Protection des données (CNDP)

Loi 09-08 et entreprises étrangères au Maroc : obligations CNDP | Upsilon Consulting

Abdelhakim SoudiMansour Eddekkaki

Abdelhakim Soudi, Mansour Eddekkaki

Upsilon Consulting

Partager
Loi 09-08 et entreprises étrangères au Maroc : obligations CNDP | Upsilon Consulting

En résumé — Toute entreprise étrangère qui opère au Maroc ou utilise des moyens situés sur le territoire marocain est soumise à la loi 09-08 relative à la protection des données personnelles. Cela implique la désignation d’un représentant local, des déclarations auprès de la CNDP, et des autorisations spécifiques pour les transferts de données vers la maison mère. Ce guide détaille les obligations concrètes et les étapes à suivre pour assurer la conformité.

Pourquoi la loi 09-08 concerne les entreprises étrangères

Le Maroc est devenu une destination privilégiée pour les investisseurs internationaux, les multinationales et les entreprises de nearshoring. Qu’il s’agisse d’implanter une filiale, d’ouvrir un bureau de représentation ou de recourir à des prestataires locaux, ces entreprises collectent et traitent inévitablement des données personnelles sur le sol marocain : données de salariés, de clients, de fournisseurs ou de prospects.

La loi 09-08, promulguée en 2009 et inspirée du modèle européen, encadre strictement ces traitements. Ignorer ces obligations expose l’entreprise à des sanctions pénales, des amendes et un risque réputationnel considérable.

Champ d’application territorial (Article 2)

L’article 2 de la loi 09-08 définit un champ d’application territorial large. La loi s’applique dans deux cas principaux :

Cas 1 : Le responsable du traitement est établi sur le territoire marocain. Cela couvre toute filiale, succursale, bureau de liaison ou entité juridique immatriculée au Maroc. Même si la société mère est basée à l’étranger, dès lors qu’elle dispose d’un établissement au Maroc, la loi s’applique intégralement.

Cas 2 : Le responsable du traitement utilise des moyens situés au Maroc. Cette disposition est plus subtile. Une entreprise qui n’a aucune présence physique au Maroc mais qui utilise des serveurs, des cookies, des sous-traitants ou des partenaires commerciaux situés sur le territoire marocain tombe également sous le coup de la loi. C’est un point crucial pour les entreprises de nearshoring et les plateformes numériques.

Dans les deux cas, l’entreprise doit désigner un représentant au Maroc auprès de la CNDP.

L’obligation de désigner un représentant au Maroc

Lorsqu’une entreprise étrangère est soumise à la loi 09-08 sans être directement établie au Maroc, elle doit obligatoirement désigner un représentant sur le territoire marocain. Ce représentant agit comme point de contact avec la CNDP et les personnes concernées par les traitements.

Le représentant peut être une personne physique ou morale. En pratique, les entreprises font souvent appel à leur filiale locale, à un cabinet d’expertise comptable ou à un cabinet juridique spécialisé. Ce représentant doit être clairement identifié dans les déclarations adressées à la CNDP.

Déclarations et autorisations pour les filiales

Toute filiale d’une entreprise étrangère implantée au Maroc doit effectuer des formalités préalables auprès de la CNDP avant de mettre en œuvre ses traitements de données personnelles.

Déclarations préalables

Les traitements courants (gestion des ressources humaines, fichiers clients, comptabilité, facturation) font l’objet d’une déclaration préalable. Cette déclaration décrit la finalité du traitement, les catégories de données collectées, les destinataires et la durée de conservation.

Autorisations préalables

Certains traitements nécessitent une autorisation préalable de la CNDP, notamment :

  • Les traitements portant sur des données sensibles (santé, opinions politiques, appartenance syndicale, données biométriques)
  • Les traitements d’interconnexion de fichiers ayant des finalités différentes
  • Les traitements comportant des données génétiques
  • Les transferts de données vers des pays ne disposant pas d’un niveau de protection adéquat

Le délai d’instruction par la CNDP est généralement de deux mois pour les autorisations. Il est donc essentiel d’anticiper ces démarches dans le calendrier d’implantation.

Transferts de données vers la maison mère (Articles 43-44)

C’est l’un des points les plus sensibles pour les entreprises étrangères. Les articles 43 et 44 de la loi 09-08 encadrent strictement les transferts de données personnelles vers l’étranger.

Le principe est l’interdiction de transférer des données personnelles vers un pays qui n’assure pas un niveau de protection adéquat. La CNDP établit et met à jour la liste des pays reconnus comme offrant une protection suffisante.

Pour transférer des données vers la maison mère située dans un pays sans protection adéquate, l’entreprise doit obtenir une autorisation spécifique de la CNDP. Cette autorisation peut être accordée si :

  • La personne concernée a donné son consentement explicite
  • Le transfert est nécessaire à l’exécution d’un contrat
  • Le responsable du traitement assure un niveau de protection suffisant par des clauses contractuelles ou des règles internes d’entreprise (équivalent des BCR européennes)

En pratique, les groupes internationaux doivent formaliser des clauses contractuelles types ou des politiques de confidentialité intra-groupe, puis les soumettre à la CNDP pour validation.

Cloud, SaaS et hébergement hors Maroc

L’utilisation croissante de services cloud et de solutions SaaS pose des défis particuliers au regard de la loi 09-08. Lorsqu’une entreprise installée au Maroc utilise un service dont les données sont hébergées sur des serveurs situés à l’étranger, cela constitue un transfert international de données.

