de biens/services à des personnes dans l'UE, le RGPD ne s'applique pas directement. En revanche, dès qu'il y a un visiteur ou client européen, un export vers l'UE, ou un sous-traitant UE, l'extraterritorialité du RGPD entre en jeu. En 2026, peu de sites professionnels échappent totalement à cette exposition.
Quels sont les chantiers de mise en conformité communs ?
Politique de confidentialité claire et localisée, mentions au point de collecte, registre des traitements, DPA avec les sous-traitants, mesures de sécurité techniques (TLS, HSTS, en-têtes HTTP), procédure de gestion des droits, formation des équipes. Ces chantiers sont quasi identiques pour les deux cadres et constituent le tronc commun de toute mise en conformité sérieuse.