Protection des données (CNDP)

Déclarations et autorisations CNDP : guide pratique | Upsilon Consulting

Salaheddine YatimAbdelhakim Soudi

Salaheddine Yatim, Abdelhakim Soudi

Upsilon Consulting

Partager
Déclarations et autorisations CNDP : guide pratique | Upsilon Consulting

En bref : Toute entreprise qui traite des données personnelles au Maroc doit effectuer une déclaration ou obtenir une autorisation auprès de la CNDP. Ce guide détaille les étapes, les documents requis, les délais légaux et les cas d’exemption prévus par la Loi 09-08.

Introduction : pourquoi déclarer vos traitements à la CNDP ?

La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est l’autorité marocaine chargée de veiller au respect de la Loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Toute entreprise, association ou organisme public qui collecte, stocke ou utilise des données personnelles est concerné.

Ne pas se conformer aux obligations de déclaration ou d’autorisation expose l’entreprise à des sanctions pénales et des amendes pouvant atteindre 300 000 MAD, voire une peine d’emprisonnement. Comprendre la différence entre déclaration et autorisation est donc essentiel pour sécuriser votre activité.

Déclaration ou autorisation : quelle différence ?

La déclaration préalable (régime général)

La déclaration est la formalité standard. Elle s’applique à la majorité des traitements de données personnelles non sensibles. Concrètement, si votre entreprise gère une base de données clients, un fichier de paie ou un système de facturation, vous devez déposer une déclaration préalable auprès de la CNDP.

Le principe est simple : vous informez la CNDP de l’existence de votre traitement, et celle-ci vous délivre un récépissé dans un délai de 24 heures. Ce récépissé vaut autorisation de mise en œuvre du traitement.

L’autorisation préalable (données sensibles)

L’autorisation est requise pour les traitements portant sur des données sensibles : origines raciales ou ethniques, opinions politiques, convictions religieuses, appartenances syndicales, données de santé, données génétiques, données biométriques ou données relatives à des infractions ou condamnations.

La CNDP dispose d’un délai de 30 jours pour statuer sur la demande d’autorisation. Passé ce délai sans réponse, l’autorisation est réputée refusée (silence vaut rejet).

L’autorisation pour les transferts internationaux

Tout transfert de données personnelles vers un pays ne disposant pas d’un niveau de protection adéquat nécessite également une autorisation préalable de la CNDP, conformément aux articles 43 et 44 de la Loi 09-08.

Contenu de la déclaration (Article 15 de la Loi 09-08)

Chaque déclaration ou demande d’autorisation doit contenir les informations suivantes :

  1. Identité du responsable du traitement : nom ou dénomination sociale, adresse du siège social, numéro du registre de commerce.
  2. Finalité du traitement : objectif précis de la collecte et de l’utilisation des données (ex. gestion de la relation client, recrutement, marketing direct).
  3. Catégories de données traitées : nom, prénom, adresse, email, téléphone, données bancaires, etc.
  4. Catégories de personnes concernées : clients, salariés, fournisseurs, prospects.
  5. Destinataires des données : services internes, sous-traitants, partenaires commerciaux.
  6. Transferts internationaux : pays de destination et garanties mises en place.
  7. Durée de conservation : période pendant laquelle les données seront conservées.
  8. Mesures de sécurité : dispositifs techniques et organisationnels pour protéger les données (chiffrement, contrôle d’accès, sauvegardes).

Procédure pas à pas pour la déclaration

Étape 1 : Cartographier vos traitements

Avant toute démarche, recensez l’ensemble des traitements de données personnelles de votre entreprise. Pour chaque traitement, identifiez la finalité, les catégories de données, les personnes concernées et les mesures de sécurité.

Étape 2 : Déterminer le régime applicable

Pour chaque traitement, vérifiez s’il relève de la déclaration simple, de la déclaration simplifiée ou de l’autorisation préalable. Les données sensibles et les transferts internationaux imposent systématiquement l’autorisation.

Étape 3 : Préparer le dossier

Rassemblez les documents suivants :

  • Formulaire de déclaration ou d’autorisation (disponible sur le site de la CNDP)
  • Copie du registre de commerce ou équivalent
  • Description détaillée du traitement selon l’article 15
  • Politique de confidentialité de l’entreprise
  • Mesures de sécurité mises en place

Étape 4 : Déposer la demande

Le dépôt se fait en ligne via la plateforme de la CNDP (https://www.cndp.ma). Vous pouvez également effectuer un dépôt physique au siège de la Commission à Rabat.

Étape 5 : Obtenir le récépissé ou la décision

  • Déclaration : récépissé délivré sous 24 heures.
  • Autorisation : décision sous 30 jours. En cas de dossier incomplet, la CNDP peut demander des pièces complémentaires, ce qui suspend le délai.

