Guide

Loi 09-08 Maroc : Guide Protection des Données 2026

Loi 09-08 au Maroc : obligations de déclaration auprès de la CNDP, droits des personnes, sanctions et guide de mise en conformité pour entreprises 2026.

RMG Solutions8 avril 202616 min de lecture

← Toutes les ressources

Vos traitements de données sont probablement non déclarés

Chaque jour, votre entreprise collecte des données personnelles : noms et coordonnées de clients dans un CRM, fiches salariés avec RIB et numéros de CNSS, enregistrements vidéo dans un parking ou un entrepôt, listes de prospects importées d'un fichier Excel. Ces traitements sont soumis à la loi 09-08 au Maroc depuis 2009. Pourtant, selon les estimations de la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP), la majorité des entreprises marocaines n'ont jamais effectué la moindre déclaration.

Jusqu'en 2024, cette situation n'avait que peu de conséquences pratiques. La CNDP privilégiait la sensibilisation sur la répression. Ce n'est plus le cas. Depuis début 2025, l'autorité a lancé des campagnes de contrôle sectoriel ciblées, adressé des mises en demeure formelles à des hôtels, des universités et des entreprises pharmaceutiques, et durci son discours sur les sanctions pénales. Ce guide vous explique ce que la loi exige, ce que risque votre entreprise, et comment vous mettre en conformité sans vous y perdre.

Qu'est-ce que la loi 09-08 ?

La loi n° 09-08 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel a été promulguée par le dahir n° 1-09-15 du 18 février 2009. Elle est entrée en vigueur deux ans plus tard, en mars 2011, après la mise en place de la CNDP et la publication du décret d'application n° 2-09-165 du 21 mai 2009.

Le texte s'inspire directement de la directive européenne 95/46/CE et transpose ses grandes lignes dans le droit marocain. C'est cette parenté avec le cadre européen qui explique pourquoi la loi 09-08 est souvent qualifiée de "RGPD marocain" - même si les deux textes diffèrent sur des points importants que nous détaillons plus loin.

Le champ d'application

La loi s'applique à tout responsable de traitement (entreprise, association, administration) qui collecte ou utilise des données personnelles au Maroc, que ce soit sur support numérique ou papier. Elle couvre également les traitements effectués hors du Maroc lorsque le responsable utilise des moyens situés sur le territoire marocain.

Une donnée personnelle au sens de la loi est toute information permettant d'identifier directement ou indirectement une personne physique : nom, adresse, email, numéro de téléphone, numéro CIN, données de santé, données biométriques, adresse IP, données de géolocalisation.

La CNDP : son rôle et ses pouvoirs

La Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) est l'autorité de contrôle créée par la loi 09-08. Elle dispose de trois types de pouvoirs :

Pouvoir de contrôle : mener des enquêtes sur place, auditer les systèmes, exiger la communication de tout document utile
Pouvoir de sanction : prononcer des avertissements, des mises en demeure, des suspensions de traitement
Pouvoir de saisine pénale : transmettre des dossiers au parquet pour poursuites pénales lorsque les infractions le justifient

Les principes fondamentaux

La loi 09-08 repose sur sept principes que tout traitement de données personnelles doit respecter. Ces principes ne sont pas de simples déclarations d'intention : leur violation peut être sanctionnée.

1. Licéité et consentement. Tout traitement doit reposer sur une base légale : consentement de la personne concernée, exécution d'un contrat, respect d'une obligation légale, ou intérêt légitime du responsable de traitement. Le consentement doit être libre, spécifique et informé.

2. Finalité déterminée. Les données ne peuvent être collectées que pour des finalités précises, explicites et légitimes. Collecter des données client pour la facturation, puis les réutiliser pour du profilage commercial sans information préalable constitue une violation de ce principe.

3. Proportionnalité. Seules les données strictement nécessaires à la finalité déclarée peuvent être collectées. Demander le numéro de pièce d'identité pour s'inscrire à une newsletter, par exemple, ne respecte pas ce principe.

4. Exactitude. Les données doivent être exactes et tenues à jour. Le responsable de traitement doit prévoir des mécanismes permettant aux personnes de corriger leurs informations.

5. Conservation limitée. Les données ne peuvent pas être conservées indéfiniment. Des durées de conservation doivent être définies et respectées selon la finalité du traitement. Pour la paie, par exemple, les bulletins doivent être conservés 5 ans après la fin du contrat de travail.

