DataConfo

Contactez-Nous

Comment faire une déclaration CNDP en 2026 : guide pratique étape par étape

DataConfo

Toute entreprise marocaine qui collecte ou traite des données à caractère personnel est tenue de le notifier à la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel) avant la mise en œuvre du traitement. Cette obligation découle de l’article 12 de la loi n° 09-08.

Son non-respect expose l’entreprise à une amende de 10 000 à 100 000 MAD (article 52), voire à des peines d’emprisonnement pour les infractions les plus graves. Ce guide vous accompagne pas à pas dans la réalisation de votre déclaration CNDP en 2026.

Déclaration ou autorisation : comprendre la différence fondamentale

La loi 09-08 prévoit deux régimes de notification distincts. Les confondre est l’erreur la plus fréquente des entreprises marocaines.

Le régime de la déclaration préalable

C’est le régime de droit commun, défini à l’article 13 de la loi 09-08. Il concerne la majorité des traitements courants. La loi prévoit que la CNDP délivre un récépissé dans un délai de 24 heures suivant le dépôt (article 19), bien qu’en pratique ce délai puisse varier selon la charge de la Commission et la conformité du dossier. Vous pouvez mettre le traitement en œuvre dès réception de ce récépissé.

Exemples de traitements relevant de ce régime :

  • Gestion des clients — délibération n° 32-2015
  • Vidéosurveillance — délibération n° 350-2013
  • Géolocalisation des véhicules — délibération n° 17-2014
  • Newsletters — délibération CNDP du 28/11/2025
  • Vente en ligne — délibération n° 508-AU-2014
  • Cookies et traceurs web — délibération n° D-939-2025 du 28/11/2025

Cette liste est donnée à titre indicatif et n’est pas exhaustive. La CNDP adopte régulièrement de nouvelles délibérations encadrant des traitements spécifiques. Le régime applicable à votre situation doit être déterminé au cas par cas en fonction de la nature exacte de vos traitements.

Le régime de l’autorisation préalable

Il est exigé pour les traitements présentant des risques particuliers pour les droits et libertés des personnes. Le délai est plus long car la CNDP examine le dossier au fond.

Exemples de traitements relevant de ce régime (article 12, alinéa 1 de la loi 09-08) :

  • Données sensibles : origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenances syndicales, données de santé (article 21)
  • Données génétiques (hors médecine)
  • Données comportant le numéro de CIN
  • Interconnexion de fichiers à finalités différentes
  • Gestion des fournisseurs — délibération n° 98-AU-2015
  • Gestion RH — délibération n° 298-AU-2014

D’autres traitements peuvent relever du régime d’autorisation selon leurs caractéristiques. L’article 20 de la loi 09-08 permet également à la CNDP de soumettre un traitement initialement déclaré au régime d’autorisation si elle estime qu’il présente des risques manifestes.

Les principaux formulaires CNDP

La CNDP met à disposition plusieurs formulaires accessibles sur la plateforme CNDP-FORMS. Voici les principaux :

FormulaireCodeUsage courant
Déclaration normaleF-211Traitements standards sans délibération spécifique
Déclaration conforme à une décisionF-214Traitements encadrés par une délibération CNDP (ex. : clients, vidéosurveillance)
Autorisation préalableF-112Traitements nécessitant une autorisation (ex. : données sensibles, CIN)
Autorisation conforme à une décisionF-113Traitements sous autorisation avec délibération (ex. : fournisseurs, RH)
Transfert données à l’étrangerF-118Tout transfert hors Maroc

D’autres formulaires spécifiques peuvent s’appliquer selon les cas. Le choix du bon formulaire dépend de la nature exacte de votre traitement, des données concernées et de la délibération CNDP applicable.

Les pièces à fournir

Documents obligatoires pour toute notification :

  • Copie du document de collecte du consentement au traitement des données
  • Copie de la mention d’information conforme aux mentions types CNDP (article 5 de la loi 09-08)
  • Copie du contrat de sous-traitance avec clauses de confidentialité (le cas échéant)
  • Document attestant du pouvoir de signature

Exemples de documents complémentaires selon le traitement :

TraitementPièce complémentaire
VidéosurveillanceCopie du pictogramme d’information
Gestion fournisseursCopie du modèle de contrat avec clause protection données
Alerte professionnelleEngagement de conformité du responsable de traitement
Reconnaissance facialeDescriptif technique du système + note de privacy by design
Transfert étranger (pays non adéquat)Clauses contractuelles ou BCR ou consentement exprès

Les pièces requises varient selon le type de traitement et les exigences spécifiques de chaque délibération CNDP. Un dossier complet dès le premier dépôt est la clé pour éviter les retards.

La procédure étape par étape

Étape 1 — Cartographier vos traitements

Identifiez tous les traitements de données personnelles de votre organisation. Pour chaque traitement, documentez :

  • La finalité précise
  • Les catégories de données collectées
  • Les catégories de personnes concernées
  • Les destinataires des données
  • La durée de conservation
  • Les mesures de sécurité en place
  • Les éventuels transferts à l’étranger

Conseil DataConfo : utilisez le format du registre des traitements dès cette étape. Chaque traitement identifié = une notification CNDP distincte.

Étape 2 — Déterminer le régime applicable

Pour chaque traitement, vérifiez s’il relève de la déclaration ou de l’autorisation en vous référant à l’article 12 de la loi 09-08 et aux délibérations CNDP correspondantes.

