Qui assure la protection de vos données personnelles au Maroc en 2026 ? Les autorités compétentes ?

⏩ Découvrez les autorités marocaines chargées de protéger vos données personnelles en 2026. Notre guide complet vous explique tout ce que vous devez savoir

Introduction

Au Maroc, la protection des données à caractère personnel est régie par la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (la Loi n°09-08).

Pour mémoire, les données à caractère personnel sont définies comme étant toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable, dénommée « personne concernée ».

Pour mémoire, tous les traitements de données à caractère personnel doivent être déclarés préalablement à leur mise en œuvre auprès de la CNDP (à l’exclusion de ceux exclus du champ d’application de la loi n°09-08, ou dispensés de déclaration à la CNDP, ou soumis au régime de l’autorisation préalable).

Attention : si vous traitez des données sensibles, c’est à dire notamment des données qui portent sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques ou relatives à la santé, des données génétiques ou des données comportant la CIN, il convient de réaliser une demande d’autorisation à la CNDP.

Notez que si vous transférez des données à l’étranger (en dehors du Maroc), ou par exemple, si des données personnelles sont hébergées ou transmises à l’étranger, vous devez également réaliser une demande de transfert de données à l’étranger auprès de la CNDP.

Qui assure la protection de vos données personnelles au Maroc ?

La Loi n°09-08 prévoit que la Commission nationale de contrôle de la protection des données à caractère personnel (la CNDP ou la Commission) est l’autorité « chargée de mettre en œuvre et de veiller au respect de [ses] dispositions » relatives à la protection des données à caractère personnel (articles 27 et suivants).

La CNDP est chargée de vérifier que les traitements des données à caractère personnel sont licites, légaux et qu’ils ne portent pas atteinte à la vie privée, aux libertés et droits fondamentaux.

La Commission est située à l’adresse suivante : Avenue Al Arz, Secteur 4, M1, Hay Riad – Rabat Maroc.

Comment faire respecter vos droits auprès de la CNDP ?

Si vous estimez que les responsables du traitement de vos données à caractère personnel portent atteintes à vos droits, vous pouvez envoyer une plainte à la CNDP : elle vous aidera à faire valoir vos droits.

Vous avez aussi le droit de saisir tout organisme susceptible de détenir vos données personnelles (responsable du traitement) pour exercer vos droits d’accès, de rectification et d’opposition.

Vous pouvez déposer votre plainte à travers les canaux suivants :

en ligne sur le site internet de la CNDP;
en envoyant un email à la CNDP ;
en envoyant un courrier (vous pourriez vous inspirer du modèle de courrier ci-après).

Modèle de courrier

Objet : Plainte relative au traitement de mes données à caractère personnel par la société [indiquer le nom de la société]

Monsieur le Président,

J’ai l’honneur de vous adresser une plainte relative au traitement de mes données à caractère personnel effectué par la société [indiquer le nom de la société], inscrite au registre de commerce de [indiquer le registre de commerce auprès duquel est inscrite la société] sous le numéro [indiquer le numéro du registre de commerce] et dont le siège est à [indiquer le siège social de la société].

En effet, [décrivez les motifs de votre plainte et les démarches entreprises auprès du responsable de traitement. Ex : « la société dont les informations sont indiquées ci-dessus procède au traitement des données à caractère personnel me concernant. Ladite société n’a mis à ma disposition aucun moyen me permettant de consulter mes données à caractère personnel en sa possession et ce en dépit des correspondances que je lui ai adressées, dont des copies sont jointes à cette lettre. »]

Je vous saurai gré de bien vouloir donner à vos services les instructions nécessaires afin d’obliger la société à se conformer aux dispositions de la loi 09-08.

Je vous prie de croire, Monsieur le Président, en l’assurance de mon profond respect.

Quelles sont les missions de la CNDP ?

La CNDP est chargée des missions suivantes :

1. Donner son avis :

au gouvernement ou au parlement sur les projets ou propositions de lois ou projets de règlements relatifs au traitement de données à caractère personnel dont elle est saisie ;
à l’autorité compétente sur les projets de règlements créant des fichiers relatifs aux données à caractère personnel recueillies et traitées à des fins de prévention et de répression des crimes et délits, l’avis demandé, dans le cas d’espèce, vaut déclaration ;
à l’autorité compétente sur les projets et propositions de lois portant création et traitement des données relatives aux enquêtes et données statistiques recueillies et traitées par des autorités publiques ;
au gouvernement sur les modalités de la déclaration préalable au traitement des données à caractère personnel ;
au gouvernement sur les modalités d’inscription au registre national ;
au gouvernement sur les règles de procédure et de protection des données des traitements de fichiers sécurité qui doivent faire l’objet d’un enregistrement.