6. Sécurité. Le responsable de traitement doit mettre en oeuvre des mesures techniques et organisationnelles adaptées pour protéger les données contre l'accès non autorisé, la divulgation, l'altération ou la destruction.

7. Droits des personnes. Les personnes concernées disposent de droits opposables (détaillés dans la section suivante) que le responsable de traitement doit respecter et faciliter.

Obligations des entreprises

La déclaration préalable à la CNDP

C'est l'obligation la plus méconnue et la plus fréquemment violée. Avant de mettre en oeuvre tout traitement de données personnelles, le responsable de traitement doit effectuer une déclaration auprès de la CNDP. Cette déclaration décrit la nature du traitement, sa finalité, les catégories de données collectées, les destinataires, les durées de conservation et les mesures de sécurité.

Certains traitements courants bénéficient d'un régime de dispense de déclaration défini par la CNDP (gestion des ressources humaines pour les employés, comptabilité, etc.) à condition de respecter des conditions précises. Tous les autres traitements doivent être déclarés.

L'autorisation préalable pour les données sensibles

Pour les traitements portant sur des catégories de données dites "sensibles", une simple déclaration ne suffit pas : il faut obtenir une autorisation préalable de la CNDP. Sont considérées comme sensibles :

Les données relatives à la santé ou à la vie sexuelle
Les données révélant l'origine raciale ou ethnique
Les opinions politiques, convictions religieuses ou philosophiques
L'appartenance syndicale
Les données génétiques et biométriques
Les données relatives aux infractions, condamnations et mesures de sûreté

Pour une clinique qui gère des dossiers médicaux, une entreprise qui utilise la reconnaissance faciale pour le contrôle d'accès, ou un cabinet RH qui traite des données relatives à des convictions syndicales, cette autorisation est obligatoire avant tout début de traitement.

Le registre des traitements

La loi exige que chaque responsable de traitement tienne un registre interne documentant l'ensemble de ses traitements de données. Ce registre doit contenir, pour chaque traitement : la finalité, les catégories de données, les destinataires, les durées de conservation, et les mesures de sécurité mises en oeuvre.

Ce registre est à la fois un outil de pilotage interne et la preuve, en cas de contrôle CNDP, que l'entreprise gère ses traitements de façon organisée. Notre service de conformité réglementaire accompagne les entreprises dans la constitution de ce registre et dans l'ensemble des démarches de mise en conformité loi 09-08.

Pour évaluer rapidement votre niveau actuel de maturité organisationnelle (gouvernance, registre, sécurité, formation), notre évaluateur de conformité DGSSI couvre des contrôles directement applicables aux exigences de la loi 09-08.

L'information des personnes concernées

Lors de la collecte de données, la personne concernée doit être informée, de façon claire et lisible, des éléments suivants :

L'identité du responsable de traitement
La finalité du traitement
Le caractère obligatoire ou facultatif des réponses
Les destinataires des données
Ses droits d'accès, rectification et opposition

Dans la pratique, cela se traduit par des mentions légales sur les formulaires de contact, une politique de confidentialité sur le site web, et des clauses spécifiques dans les contrats de travail ou les CGV.

Les transferts internationaux de données

Tout transfert de données personnelles vers un pays étranger est soumis à autorisation préalable de la CNDP, sauf si le pays destinataire assure un niveau de protection adéquat (les pays de l'Union Européenne remplissent cette condition). Cette obligation concerne directement les entreprises marocaines qui hébergent leurs données chez des fournisseurs cloud américains ou qui envoient des données à des filiales ou partenaires étrangers.

2009

Année de promulgation

300 000 DH

Amende maximale

2 ans

Peine maximale d'emprisonnement

5 droits

Droits opposables des personnes

Droits des personnes concernées

La loi 09-08 confère aux personnes physiques dont les données sont traitées cinq droits opposables. En tant que responsable de traitement, votre entreprise doit être en mesure de répondre à toute demande d'exercice de ces droits dans un délai raisonnable.

Droit d'accès. Toute personne peut demander à savoir si des données la concernant sont traitées, et si oui, en obtenir une copie. La réponse doit être fournie dans un délai de 30 jours.

Droit de rectification. La personne peut demander la correction de toute donnée inexacte ou incomplète. Ce droit est particulièrement pertinent pour des données qui évoluent dans le temps : adresse, coordonnées bancaires, situation familiale.

