DataConfo

Contactez-Nous

Accompagnement conformité Loi 09-08 | De la loi à la certification ISO

La mise en conformité à la Loi 09-08, un levier de confiance et de performance durable.

Nous accompagnons les organisations dans l’intégration de la conformité à la Loi 09-08 dès la conception de leurs activités, processus et services.

Cette approche permet de protéger les droits des personnes concernées, de structurer durablement les traitements de données et de réduire les risques juridiques, opérationnels et réputationnels.

🛡️ Audit de conformité

Évaluation ciblée des traitements de données existants afin de consolider les acquis, identifier les écarts de conformité et sécuriser durablement l’organisation au regard de la Loi 09-08.

Réduction des risques, décisions éclairées et continuité réglementaire.

🔎 Diagnostic de conformité

Analyse globale des traitements de données (RH, clients, fournisseurs, outils, partenaires) afin d’identifier les obligations CNDP, les non-conformités et les actions prioritaires.

Vision claire, feuille de route opérationnelle et priorisation efficace.

🧭 Accompagnement Start-up & Création

Accompagnement des start-up et projets en création pour intégrer la conformité dès l’origine : RH, clients, fournisseurs, produits et services, selon une approche privacy by design.

Gain de temps, coûts maîtrisés et croissance sécurisée.

Solutions sectorielles de mise en conformité – Approche Quick-Win

Des dispositifs adaptés aux enjeux spécifiques de chaque secteur, pour une conformité rapide, ciblée et maîtrisée.

🛒 Solution E-commerce & Site Web

Diagnostic rapide et mise en conformité des sites e-commerce et plateformes digitales : hébergement, gestion des clients, fournisseurs et sous-traitants.

Confiance des utilisateurs renforcée, réduction du risque juridique et activité en ligne sécurisée.

🏨 Solution Hôtellerie & Tourisme

Mise en conformité des traitements de données clients, RH, fournisseurs et dispositifs de vidéosurveillance, adaptée aux flux de voyageurs.

Image renforcée, responsabilités maîtrisées et conformité opérationnelle durable.

🎓 Solution Secteur d’Éducation

Mise en conformité des traitements pédagogiques, administratifs et RH, incluant les dispositifs de surveillance, avec une attention renforcée à la protection des mineurs.

Responsabilité assumée, confiance des familles et cadre éducatif sécurisé.

Nos accompagnements sont proposés en packs standards ou sur mesure, selon vos activités, enjeux et niveau de maturité.

Nous proposons également des programmes de formation en conformité data et normes ISO afin de renforcer les compétences des équipes.

Contactez-Nous

Accompagnement sur mesure, de la conformité à la certification

Un pilotage global et structuré pour sécuriser durablement votre conformité data.

Nous accompagnons les organisations dans une démarche complète et structurée de conformité data, depuis l’analyse des traitements jusqu’à la certification ISO.

Cette approche intégrée permet de sécuriser les décisions, de maîtriser les risques réglementaires et d’ancrer durablement la conformité au cœur de la gouvernance de l’organisation.

Notre approche garantit un pilotage structuré, des décisions sécurisées et une conformité mesurable, durable et alignée avec les standards internationaux.

Démarrer un accompagnement de conformité

Loi 09-08 au Maroc : comprendre simplement vos obligations et vos droits

La loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel constitue le socle juridique de la data privacy au Maroc. Elle encadre strictement la collecte, l’utilisation, la conservation et la circulation des données personnelles, afin de garantir le respect de la vie privée et des libertés fondamentales.

Pour les entreprises publiques et privées, la loi 09-08 n’est pas seulement une obligation légale : c’est un enjeu de gouvernance, de confiance et de performance durable.

Parlons le même langage : définitions essentielles

Avant d’entrer dans les obligations et les droits, il est essentiel d’utiliser un langage commun, fidèle aux définitions prévues par l’article 1 de la loi 09-08.

  • Données sensibles : données qui révèlent ou concernent notamment l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’état de santé, la vie sexuelle, ainsi que les données génétiques ou biométriques.
  • Donnée à caractère personnel : toute information, quel qu’en soit le support, permettant d’identifier directement ou indirectement une personne physique.
  • Personne concernée : toute personne physique identifiée ou identifiable dont les données font l’objet d’un traitement.
  • Traitement de données : toute opération ou ensemble d’opérations portant sur des données personnelles (collecte, enregistrement, conservation, consultation, utilisation, communication, suppression…).
  • Responsable de traitement : la personne physique ou morale qui détermine les finalités et les moyens du traitement.
  • Sous-traitant : toute personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement.
À qui s’applique réellement la loi 09-08 ?

