Audit conformité CNDP au Maroc — loi 09-08 et décret 2-09-165
Diagnostic complet de votre conformité à la loi marocaine sur la protection des données personnelles. Huit axes audités, un rapport priorisé référencé article par article, un plan de remédiation chiffré sur 90 jours. Aucune accusation, aucune fuite : on vous le dit en silence avant que ça ne s'ébruite.
Périmètre
Huit axes audités, du juridique au technique
Nous traitons la conformité comme un tout. Une politique parfaite couplée à un site sans HSTS, ce n'est pas conforme. Une infrastructure durcie sans déclaration CNDP, non plus.
Déclarations CNDP
Inventaire des traitements existants vs. déclarations F211, F112, F118 et F214 effectivement déposées. Détection des traitements non déclarés, des récépissés expirés et des modifications substantielles non notifiées.Registre des traitements
Contrôle du registre interne (finalités, bases légales, durées de conservation, sous-traitants, mesures de sécurité) selon les exigences de l'article 23 de la loi 09-08 et son décret d'application.Droits des personnes
Vérification des procédures internes pour l'accès, la rectification, l'opposition et la suppression (articles 7 à 11 de la loi 09-08) : canaux de saisine, délais de réponse, traçabilité des demandes.Bases légales et consentement
Audit des consentements recueillis (forme, preuve, retrait) et des autres bases légales mobilisées. Cohérence entre les mentions affichées et les traitements réellement opérés.Transferts internationaux
Cartographie des sous-traitants hors Maroc et des transferts associés (SaaS US, hébergement UE, etc.). Vérification du fondement (autorisation F118, SCC, pays adéquat) et de la documentation contractuelle.Cookies et traceurs
Analyse de la bannière, du blocage runtime effectif des trackers avant consentement, de la finesse du consentement (catégories), et de la persistance des choix. Comparaison avec les exigences CNDP et la directive ePrivacy.Sécurité applicative
Évaluation des mesures techniques exigées par l'article 23 (intégrité, confidentialité, disponibilité) : TLS, en-têtes HTTP de sécurité, gestion des accès, journalisation, sauvegardes, procédure de notification de fuite.Sous-traitance et DPA
Inventaire des sous-traitants, vérification des clauses contractuelles types (DPA), des conditions de sous-traitance ultérieure et des mesures de sécurité imposées contractuellement.
Méthodologie
Six étapes, trois à six semaines
Une méthode reproductible, asynchrone autant que possible, qui ne bloque ni votre DSI ni vos métiers.
- 1
Cadrage initial
Échange de 45 minutes pour comprendre votre activité, vos traitements principaux, vos systèmes (CMS, CRM, ERP, outils marketing) et vos enjeux. Signature d'un accord de confidentialité strict avant tout échange technique.
- 2
Collecte documentaire
Récupération des déclarations CNDP existantes, du registre des traitements, des politiques publiées, des contrats de sous-traitance et de la cartographie des flux de données. Audit asynchrone : nous travaillons sans bloquer vos équipes.
- 3
Analyse non intrusive du site
Inspection externe du site public : en-têtes HTTP, certificats TLS, cookies déposés, trackers tiers, surface de formulaire, présence des mentions obligatoires. Aucune intrusion, aucun scan agressif — uniquement de l'observation publique.
- 4
Entretiens ciblés
Entretiens courts (30 minutes) avec les responsables identifiés (DSI, marketing, RH, juridique) pour comprendre les pratiques réelles et identifier les écarts entre documentation et opérationnel.
- 5
Rapport priorisé
Livraison d'un rapport structuré : constats par axe, niveau de risque (critique / élevé / modéré / faible), références légales précises (article par article), et plan de remédiation chiffré avec ordres de grandeur en temps et en coût.
- 6
Restitution et arbitrages
Atelier de restitution avec votre comité de direction. Arbitrages sur les priorités, fenêtres d'instruction CNDP, allocation interne vs. externalisation. Vous repartez avec une feuille de route opérationnelle sur 90 jours.
Ce que vous recevez concrètement
Tout est actionnable. Aucun livrable n'est purement décoratif. Le rapport est rédigé pour pouvoir être lu par votre direction et exécuté par votre équipe technique.
- Rapport d'audit (40-80 pages) avec constats référencés article par article
- Cartographie visuelle des traitements et des flux de données
- Liste exhaustive des déclarations CNDP manquantes ou à mettre à jour
- Plan de remédiation chiffré (90 jours) avec priorisation par risque
- Modèles immédiatement utilisables (registre, DPA type, procédure de droits)
- Restitution orale avec votre comité de direction
Pour qui
Structures concernées en priorité
L'audit est calibré pour quatre profils dominants au Maroc, mais reste utile à toute organisation manipulant des données personnelles.
PME et ETI marocaines
Sites e-commerce et plateformes
Filiales marocaines de groupes UE
Banques, assurances, santé
Questions fréquentes
Ce qu'on nous demande avant de signer
Combien de temps dure un audit complet ?
Entre 3 et 6 semaines selon la taille de l'organisation et la quantité de systèmes à cartographier. Le rapport final est livré 10 jours ouvrés après la fin des entretiens. Pour les structures de moins de 20 personnes avec un site simple, comptez 3 semaines.
Est-ce que l'audit déclenche un contrôle CNDP ?
Non. L'audit est strictement privé entre vous et nous, protégé par un accord de confidentialité. Aucune information n'est transmise à la CNDP sans votre instruction explicite. Si l'audit révèle des manquements graves, nous vous présentons les options — dont la régularisation spontanée, souvent traitée avec bienveillance par la Commission.
Quelle est la différence avec un audit RGPD ?
La loi 09-08 et son décret 2-09-165 sont structurellement proches du RGPD sur les principes, mais divergent sur les modalités : déclaration préalable obligatoire au Maroc (vs. registre interne UE), autorisation préalable pour les traitements sensibles, formulaires CNDP normés, régime spécifique pour les transferts hors Maroc. Notre audit traite les deux cadres simultanément quand vous êtes exposé aux deux.
Travaillez-vous avec un cabinet d'avocats ?
Quand le dossier le requiert (procédures contentieuses, qualification juridique fine d'un traitement litigieux, accompagnement devant la CNDP), nous coordonnons l'audit avec un cabinet d'avocats spécialisé. Notre intervention reste indépendante et notre rapport est délivrable avec ou sans avocat.
Quel est le tarif d'un audit ?
Le tarif dépend de la taille de l'organisation et du nombre de traitements. À titre indicatif : audit court (TPE/site vitrine) à partir de 25 000 MAD, audit standard (PME multi-systèmes) entre 60 000 et 120 000 MAD, audit étendu (groupe ou secteur régulé) sur devis dédié. Un devis ferme est remis après le cadrage initial gratuit.
Et après l'audit, accompagnez-vous la mise en conformité ?
Oui, mais ce n'est jamais imposé. Vous êtes libre d'exécuter le plan en interne, avec un autre prestataire, ou avec nous. Notre rapport est suffisamment détaillé pour être actionnable par n'importe quelle équipe compétente. Si vous nous confiez la mise en conformité, nous appliquons une remise sur le forfait dédié.
On commence par 45 minutes de cadrage. Sans engagement.
À l'issue de l'échange, vous repartez avec une première opinion qualifiée et un devis ferme si vous souhaitez aller plus loin. Aucune relance commerciale agressive : ce n'est pas la maison.