Étape 3 — Préparer les documents de conformité

Rédigez les mentions d’information conformes à l’article 5 de la loi 09-08. Elles doivent inclure :

  • L’identité du responsable du traitement
  • Les finalités du traitement
  • Les destinataires ou catégories de destinataires
  • Le caractère obligatoire ou facultatif des réponses
  • L’existence des droits d’accès, de rectification et d’opposition (articles 7, 8 et 9)
  • Les caractéristiques du récépissé CNDP (une fois obtenu)

Étape 4 — Déposer votre dossier CNDP

AcLe dépôt de votre notification peut se faire de deux manières :

  • En ligne : via la plateforme CNDP-FORMS, accessible sur le site de la CNDP.
  • Physiquement : par dépôt direct des formulaires appropriés au siège de la CNDP ou par courrier recommandé.

Dans les deux cas, remplissez le formulaire adéquat, joignez l’ensemble des pièces justificatives et conservez un accusé de réception de votre dépôt.

Délais :

  • Déclaration : la loi prévoit la délivrance du récépissé sous 24 heures (article 19). En pratique, le délai effectif peut varier selon la charge de traitement de la CNDP et la complétude du dossier déposé. Un dossier incomplet entraînera des demandes de compléments qui allongeront le processus.
  • Autorisation : délai variable. La CNDP examine le dossier au fond. Le délai dépend de la complexité du traitement, de la qualité du dossier et de la charge de la Commission. Prévoyez plusieurs semaines à plusieurs mois.
  • Transfert étranger : traitement spécifique. Les délais dépendent notamment de la nature des garanties présentées.

Conseil DataConfo : la qualité et la complétude de votre dossier initial sont le premier facteur d’accélération. Un dossier bien préparé réduit considérablement les allers-retours avec la CNDP.

Étape 5 — Intégrer le numéro de récépissé

Une fois le récépissé ou l’autorisation obtenu(e), intégrez son numéro dans toutes vos mentions d’information, vos formulaires de collecte et vos conditions générales.

Exemple de mention type CNDP :

Conformément à la loi n° 09-08, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à [adresse]. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement de vos données. Ce traitement a été notifié et autorisé par la CNDP au titre du récépissé / de l’autorisation n° [numéro] du [date].

FAQ : déclaration CNDP

Combien coûte une déclaration CNDP ?

Le dépôt de la déclaration ou de la demande d’autorisation auprès de la CNDP est gratuit. Cependant, la préparation du dossier (mentions, contrats, cartographie) nécessite une expertise juridique spécialisée.

Peut-on exercer un traitement en attendant l’autorisation ?

Pour une déclaration, oui : dès réception du récépissé. La loi prévoit un délai de 24h (article 19), mais en pratique ce délai peut varier. Pour une autorisation, non : il faut attendre la décision de la CNDP. Mettre en œuvre un traitement sans autorisation expose à l’amende de l’article 52.

Que se passe-t-il si mon traitement existant n’a jamais été déclaré ?

Vous êtes en infraction. Il est impératif de régulariser votre situation en déposant les notifications appropriées. Les délibérations CNDP récentes prévoient explicitement que les traitements existants doivent être mis en conformité.

La déclaration CNDP : une obligation légale, un avantage compétitif

Si vous avez lu ce guide jusqu’ici, vous avez compris l’essentiel : la notification CNDP n’est pas une simple formalité administrative. C’est un processus qui exige une cartographie précise de vos traitements, le choix du bon régime et du bon formulaire, la rédaction de documents juridiques conformes, et un suivi dans la durée.

Chaque entreprise a une situation unique : nombre de traitements, secteur d’activité, sous-traitants étrangers, données sensibles ou non. Le risque principal n’est pas de ne pas savoir qu’il faut déclarer — c’est de mal déclarer, d’utiliser le mauvais formulaire, d’omettre un traitement ou de déposer un dossier incomplet qui sera rejeté.

Les entreprises qui disposent de leur récépissé CNDP en tirent un avantage concret :

  • Appels d’offres — de plus en plus de marchés publics et privés exigent une preuve de conformité loi 09-08
  • Partenariats internationaux — vos partenaires européens soumis au RGPD veulent des garanties de votre part
  • Confiance clients — afficher le numéro de récépissé CNDP sur votre site est un signal de sérieux
  • Protection juridique — en cas de contrôle CNDP, un dossier bien préparé est votre meilleure défense

DataConfo est un cabinet marocain spécialisé en Data Privacy et gouvernance de l’IA. Un seul interlocuteur, du local à l’international : DPO externalisé, notifications CNDP, conformité RGPD, implémentation ISO 27701 et formations certifiantes. Votre one-stop shop pour une conformité acceptée du premier coup et durable.

Vous ne savez pas par où commencer ? Vous avez des traitements jamais déclarés ? Vous préparez un appel d’offres qui exige la conformité CNDP ?

Demandez votre diagnostic de conformité gratuit

30 minutes pour identifier vos traitements prioritaires et le plan d’action adapté à votre situation.

Sources : Loi n° 09-08 (articles 12 à 20) — Décret n° 2-09-165 du 21 mai 2009 — Délibérations CNDP — Procédure de notification des traitements CNDP.

Categories: , ,

Latest Posts

Categories

Tags