2. Recevoir :

notification de l’identité du représentant installé au Maroc qui se substitue au responsable du traitement résidant à l’étranger ;
les déclarations préalables au traitement de données à caractère personnel et délivrer récépissé de la déclaration ;
l’identité du responsable du traitement des registres tenus pour être ouverts au public.

Quels sont les moyens mis à la CNDP pour la réalisation de ses missions ?

La CNDP dispose des pouvoirs suivants :

pouvoir d’investigation et d’enquête permettant à ses agents d’avoir accès aux données faisant l’objet de traitement, de requérir l’accès direct aux locaux au sein desquels le traitement est effectué, de recueillir et de saisir toutes les informations et tous documents nécessaires pour remplir les fonctions de contrôle ;
pouvoir d’ordonner que lui soient communiqués les documents de toute nature ou sur tous supports lui permettant d’examiner les faits concernant les plaintes dont elle est saisie ;
pouvoir d’ordonner ou de procéder ou de faire procéder aux modificatifs nécessaires pour une tenue loyale des données contenues dans le fichier ;
pouvoir d’ordonner le verrouillage, l’effacement ou la destruction de données et celui d’interdire provisoirement ou définitivement, le traitement de données à caractère personnel, même de celles inclues dans des réseaux ouverts de transmission de données à partir de serveurs situés sur le territoire national.

La CNDP exerce ses pouvoirs dans le respect d’une procédure disciplinaire garantissant les droits de la défense et notamment le principe du contradictoire précisé dans son règlement intérieur.

Quelle est la composition de la CNDP ?

La CNDP se compose de sept membres :

un président nommé par Sa Majesté le Roi ;
six membres nommés également par Sa Majesté le Roi, sur proposition : du Premier ministre, du président de la Chambre des représentants, du président de la Chambre des conseillers.

La durée du mandat des membres de la CNDP est de cinq ans renouvelable une seule fois.

L’organigramme détaillé des membres de la CNDP est disponible sur le site internet de la Commission.

Comment est administrée la CNDP ?

La Commission est administrée par un président. Le président convoque et dirige les réunions de la Commission. Les réunions de la Commission se tiennent valablement lorsque les deux tiers au moins des membres sont présents. Les décisions sont prises à la majorité des membres présents. La voix du président est prépondérante en cas de partage es voix.

Le président est assisté, dans l’exercice de ses fonctions administratives et financières, par un secrétaire général nommé par le gouvernement sur proposition du président. Le secrétaire général est chargé de :

gérer le personnel recruté ou détaché selon les décisions du président ;
préparer et exécuter le budget de la Commission ;
préparer et passer les marchés de la Commission nationale ;
préparer les documents de travail des réunions de la Commission et tenir le registre de ses décisions ;
suivre les travaux des comités mis en place par la Commission et mettre à leur disposition les moyens matériels et humains nécessaires à l’accomplissement de leurs missions.

Quel est le statut des membres de la CNDP ?

Règles d’incompatibilité

Les fonctions de membre de la CNDP sont incompatibles avec celles les mandats sociaux suivants réalisés au sein d’une société de traitement de données à caractère personnel : administrateur, gérant, membre du directoire, directeur général unique, membre du conseil de surveillance.

Un membre de la CNDP ne peut participer à une délibération ou à des vérifications relatives à un organisme au sein duquel il a détenu un intérêt, direct ou indirect, ou a exercé un mandat ou une fonction, si un délai de cinq ans ne s’est écoulé entre la date où est intervenue la cessation de fonction, la fin du mandat ou de la disposition de l’intérêt et la date de sa nomination au sein de la CNDP.

Secret professionnel

Les membres de la CNDP sont tenus au secret professionnel pour les faits, actes et informations dont ils ont pu avoir connaissance à l’occasion de l’accomplissement de leurs fonctions. Ils sont soumis à la même obligation, même après la fin de leur mandat.

Les fonctionnaires, agents ou techniciens qui exercent des fonctions au sein de la Commission nationale ou auprès de ses membres sont également soumis à l’obligation de respecter le secret professionnel.

Protection légale

Les membres et les fonctionnaires ou agents et techniciens de la Commission nationale sont protégés contre les outrages ou les atteintes à leur personne.

Les réunions de la CNDP sont-elles publiques ?

Les réunions de la Commission ne sont pas publiques. Toutefois, toute personne dont la présence est requise par la Commission peut assister aux réunions.

FAQ : Mise en conformité données personnelles au Maroc, questions fréquentes.

Pourquoi la mise en conformité données personnelles est importante au Maroc ?

Au Maroc, le traitement de données personnelles est encadré par la loi 09-08 et la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel).

