Aller au contenu principal
DataSouv
Audit
DPO interne ou externe

Désignation DPO au Maroc — qu'il soit interne, externalisé, ou hybride

Le Data Protection Officer n'est pas obligatoire au sens strict de la loi 09-08, mais il devient le point d'ancrage naturel de toute organisation qui prend la conformité au sérieux sur la durée. Nous accompagnons votre DPO interne, ou nous assurons la mission pour vous.

Définir le bon formatD'abord l'audit complet

Deux modes

Choisir en fonction de la taille et de la maturité

DPO interne accompagné

Vous désignez un collaborateur en interne (souvent juridique, IT ou conformité) que nous formons et accompagnons pendant 6 à 12 mois. Adapté aux organisations de plus de 50 personnes qui ont la masse critique pour internaliser progressivement la fonction.

Profil typique

Groupes marocains avec service juridique, structures filiales d'un groupe UE, sociétés régulées (banque, assurance, santé).

DPO externalisé en mission longue

Nous assurons la fonction DPO pour votre compte, avec rapport mensuel, permanence joignable, et présence à votre comité de conformité ou de direction. Mission contractualisée de 12 mois renouvelable, exit clause prévue.

Profil typique

PME, ETI, sites e-commerce, plateformes SaaS qui n'ont pas la masse critique pour internaliser mais qui veulent un DPO compétent et joignable.

Missions récurrentes

Ce qu'un DPO compétent fait au quotidien

Le DPO n'est ni un poste décoratif ni un cumul administratif imposé par une réglementation lointaine. C'est un rôle opérationnel avec des livrables réguliers et une responsabilité face à la direction.

  • Tenue et mise à jour du registre des traitements
  • Veille réglementaire CNDP (délibérations, lignes directrices)
  • Interface avec la CNDP (instruction des dossiers, contrôles, signalements)
  • Conseil sur les nouvelles fonctionnalités produit et leurs impacts conformité
  • Animation des sensibilisations auprès des équipes (RH, marketing, IT, support)
  • Gestion des demandes d'exercice de droits (accès, rectification, opposition)
  • Notification des fuites de données dans les délais réglementaires
  • Rapport mensuel ou trimestriel à la direction

Profil d'un bon DPO

Quatre dimensions, équilibre rare

Le DPO efficace n'est pas qu'un juriste. Il combine technique, droit, indépendance et disponibilité. C'est ce profil que nous formons en interne ou que nous incarnons en mission.

Compétences juridiques

Maîtrise de la loi 09-08 et du décret 2-09-165, connaissance opérationnelle du RGPD (intégration de plus en plus exigée par les partenaires UE), capacité à qualifier juridiquement un traitement.

Compétences techniques

Compréhension des SI courants (CMS, CRM, ERP, SaaS), des architectures cloud, des notions de sécurité applicative (TLS, HSTS, chiffrement, journalisation). Pas besoin d'être ingénieur, mais ne pas être bloqué face à un DSI.

Indépendance

Conformément à la doctrine CNDP et au RGPD, le DPO doit pouvoir saisir la direction sans intermédiaire, ne reçoit pas d'instructions sur le contenu de ses avis, et ne peut pas être sanctionné pour l'exercice de sa mission.

Disponibilité

Joignable dans des délais raisonnables (24-48h) par les personnes concernées et la CNDP. Présence aux moments-clés : audits, lancement de produit, incident, contrôle.

Questions fréquentes

Ce qu'on nous demande sur le DPO

La désignation d'un DPO est-elle obligatoire au Maroc ?

La loi 09-08 ne crée pas d'obligation générale de désignation comparable au RGPD. En revanche, désigner un DPO est fortement recommandé pour les organisations qui traitent des données sensibles, opèrent à grande échelle, ou sont exposées à des contrôles. Pour les filiales marocaines de groupes UE, le DPO du groupe doit pouvoir s'appuyer sur un correspondant local.

Quelle différence entre DPO interne et DPO externalisé ?

Le DPO interne est un collaborateur. Avantages : connaissance fine de la culture, disponibilité quotidienne. Inconvénients : risque de conflit d'intérêt avec ses autres fonctions, coût de formation, courbe d'apprentissage. Le DPO externalisé apporte une expertise immédiate, une indépendance structurelle et un coût prévisible — mais nécessite un point de contact interne pour la coordination quotidienne.

Le DPO peut-il être le DSI ou le juriste interne ?

Possible mais à manier avec précaution : la fonction DPO doit être structurellement indépendante. Un DSI qui est aussi DPO peut se retrouver en conflit d'intérêt s'il doit auditer ses propres décisions techniques. Le juriste interne est généralement un meilleur candidat, à condition qu'il n'ait pas de rôle commercial.

Quel est le tarif d'une mission DPO externalisée ?

À titre indicatif, entre 2 500 et 7 000 MAD par mois selon la taille de l'organisation et l'intensité de la mission. Engagement annuel typique. Forfaits dégressifs pour les engagements pluriannuels ou les groupes multi-entités.

Quels livrables récurrents ?

Rapport mensuel d'activité (synthèse de la veille, demandes traitées, alertes), registre des traitements mis à jour, support documentaire à la direction, support aux audits annuels. En cas d'incident, notification réglementaire dans les délais et accompagnement de la communication CNDP.

Peut-on commencer par une mission courte ?

Oui. Pour les organisations qui découvrent la fonction, nous proposons un format de 3 mois (formation initiale + premier registre + premières demandes d'exercice de droits) qui peut être prolongé en mission longue. C'est souvent la meilleure entrée en matière.

Échange initial gratuit

Interne, externe, ou les deux ?

En 30 minutes, nous identifions le format adapté à votre organisation et vous proposons une trajectoire claire. Sans engagement, sans relance.

Demander un échangeVoir tous les services