Droit d'opposition. La personne peut s'opposer au traitement de ses données pour des raisons légitimes, notamment pour des traitements à des fins commerciales ou de prospection. Ce droit doit être matériellement possible : un bouton de désinscription fonctionnel dans les emails marketing, par exemple.

Droit de suppression. La personne peut demander la suppression de ses données lorsqu'elles ne sont plus nécessaires, que le consentement est retiré, ou que le traitement est illicite. Ce droit connaît des limites : les données dont la conservation est imposée par la loi (registres comptables, bulletins de paie) ne peuvent pas être supprimées à la demande.

Droit à la portabilité (partiel). Bien que moins développé que dans le RGPD européen, la loi 09-08 prévoit des mécanismes permettant à la personne concernée de récupérer ses données dans un format utilisable.

Besoin d'un accompagnement ?

Laissez vos coordonnées, un expert RMG Solutions vous recontacte sous 24h.

Sanctions en cas de non-conformité

Sanctions administratives

La CNDP dispose d'un arsenal de sanctions administratives progressif :

L'avertissement : premier niveau, envoyé par courrier officiel. Il signale un manquement et demande une mise en conformité dans un délai fixé, en général 30 à 90 jours.
La mise en demeure : si l'avertissement reste sans effet, la CNDP met formellement en demeure le responsable de traitement de se conformer. Ce document peut être rendu public.
La suspension du traitement : la CNDP peut ordonner la suspension temporaire (jusqu'à 3 mois) d'un traitement non conforme.
Le retrait d'autorisation : pour les traitements soumis à autorisation préalable, l'autorisation peut être retirée, ce qui impose l'arrêt immédiat du traitement.

Sanctions pénales

Les infractions à la loi 09-08 sont également constitutives d'infractions pénales. Le code pénal marocain, tel que modifié par la loi, prévoit :

Infraction	Amende	Emprisonnement
Traitement sans déclaration ou autorisation	10 000 à 100 000 DH	3 mois à 1 an
Traitement de données sensibles sans autorisation	50 000 à 300 000 DH	6 mois à 2 ans
Collecte déloyale ou illicite	10 000 à 100 000 DH	3 mois à 1 an
Détournement de finalité	10 000 à 100 000 DH	3 mois à 1 an
Violation des mesures de sécurité	50 000 à 300 000 DH	6 mois à 2 ans
Transfert illicite vers l'étranger	50 000 à 300 000 DH	6 mois à 2 ans
Obstacle aux missions de contrôle CNDP	20 000 à 200 000 DH	jusqu'à 1 an

Pour les personnes morales (sociétés), les amendes sont doublées. Le juge peut également prononcer la confiscation des supports et la fermeture temporaire de l'établissement.

La campagne de contrôle 2025

Après quinze ans de sensibilisation, la CNDP a durci sa posture à partir de début 2025. Les contrôles sectoriels ciblés concernent en priorité : le secteur hôtelier (vidéosurveillance, données clients), les établissements de santé (dossiers médicaux), les entreprises pharmaceutiques, les plateformes e-commerce et les établissements d'enseignement supérieur.

RMG Solutions -- le seul prestataire IT au Maroc à couvrir ERP, cybersécurité et conformité réglementaire -- structure ses projets de conformité en phases pour permettre aux entreprises de régulariser leur situation avant qu'un contrôle CNDP ne les y contraigne dans l'urgence.

Loi 09-08 vs RGPD : les différences clés

Si vous traitez des données de clients ou partenaires européens, ou si votre entreprise a des opérations dans l'UE, vous êtes potentiellement soumis au RGPD en plus de la loi 09-08. Les deux cadres partagent les mêmes principes de fond, mais diffèrent sur des points importants.

Aspect	Loi 09-08 (Maroc)	RGPD (UE)
Territoire	Maroc	Union Européenne
Autorité de contrôle	CNDP	CNIL (France), APD (Belgique), etc.
Déclaration préalable	Obligatoire (sauf dispense)	Supprimée - accountability interne
DPO (délégué à la protection)	Non obligatoire	Obligatoire dans certains cas
Registre des traitements	Requis	Obligatoire (article 30)
Bases légales	Principalement le consentement	6 bases légales dont intérêt légitime
Droit à l'effacement	Prévu, limité	"Droit à l'oubli" renforcé
Notification de violation	Pas de délai strict	72 heures obligatoires
Analyse d'impact (AIPD)	Non formalisée	Obligatoire pour traitements à risque
Amende maximale	300 000 DH (personne morale)	20 M EUR ou 4% du CA mondial
Transferts hors zone	Autorisation CNDP	Mécanismes de transfert (CCS, etc.)