La loi n°09-08 s’applique de manière large, conformément à l’article 2, à toute personne, qu’elle soit :

  • personne physique ou personne morale,
  • du secteur public ou privé,
  • mettant en œuvre un traitement de données à caractère personnel, automatisé ou non.

Ainsi, la loi concerne aussi bien :

  • qu’une personne physique lorsqu’elle traite des données en dehors du cadre strictement personnel ou domestique.
  • une entreprise ou une administration,
  • une association,
  • un professionnel indépendant,
Quels traitements sont exclus du champ d’application de la loi 09-08 ? (hors champ)

La loi prévoit explicitement des cas d’exclusion, qui doivent être interprétés de manière stricte, conformément à l’article 3.

Sont hors champ :

  • les traitements effectués par une personne physique dans le cadre exclusivement personnel ou domestique,
  • les traitements relatifs à la sûreté de l’État, à la défense nationale ou à la sécurité publique, lorsqu’ils sont encadrés par des textes spécifiques.

Ces exclusions constituent des exceptions et ne doivent pas être étendues au-delà de ce que prévoit la loi.

Qu’est-ce qu’une donnée à caractère personnel au sens de la loi 09-08 ?

Selon l’article 1, est considérée comme donnée à caractère personnel toute information permettant d’identifier directement ou indirectement une personne physique.

Données à caractère personnel dites « classiques »

  • identité (nom, prénom, CIN),
  • coordonnées (adresse, téléphone, email),
  • données professionnelles,
  • identifiants numériques,
  • images et vidéos permettant l’identification d’une personne.

Données à caractère personnel sensibles : un régime juridique renforcé

Contrairement à une idée répandue, les données sensibles ne sont pas absolument interdites.

Conformément aux articles 1 et 21 de la loi 09-08, leur traitement est strictement encadré et soumis à des conditions et mesures renforcées, ainsi qu’à une autorisation préalable de la CNDP.

Ce régime vise à prévenir les atteintes graves aux droits et libertés des personnes.

Je suis une personne physique : quels sont mes droits sur mes données personnelles ?

Toute personne concernée bénéficie, en vertu de la loi 09-08, des droits suivants :

  • droit à l’information lors de la collecte des données (article 5),
  • droit d’accès aux données la concernant (article 7),
  • droit de rectification des données inexactes ou incomplètes (article 8),
  • droit d’opposition, pour des motifs légitimes, au traitement de ses données (article 9).

Ces droits sont opposables à tout responsable de traitement.

Quelles sont les obligations légales du responsable de traitement ?

Le responsable de traitement, défini à l’article 1, est juridiquement tenu d’assurer la conformité du traitement.

Ses obligations principales, prévues notamment aux articles 12 à 18 et 23 à 26 incluent :

  • la limitation de l’accès aux données aux seules personnes habilitées,
  • la déclaration préalable ou la demande d’autorisation auprès de la CNDP,
  • le respect des finalités déclarées,
  • la mise en place de mesures de sécurité adaptées.
Le transfert de données personnelles à l’étranger est-il soumis à autorisation ?

Oui. En vertu des articles 43 et 44, tout transfert de données personnelles vers l’étranger est soumis à une autorisation préalable de la CNDP.

Le régime est toutefois plus souple lorsque le pays destinataire assure un niveau de protection adéquat, tel que reconnu par une délibération de la CNDP.

Cette souplesse ne constitue pas une exemption, mais un cadre d’instruction facilité.

Quelles sanctions prévoit la loi 09-08 en cas de non-respect ?

Les articles 51 à 66 prévoient des sanctions pénales pouvant comprendre :

  • Traitement sans autorisation ou retrait du consentement : 10 000 à 100 000 MAD ;
  • Refus de droits d’accès, rectification ou opposition : 20 000 à 200 000 MAD ;
  • Traitement illicite ou conservation illégale : 3 mois à 1 an de prison et/ou 20 000 à 200 000 MAD ;
  • Données sensibles sans consentement : 50 000 à 300 000 MAD ; la récidive double les peines ;
  • Récidive et personnes morales : sanctions doublées, mesures complémentaires possibles.
Pourquoi faut-il intégrer la conformité loi 09-08 dès la conception des projets ?

La loi 09-08 est impérative et doit être respectée.

Concevoir des produits, services ou organisations sur la base de pratiques non conformes expose à :

  • des coûts élevés de mise en conformité a posteriori,
  • des remises en cause techniques et organisationnelles lourdes,
  • des risques juridiques et réputationnels significatifs.

Intégrer la conformité dès l’amont est un choix stratégique de gouvernance et de pérennité.

Vous trouverez ci-après le texte officiel de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, applicable au Maroc.

Télécharger