Données personnelles · Maroc · CNDP

Déclarer ses traitements de données personnelles au Maroc

Startups marocaines, apprenez à compléter vos déclarations préalables de traitement de données personnelles auprès de la CNDP.

✍️ Kelly HAZAN 📅 Publié le 11 août 2021 🔄 Mis à jour le 22 mai 2026 ⏱ 7 min de lecture

Déclarer ses traitements de données personnelles au Maroc auprès de la CNDP

STARTUPS MAROCAINES, APPRENEZ À COMPLÉTER VOS DÉCLARATIONS PREALABLES DE TRAITEMENT DE DONNÉES PERSONNELLES !

Déclarer vos traitements de données personnelles auprès de la CNDP est obligatoire si votre startup traite des données personnelles. Qu’est-ce qu’un traitement de données personnelles ? Quel formulaire remplir ? Cet article a pour objectif de vous apprendre simplement à comprendre cette réglementation.

QUAND MA STARTUP RÉALISE T-ELLE UN TRAITEMENT DE DONNÉES PERSONNELLES ?

Les startups sont amenées à effectuer des traitements de données personnelles dans le cadre de leurs activités, notamment en réalisant des campagnes de marketing, en effectuant la paie, la facturation ou en développant un site Internet e-commerce.

Or, ces traitements utilisent souvent des données à caractère personnel que sont par exemple : nom, prénom, numéro de CIN, email, photo, numéro de téléphone, empreintes digitales, ADN, RIB.

Ces données qui permettent d’identifier ou de rendre identifiable les personnes concernées (ex : salariés, clients ou fournisseurs), doivent être protégées, traitées proportionnellement à l’objectif visé et conservées pendant une durée limitée, n’excédant pas la durée nécessaire à l’accomplissement de la finalité du traitement.

Vous trouverez ci-dessous d’autres exemples de finalités de traitements de données personnelles :

gestion du personnel et administration des salaires ;
accès à / consultation d’une base de données de contacts contenant des données à caractère personnel (ex: logiciel CRM);
envoi d’e-mails promotionnels ;
déchiquetage de documents contenant des données à caractère personnel ;
publication / affichage d’une photo d’une personne sur un site internet ;
conservation d’adresses IP ou d’adresses MAC ;
enregistrement de vidéosurveillance.

Quel champ géographique ? Tous les traitements de données personnelles dont les responsables du traitement (ex: start’up qui réalise le traitement) ou les moyens de traitement sont situés sur le territoire marocain doivent se conformer à la loi 09-08 du 18 février 2009 (BO n°5714 du 05-03-2009).

📋 Données personnelles · ALF

Besoin d’aide pour votre conformité CNDP au Maroc ?

Déclaration CNDP, autorisation préalable, transfert de données, registre de traitement, politique de confidentialité : faites-vous accompagner par African Legal Factory.

QUE DOIS-JE FAIRE SI JE RÉALISE UN TRAITEMENT DE DONNÉES PERSONNELLES AU MAROC VIS-À-VIS DE LA CNDP ?

Tous les traitements de données à caractère personnel doivent être déclarés préalablement à leur mise en œuvre auprès de la CNDP(à l’exclusion de ceux exclus du champ d’application de la loi n°09-08, ou dispensés de déclaration à la CNDP, ou soumis au régime de l’autorisation préalable).

Warning 1 : si vous traitez des données sensibles, c’est à dire notamment des données qui portent sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques ou relatives à la santé, des données génétiques ou des données comportant la CIN, il convient de réaliser une demande d’autorisation à la CNDP.

Il ne s’agit donc pas de déclarer que l’on va traiter des données personnelles mais de demander une autorisation à la CNDP pour réaliser ce traitement de données sensibles ;

Warning 2 : si vous transférez des données à l’étranger (en dehors du Maroc), ou par exemple, si des données personnelles sont hébergées ou transmises à l’étranger, vous devez également réaliser une demande de transfert de données à l’étranger auprès de la CNDP.

QUELLE EST LA PROCEDURE A SUIVRE POUR DECLARER UN TRAITEMENT DE DONNÉES PERSONNELLES ?

Étape 1 :

Il convient de télécharger le formulaire de déclaration normale F211 ou le formulaire de déclaration normale simplifiée (conformément à une décision) F214 préalable à la réalisation de traitement de données à caractère personnel et de le renvoyer à la CNDP. Il convient de joindre à ce formulaire notamment :

un document autorisant le signataire à engager la personne morale ;
une copie de la carte nationale d’identité du signataire ;
tout autre document utile, le cas échéant.

Pour obtenir des informations sur ce que doit comporter la déclaration : https://www.cndp.ma/fr/service-en-ligne/responsables-de-traitement.html

Étape 2 :

La CNDP délivre le récépissé de la déclaration dans un délai de 24 heures.
La CNDP notifie dans un délai de 8 jours à la startup déclarant sa décision de soumettre le traitement au régime de l’autorisation préalable, si elle estime que le traitement envisagé présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes concernées.

Attention, lorsque le dossier est incomplet, ces délais ne commencent à courir qu’à partir du moment où les informations ou les documents demandés par la CNDP ont été fournis.

POURQUOI DEVEZ-VOUS ABSOLUMENT RESPECTER LA RÉGLEMENTATION ?

Pourquoi devez-vous absolument respecter et vous mettre en conformité avec la réglementation de la loi 09-08 ?

Afin d’éviter des sanctions financières prévues par la loi 09-08 ainsi que des condamnations pénales !

Mais ce n’est pas tout : le fait de respecter les exigences de la loi 09-08 permet de vous démarquer de vos concurrents. En effet, vous obtenez ainsi un avantage concurrentiel extrêmement positif, en termes de réputation et d’image de marque pour votre entreprise. Cela démontre notamment une gestion exemplaire des données personnelles traitées pour le compte de votre client ainsi que le respect de mesures de sécurité et de confidentialité.

Références

📋 Assistance juridique ALF

Je souhaite me faire accompagner dans le cadre de ma mise en conformité relative à la protection des données personnelles

Complétez le formulaire afin d’être recontacté par l’équipe African Legal Factory concernant vos déclarations CNDP, autorisations préalables ou transferts de données personnelles.

Auteur

Kelly HAZAN

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès.

Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité.

Cookie	Duration	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Duration	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Duration	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.