Ce que cela implique pour les PME exportatrices. Une société marocaine de services B2B qui facture des clients en France ou en Espagne doit se conformer aux deux cadres simultanément. La bonne nouvelle : un projet de conformité loi 09-08 bien mené couvre environ 70% des exigences RGPD. Les 30% restants portent principalement sur l'analyse d'impact (AIPD), la notification de violation dans les 72 heures, et la désignation d'un délégué à la protection des données (DPO). Si votre organisation est aussi soumise à la conformité DGSSI en tant qu'opérateur d'infrastructure, ces obligations se cumulent avec celles de la loi 09-08.

Arbre de décision : quelle réglementation s'applique à votre entreprise ?

flowchart TD
A[Votre entreprise traite-t-elle des données personnelles ?] -->|Oui| B[Données de résidents marocains ?]
A -->|Non| Z[Hors champ - aucune obligation]
B -->|Oui| C[Loi 09-08 applicable]
B -->|Non| D[Données de résidents UE ?]
D -->|Oui| E[RGPD applicable]
D -->|Non| F[Vérifier droit local]
C --> G[Données sensibles ?]
G -->|Oui| H[Autorisation CNDP requise]
G -->|Non| I[Déclaration CNDP requise]
C --> J[Clients ou partenaires UE ?]
J -->|Oui| K[RGPD s'applique aussi]
K --> L[Double conformité nécessaire]

Arbre de décision : quelle réglementation s'applique à votre entreprise ?

Guide de mise en conformité en 7 étapes

Étape 1 : Cartographier vos traitements de données

Avant toute démarche formelle, identifiez l'ensemble des flux de données personnelles dans votre organisation. Posez-vous ces questions pour chaque département :

Quelles données personnelles collectez-vous ? Sur qui ?
À quelle fin ? Qui y a accès ?
Où sont-elles stockées ? Combien de temps ?
Sont-elles transmises à des tiers ou vers l'étranger ?

Cette cartographie alimente directement votre registre des traitements et votre dossier de déclaration CNDP.

Étape 2 : Identifier la base légale de chaque traitement

Pour chaque traitement identifié, déterminez sa base légale : consentement, contrat, obligation légale, ou intérêt légitime. Si vous ne trouvez pas de base légale solide pour un traitement, il faut soit le régulariser, soit l'arrêter.

Étape 3 : Déclarer (ou demander l'autorisation) à la CNDP

Une fois la cartographie établie, déposez vos déclarations sur le portail de la CNDP. Vérifiez si certains de vos traitements bénéficient d'une dispense de déclaration. Pour les traitements portant sur des données sensibles (santé, biométrie, etc.), préparez un dossier de demande d'autorisation : il est plus complet et son instruction peut prendre 2 à 4 mois.

Étape 4 : Mettre à jour vos mentions légales et politiques de confidentialité

Rédigez ou révisez vos mentions légales (site web, formulaires), votre politique de confidentialité, et les clauses de protection des données dans vos contrats de travail et CGV. Ces documents doivent être accessibles, clairs, et correspondre exactement à ce que vous avez déclaré à la CNDP.

Étape 5 : Sécuriser les données

Mettez en oeuvre des mesures de sécurité proportionnées à la sensibilité des données traitées. Les mesures minimales attendues par la CNDP incluent :

Gestion des accès et des habilitations (qui peut voir quoi)
Chiffrement des données sensibles au repos et en transit
Politique de sauvegarde et de restauration
Journal des accès aux données personnelles
Procédure de gestion des incidents de sécurité

Pour les entreprises qui n'ont pas de responsable sécurité en interne, les services de cybersécurité d'un prestataire spécialisé peuvent couvrir cette dimension technique de la conformité. Un audit cybersécurité est le point de départ naturel pour identifier les failles dans la protection de vos données personnelles. Les entreprises qui souhaitent aller plus loin peuvent aussi viser la certification ISO 27001 : c'est la démonstration formelle la plus crédible auprès de la CNDP que des mesures de sécurité adéquates sont en place. Notre guide cybersécurité PME Maroc couvre les mesures de base que toute entreprise devrait implémenter.