Concrètement, cela signifie que :

  • L’utilisation de Microsoft 365, Google Workspace, Salesforce ou tout autre SaaS impliquant un hébergement hors Maroc doit être évaluée au regard des articles 43-44
  • Si le pays d’hébergement ne figure pas sur la liste des pays à protection adéquate, une autorisation de la CNDP est requise
  • Le contrat avec le prestataire cloud doit inclure des garanties sur la sécurité et la confidentialité des données
  • L’entreprise reste responsable du traitement, même si les données sont techniquement gérées par un sous-traitant étranger

Les entreprises de nearshoring sont particulièrement exposées, car leur modèle opérationnel repose souvent sur l’échange permanent de données avec les clients étrangers et l’utilisation d’infrastructures cloud internationales.

Les étapes pratiques pour se mettre en conformité

Voici les démarches concrètes qu’une entreprise étrangère doit entreprendre :

  1. Désigner un représentant au Maroc — Identifiez une personne physique ou morale qui sera votre interlocuteur avec la CNDP.

  2. Cartographier l’ensemble des traitements — Recensez tous les traitements de données personnelles réalisés par votre filiale ou via des moyens situés au Maroc : RH, paie, clients, fournisseurs, vidéosurveillance, marketing, etc.

  3. Effectuer les déclarations préalables — Pour chaque traitement identifié, déposez la déclaration correspondante auprès de la CNDP.

  4. Solliciter les autorisations nécessaires — Pour les données sensibles et les transferts internationaux, préparez et soumettez les demandes d’autorisation.

  5. Sécuriser les transferts internationaux — Mettez en place des clauses contractuelles types ou des règles internes d’entreprise pour encadrer les flux de données vers la maison mère.

  6. Informer les personnes concernées — Mettez à jour vos mentions légales, politiques de confidentialité et contrats de travail pour informer les personnes de leurs droits (accès, rectification, opposition).

  7. Former les équipes locales — Sensibilisez vos collaborateurs marocains aux règles de protection des données et aux procédures internes.

Lien avec les autres obligations de conformité

La conformité CNDP ne s’inscrit pas de manière isolée. Elle s’articule avec d’autres obligations auxquelles les entreprises étrangères sont soumises au Maroc :

  • Obligations fiscales : déclarations IS, TVA, retenue à la source sur les paiements à l’étranger
  • Droit du travail : contrats de travail, CNSS, médecine du travail
  • Obligations comptables : tenue des livres, états de synthèse, commissariat aux comptes

Une approche intégrée de la conformité permet de mutualiser les efforts et de réduire les risques. C’est pourquoi nous recommandons aux entreprises étrangères de s’entourer d’un expert-comptable marocain qui maîtrise ces différentes dimensions.

Due diligence et acquisitions

Pour les entreprises qui envisagent d’acquérir une société marocaine, la conformité CNDP est un élément essentiel de la due diligence. L’absence de déclarations ou d’autorisations peut constituer un passif caché significatif, avec des risques de sanctions pénales pouvant aller jusqu’à un an d’emprisonnement et 300 000 MAD d’amende.

Avant toute acquisition, il est indispensable de vérifier le registre des traitements déclarés, les autorisations obtenues et la conformité des transferts internationaux de données.

Comment Upsilon Consulting vous accompagne

Notre cabinet accompagne les entreprises étrangères dans l’ensemble de leurs démarches de conformité au Maroc, de la création de la filiale à la mise en conformité CNDP, en passant par les obligations fiscales et sociales. Nous intervenons comme représentant CNDP et assurons le suivi de vos déclarations et autorisations.

Contactez-nous pour un diagnostic personnalisé de votre situation.

LIRE ÉGALEMENT

CNDP et Loi 09-08 : guide complet

Déclarations et autorisations CNDP

Sanctions CNDP : risques pénaux et amendes

Articles connexes

creation-entreprise

Créer une société au Maroc en 2026 : guide complet par un expert-comptable

Créer une société au Maroc en 2026 : 7 étapes, coûts dès 5 000 MAD, SARL, SAS ou SA. Guide complet par un expert-comptab

Lire la suite →
Protection des données (CNDP)

Sanctions CNDP : risques pénaux et amendes pour non-conformité

Détail complet des sanctions CNDP au Maroc : amendes de 10 000 à 300 000 DH, peines de prison, sanctions administratives

Lire la suite →
Protection des données (CNDP)

Transfert international de données personnelles au Maroc : cadre juridique et obligations

Cadre juridique du transfert international de données personnelles au Maroc : Loi 09-08, autorisation CNDP, clauses cont

Lire la suite →
Protection des données (CNDP)

Déclarations et autorisations CNDP : guide pratique pour les entreprises

Guide complet des déclarations et autorisations CNDP au Maroc. Procédures, documents, délais et exemptions pour la confo

Lire la suite →

Upsilon

Consulting

Un cabinet independant, une expertise de proximite

Upsilon Consulting est un cabinet d'expertise comptable, d'audit et de conseil fiscal membre de l'Ordre des Experts Comptables du Maroc. Notre equipe de 40+ professionnels accompagne les entreprises marocaines et multinationales depuis plus de 15 ans. Notre approche pluridisciplinaire et notre proximite client nous permettent de vous accompagner avec rigueur et reactivite.

Membres de l'OEC Expertise technique Approche pluridisciplinaire Proximité client

Parlons de votre projet

Contactez-nous pour une consultation gratuite. Nos experts vous repondent sous 24h.

Nous contacter +212 522 202 568
Newsletter

Restez informé des nouveautés fiscales et comptables

Recevez nos analyses, guides pratiques et alertes réglementaires directement dans votre boîte mail. Rejoignez +500 professionnels qui nous font confiance.

Pas de spam. Désabonnement en un clic.

Ils nous font confiance

PfizerAlstomDrägerCFAO MotorsCDG CapitalBourse de Casablanca