En pratique, les risques sont concrets :
– blocage ou difficulté sur des partenariats (banques, fintechs, assureurs, grands comptes)
– exigence conformité dans les audits (levée de fonds, M&A, due diligence)
– exposition juridique et réputationnelle (plainte, contrôle, incident de sécurité)

Si vous collectez des données clients, prospects, utilisateurs, salariés ou partenaires, vous êtes concerné.

Qu'est-ce que African Legal Factory ?

ALF est une legaltech spécialisée dans l’accompagnement juridique des entrepreneurs en Afrique.

Notre équipe est composée d’avocats qui sont habilités à intervenir au Royaume du Maroc, experts dans le sujet des données personnelles au Maroc.

Pour nous contacter et en savoir plus : hello@africanlegalfactory.com

Quelles entreprises sont concernées par la loi marocaine ?

Vous êtes concerné(e) si vous :
– avez une société au Maroc
– ciblez des utilisateurs/clients au Maroc (site, app, marketplace)
– avez des salariés, prestataires ou une base RH au Maroc
– faites du marketing (CRM, emailing, tracking, cookies) au Maroc
– transférez des données vers l’étranger (cloud, siège, prestataires)

La conformité se joue souvent sur les flux réels : outils utilisés, sous-traitants, hébergement, transferts.

Quels sont les livrables concrets d’une mise en conformité ?

Notre approche vise des livrables immédiatement utilisables et “audit-proof” :

– cartographie des traitements (registre)
– analyse des bases légales et minimisation des données
– politiques et mentions d’information (clients, users, RH)
– mise à jour des CGU/CGV et politique de confidentialité
– bandeau cookies et gestion des traceurs (si applicable)
– clauses / accords sous-traitance et sécurité (DPA)
– encadrement des transferts internationaux (si cloud/outsourcing hors Maroc)
– plan d’action opérationnel + checklist équipe

Conformité CNDP : faut-il une déclaration ou une autorisation ?

Selon la nature des traitements, des formalités CNDP peuvent être requises (déclaration et/ou demande d’autorisation).

Le point clé : on qualifie vos traitements (catégories de données, finalités, destinataires, transferts, données sensibles) puis on détermine les formalités applicables et on prépare le dossier.

Combien coûte un accompagnement de mise en conformité au Maroc ?

Le coût dépend principalement de 3 facteurs :
– nombre de traitements (produit, marketing, RH, support, partenaires)
– niveau d’exposition (données sensibles, fintech, santé, géolocalisation, KYC)
– transferts et sous-traitants (cloud, CRM, analytics, prestataires)

Nous proposons 2 formats :
– Audit Flash (diagnostic + plan d’action priorisé)
– Pack Conformité (documents + mise en place + formalités CNDP si nécessaires)

Demandez un devis : on répond rapidement avec une proposition cadrée.

En combien de temps peut-on être conforme ?

Si vous êtes une startup ou une PME avec un stack classique (site/app + CRM + outils marketing), un premier niveau solide peut être mis en place en quelques semaines.

Ce qui fait perdre du temps :
– absence de cartographie des outils et prestataires
– contrats sous-traitants inexistants ou obsolètes
– transferts internationaux non cadrés

Vous pouvez nous aider si notre société est hors Maroc mais qu’on cible le marché marocain ?

Oui.

C’est fréquent : équipe hors Maroc, utilisateurs au Maroc, cloud à l’étranger, prestataires internationaux.

On aligne :
– vos documents publics (privacy, cookies)
– vos contrats (sous-traitants, partenaires)
– vos flux (transferts, hébergement, accès)
– vos obligations CNDP selon votre présence et vos traitements

Quels sont les points qui bloquent le plus en due diligence (investisseurs / corporate) ?

Les red flags les plus fréquents :
– pas de registre / pas de cartographie des traitements
– politique de confidentialité générique copiée-collée
– cookies/traceurs non conformes
– absence d’accords de sous-traitance (DPA) avec les prestataires clés
– transferts internationaux non justifiés / non documentés
– données KYC ou données sensibles sans cadre renforcé

Que faut-il préparer avant de nous contacter pour aller vite ?

Si vous avez ces éléments, on avance très vite :
– liste des outils (hébergement, analytics, CRM, emailing, support, paiement)
– parcours de collecte (formulaires, app, onboarding, KYC si applicable)
– CGU/CGV + politique de confidentialité actuelle
– liste des pays (équipe, serveurs, sous-traitants, utilisateurs)

Je veux un accompagnement : comment on démarre ?

Réservez un échange et on vous donne un plan clair dès le premier call :
– diagnostic rapide de vos flux
– niveau de risque
– priorités à 30 jours
– estimation de l’effort et du budget

Ensuite, on enclenche l’audit et on produit les livrables.

Formulaire : je souhaite me faire accompagner dans le cadre de ma mise en conformité relative à la protection des données personnelles

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

Cookie	Duration	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Duration	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Duration	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.