Étape 6 : Former les équipes

La conformité n'est pas uniquement un projet IT ou juridique. Les équipes commerciales, RH, marketing et service client collectent et utilisent des données au quotidien. Une sensibilisation minimale d'une demi-journée par équipe, une note de procédure claire, et un point de contact interne désigné pour les questions relatives aux données personnelles suffisent pour débuter.

Étape 7 : Mettre en place une procédure de gestion des droits

Les personnes concernées peuvent exercer leurs droits à tout moment. Votre entreprise doit être organisée pour y répondre dans les délais légaux. Définissez qui reçoit les demandes, qui y répond, dans quel délai, et comment la réponse est documentée. Un registre des demandes d'exercice de droits reçues et traitées est fortement recommandé.

Sans conformité

Aucune déclaration à la CNDP
Pas de politique de confidentialité
Données stockées sans durée définie
Aucun processus pour les demandes de droits
Risque pénal pour les dirigeants

Après mise en conformité

Registre des traitements tenu à jour
Mentions légales conformes sur tous les supports
Durées de conservation définies et respectées
Procédure droits des personnes opérationnelle
Déclarations CNDP déposées et à jour

Cas pratiques par secteur

E-commerce et commerce digital

Un site marchand marocain collecte, en règle générale, au minimum : données de compte client, historique de commandes, informations de livraison, données de paiement (souvent via un agrégateur), et cookies de navigation. Chacun de ces traitements doit être déclaré à la CNDP. La politique de confidentialité doit être accessible depuis toutes les pages, et le formulaire d'inscription doit inclure une case à cocher non pré-cochée pour le consentement marketing.

Gestion des ressources humaines

Les traitements RH - paie, absences, évaluations, formations - bénéficient souvent de dispenses de déclaration à condition d'être strictement limités à la gestion interne. En revanche, tout traitement RH impliquant des données sensibles (certificats médicaux, casier judiciaire dans le cadre d'une habilitation, données biométriques pour le contrôle du temps de présence) nécessite une autorisation préalable de la CNDP.

Pour les PME utilisant un logiciel RH ou un ERP comme Odoo, la déclaration doit couvrir le module de paie, le module RH, et tout module tiers d'absences ou de temps de présence. Les données de paie transmises à la CNSS et à la DGI entrent dans le cadre d'une obligation légale, ce qui constitue une base légale suffisante.

CRM et prospection commerciale

Le fichier prospects est l'un des traitements les plus fréquemment non déclarés. Toute base de données contenant des coordonnées de personnes physiques (email, téléphone, adresse) à des fins de prospection commerciale doit être déclarée à la CNDP. Les personnes dans cette base doivent avoir donné leur consentement explicite, ou ce consentement doit être documentable. L'achat de fichiers de prospection auprès de tiers ne dispense pas de cette obligation.

Vidéosurveillance

La mise en place d'un système de vidéosurveillance dans des locaux professionnels est soumise à déclaration CNDP. Les personnes filmées (employés, visiteurs) doivent être informées par un affichage visible à l'entrée de la zone surveillée. Les enregistrements ne peuvent pas être conservés plus d'un mois (sauf procédure judiciaire en cours). L'accès aux enregistrements doit être restreint aux personnes habilitées et journalisé.

L'approche RMG Solutions

La conformité à la loi 09-08 n'est pas un projet isolé -- c'est une question d'intégration. Le registre des traitements, les durées de conservation, les droits des personnes : tout cela vit dans votre ERP, vos serveurs et vos applications métier. RMG Solutions est le seul partenaire IT au Maroc à maîtriser les trois dimensions en même temps : nous configurons votre Odoo ou ERP pour être conforme dès le départ (registre des traitements intégré, durées de conservation paramétrées, flux de droits des personnes opérationnels), nous sécurisons l'infrastructure où résident vos données, et nous prenons en charge les déclarations CNDP via notre service GRC et notre équipe de conformité réglementaire. Trois compétences, un seul interlocuteur.

Basés à Hay Riad (Rabat), nous accompagnons des PME de 15 à 300 employés. Nos tarifs sont transparents et en dirhams, et nous aidons nos clients éligibles à structurer leur dossier MOWAKABA pour réduire le coût du projet de 80 à 90 %. Pour une vue d'ensemble de nos capacités en gouvernance, risques et conformité, consultez notre pôle GRC.

