Lundi – Vendredi : 09:00 – 18:00

Fixe : + 212 5 20 44 44 47 / Mobile : + 212 6 74 79 72 09

Cabinet d'Avocat Jawhari

droit des entreprise, droit des entreprises, Non classé

Déclaration ou autorisation CNDP : comment savoir ce qui s’applique à votre entreprise au Maroc ?

La conformité à la loi n°09-08 relative à la protection des données personnelles est devenue un enjeu central pour les entreprises marocaines. Toute structure qui collecte, traite ou exploite des données à caractère personnel est soumise aux règles de la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel).
Une question revient très fréquemment : faut-il effectuer une simple déclaration CNDP ou obtenir une autorisation préalable ?

Cette distinction est essentielle, car une erreur peut exposer l’entreprise à un risque juridique et financier significatif.

Le principe : tout traitement de données personnelles est encadré

Dès lors qu’une entreprise traite des données personnelles (clients, prospects, salariés, utilisateurs, partenaires), elle entre dans le champ d’application de la loi 09-08.
Ces traitements peuvent concerner, par exemple :

  • des fichiers clients ou prospects ;
  • des données RH ;
  • des plateformes numériques ou applications ;
  • des données financières, commerciales ou comportementales.

Le droit numérique impose alors une formalité préalable auprès de la CNDP, sous forme soit de déclaration, soit d’autorisation.

La déclaration CNDP : pour les traitements courants

La déclaration CNDP concerne les traitements considérés comme classiques et à risque limité. Il s’agit notamment des fichiers nécessaires à la gestion normale de l’activité, tels que :

  • gestion des clients et fournisseurs ;
  • gestion administrative et comptable ;
  • prospection commerciale standard, sous conditions.

Même dans ces cas, la déclaration ne se limite pas à un simple dépôt administratif. Elle suppose une analyse juridique précise du traitement, de ses finalités, des catégories de données collectées et des mesures de sécurité mises en place.

L’autorisation CNDP : pour les traitements à risque élevé

L’autorisation préalable de la CNDP est obligatoire dès lors que le traitement présente un risque particulier pour les droits et libertés des personnes concernées.

Sont notamment soumis à autorisation :

  • les traitements portant sur des données sensibles (santé, données biométriques, géolocalisation, scoring, etc.) ;
  • les plateformes numériques collectant des données à grande échelle ;
  • les traitements impliquant une évaluation ou un profilage des personnes ;
  • les traitements liés à la surveillance ou au contrôle ;
  • les transferts de données personnelles à l’étranger.

Dans ces situations, l’entreprise ne peut légalement exploiter les données tant que l’autorisation n’a pas été accordée par la CNDP.

Pourquoi la distinction est souvent mal comprise ?

En pratique, de nombreuses entreprises pensent à tort qu’une simple déclaration suffit, alors que leur activité relève en réalité du régime d’autorisation.
Cette confusion est fréquente dans les secteurs suivants :

  • startups et plateformes digitales ;
  • sociétés IT, SaaS et applications mobiles ;
  • structures médicales ou paramédicales ;
  • entreprises travaillant avec des maisons mères ou clients étrangers.

Une mauvaise qualification du traitement peut entraîner un refus de la CNDP, une obligation de régularisation urgente, voire des sanctions.

L’importance de l’accompagnement par un avocat

Déterminer si un traitement relève d’une déclaration ou d’une autorisation CNDP nécessite une analyse juridique approfondie, tenant compte :

  • de la nature exacte des données ;
  • des finalités du traitement ;
  • des flux de données, notamment internationaux ;
  • de l’organisation interne de l’entreprise.

L’intervention d’un avocat en droit numérique et protection des données permet de sécuriser l’ensemble de la démarche, d’anticiper les observations de la CNDP et de réduire les délais de traitement.

Conclusion

Déclaration ou autorisation CNDP : la réponse n’est jamais automatique. Elle dépend de la réalité juridique et opérationnelle de chaque entreprise.
Une analyse préalable est indispensable pour éviter toute non-conformité et sécuriser durablement l’activité.

�� Un audit juridique CNDP permet de déterminer précisément le régime applicable et de prendre en charge l’ensemble des démarches auprès de la CNDP, en toute sécurité.

0

Related Posts