Étape 6 : Mettre à jour vos déclarations

Toute modification substantielle du traitement (changement de finalité, ajout de catégories de données, nouveau transfert international) doit faire l’objet d’une nouvelle déclaration ou d’une mise à jour auprès de la CNDP.

Exemptions de déclaration (Article 18)

Certains traitements sont exemptés de déclaration préalable :

  • Les traitements portant sur des données à caractère personnel contenues dans des registres publics destinés à l’information du public et ouverts à la consultation.
  • Les traitements mis en œuvre par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.
  • Les traitements dont la finalité se limite à la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public.

Attention : l’exemption de déclaration ne dispense pas du respect des autres obligations de la Loi 09-08, notamment le droit d’accès, de rectification et d’opposition des personnes concernées.

Déclarations simplifiées (Article 17)

La CNDP peut établir des normes simplifiées pour certaines catégories de traitements qui ne portent manifestement pas atteinte à la vie privée. Dans ce cas, une déclaration simplifiée suffit, avec un formulaire allégé.

Les traitements courants concernés par les normes simplifiées incluent généralement :

  • La gestion de la paie et des ressources humaines
  • La gestion des clients et des fournisseurs
  • La comptabilité générale

Renseignez-vous sur le site de la CNDP pour vérifier si votre traitement est éligible à une norme simplifiée.

Conseils pratiques pour les entreprises

  1. Désignez un responsable interne chargé de la conformité CNDP. Ce référent coordonnera les déclarations et assurera la mise à jour des registres.
  2. Tenez un registre des traitements documenté et à jour. C’est une bonne pratique qui facilite les contrôles éventuels.
  3. Anticipez les délais : ne lancez pas un nouveau traitement avant d’avoir obtenu votre récépissé ou votre autorisation.
  4. Formez vos équipes aux bonnes pratiques de protection des données personnelles.
  5. Faites-vous accompagner par un expert-comptable ou un consultant spécialisé pour sécuriser vos démarches.

Conclusion

La mise en conformité CNDP n’est pas une option : c’est une obligation légale qui protège à la fois votre entreprise et les personnes dont vous traitez les données. En suivant les étapes décrites dans ce guide et en vous assurant de bien distinguer déclaration et autorisation, vous réduisez significativement vos risques juridiques.

Upsilon Consulting accompagne les entreprises dans l’ensemble de leurs démarches de conformité CNDP, de la cartographie des traitements au dépôt des déclarations et demandes d’autorisation.

LIRE ÉGALEMENT

CNDP et Loi 09-08 : guide complet

Sanctions CNDP : risques pénaux et amendes

Transfert international de données au Maroc

Articles connexes

creation-entreprise

Créer une société au Maroc en 2026 : guide complet par un expert-comptable

Créer une société au Maroc en 2026 : 7 étapes, coûts dès 5 000 MAD, SARL, SAS ou SA. Guide complet par un expert-comptab

Lire la suite →
Protection des données (CNDP)

Loi 09-08 et entreprises étrangères au Maroc : obligations CNDP

Obligations CNDP des entreprises étrangères au Maroc : champ territorial, représentant, déclarations, transferts de donn

Lire la suite →
Protection des données (CNDP)

Sanctions CNDP : risques pénaux et amendes pour non-conformité

Détail complet des sanctions CNDP au Maroc : amendes de 10 000 à 300 000 DH, peines de prison, sanctions administratives

Lire la suite →
Protection des données (CNDP)

Transfert international de données personnelles au Maroc : cadre juridique et obligations

Cadre juridique du transfert international de données personnelles au Maroc : Loi 09-08, autorisation CNDP, clauses cont

Lire la suite →

Upsilon

Consulting

Un cabinet independant, une expertise de proximite

Upsilon Consulting est un cabinet d'expertise comptable, d'audit et de conseil fiscal membre de l'Ordre des Experts Comptables du Maroc. Notre equipe de 40+ professionnels accompagne les entreprises marocaines et multinationales depuis plus de 15 ans. Notre approche pluridisciplinaire et notre proximite client nous permettent de vous accompagner avec rigueur et reactivite.

Membres de l'OEC Expertise technique Approche pluridisciplinaire Proximité client

Parlons de votre projet

Contactez-nous pour une consultation gratuite. Nos experts vous repondent sous 24h.

Nous contacter +212 522 202 568
Newsletter

Restez informé des nouveautés fiscales et comptables

Recevez nos analyses, guides pratiques et alertes réglementaires directement dans votre boîte mail. Rejoignez +500 professionnels qui nous font confiance.

Pas de spam. Désabonnement en un clic.

Ils nous font confiance

PfizerAlstomDrägerCFAO MotorsCDG CapitalBourse de Casablanca