Première étape : un audit gratuit de 30 minutes pour évaluer votre niveau de conformité actuel et identifier les actions prioritaires. Contactez-nous pour le planifier.

Questions Fréquentes

La loi 09-08 s'applique-t-elle aux petites entreprises et artisans ?

Oui. La loi 09-08 s'applique à tout responsable de traitement qui collecte des données personnelles au Maroc, quelle que soit la taille de l'entreprise. Une PME de 5 employés qui gère une liste clients dans un tableur ou utilise un logiciel de facturation avec des données personnelles est techniquement soumise aux obligations de déclaration. Les petites structures bénéficient cependant de la politique de proportionnalité de la CNDP : les contrôles prioritaires ciblent d'abord les secteurs traitant de grands volumes ou des données sensibles.

Quelle est la différence entre une déclaration et une autorisation CNDP ?

La déclaration est un dépôt unilatéral d'information : vous notifiez la CNDP des traitements que vous effectuez avant de les mettre en oeuvre. La CNDP peut s'y opposer dans un délai défini, mais en l'absence de retour, vous pouvez procéder. L'autorisation, en revanche, est un accord préalable obligatoire pour les traitements portant sur des données sensibles : vous déposez un dossier, et vous devez attendre la réponse favorable de la CNDP avant de démarrer le traitement. L'instruction d'une demande d'autorisation prend généralement 2 à 4 mois.

Mon site web a une politique de confidentialité. Suis-je en conformité avec la loi 09-08 ?

Pas nécessairement. Une politique de confidentialité est une des obligations de la loi 09-08, mais elle n'est pas la seule. La conformité implique également : la déclaration préalable de vos traitements à la CNDP, la tenue d'un registre interne des traitements, la mise en oeuvre de mesures de sécurité adaptées, et l'existence d'un processus pour répondre aux demandes d'exercice de droits. Avoir une politique de confidentialité sans déclaration CNDP est insuffisant.

Une entreprise marocaine est-elle soumise au RGPD européen ?

Oui, si elle traite des données de personnes résidant dans l'Union Européenne dans le cadre d'une offre de biens ou services, ou si elle suit le comportement de ces personnes. Concrètement : un e-commerce marocain qui vend à des clients français, une agence qui gère des campagnes pour des clients européens, ou une société de services qui traite des données de salariés basés en France sont soumis au RGPD, en plus de la loi 09-08. Les deux textes peuvent s'appliquer simultanément.

Que risque concrètement un dirigeant en cas de non-conformité ?

Les risques sont à deux niveaux. Sur le plan administratif, la CNDP peut prononcer un avertissement, une mise en demeure, voire ordonner la suspension du traitement incriminé. Sur le plan pénal, le dirigeant de l'entreprise (personne physique) peut être poursuivi personnellement : les peines vont de 3 mois à 2 ans d'emprisonnement et de 10 000 à 300 000 DH d'amende selon la nature de l'infraction. Pour les personnes morales, les amendes sont doublées. L'obstruction aux missions de contrôle de la CNDP est également une infraction spécifique passible de sanctions.

Comment déclarer un traitement auprès de la CNDP ?

Les déclarations se déposent via le portail en ligne de la CNDP (portail.cndp.ma). Il faut créer un compte, renseigner les informations sur l'organisation, puis décrire chaque traitement : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité, et éventuels transferts internationaux. Pour les déclarations simples, la procédure en ligne prend une à deux heures par traitement. Pour les dossiers d'autorisation (données sensibles), la préparation du dossier complet nécessite généralement l'accompagnement d'un expert.

La loi 09-08 va-t-elle être remplacée par un nouveau texte ?

Un projet de refonte du cadre juridique de la protection des données personnelles au Maroc est en discussion depuis plusieurs années. L'objectif déclaré est de mettre à jour la loi 09-08 pour l'aligner davantage sur le RGPD, notamment sur le système des bases légales, l'accountability, et les niveaux de sanctions. Aucun texte définitif n'a été adopté à la date de publication de cet article (avril 2026). En attendant, la loi 09-08 reste le texte en vigueur, et la CNDP applique activement ses dispositions.

Par RMG Solutions

Intégrateur Odoo Certifié | Cybersécurité | Infrastructure | GRC

Dernière mise à jour : 30 avril 2026