Créer une application mobile ou web au Maroc : obligations juridiques et conformité CNDP

Une application lancée sans conformité CNDP s’expose à des sanctions administratives et à une suspension de l’activité de traitement. Pour une startup en phase de croissance, ces risques peuvent être fatals.

Ce guide présente les obligations juridiques applicables à la création d’une application au Maroc — de la politique de confidentialité aux déclarations CNDP en passant par les CGU et les contrats avec les prestataires techniques.

Pourquoi la conformité CNDP s’applique à votre application

La loi 09-08 s’applique à tout traitement de données à caractère personnel réalisé au Maroc. Un traitement de données c’est toute opération portant sur des données personnelles — collecte, enregistrement, stockage, modification, consultation, utilisation, communication ou destruction.

Concrètement, dès que votre application demande à l’utilisateur de créer un compte avec son email, elle collecte une donnée personnelle et déclenche l’application de la loi 09-08. Il n’existe pas de seuil minimum de données collectées en dessous duquel la loi ne s’appliquerait pas.

Qui est responsable de traitement ?

La loi distingue deux acteurs clés. Le responsable de traitement est la personne ou la société qui détermine les finalités et les moyens du traitement — c’est généralement l’éditeur de l’application, c’est-à-dire votre startup ou société. Le sous-traitant est celui qui traite les données pour le compte du responsable — c’est souvent votre prestataire d’hébergement, votre développeur externe ou votre fournisseur de services cloud.

Cette distinction est importante : la responsabilité principale repose sur l’éditeur de l’application, pas sur le développeur technique. Même si votre app est développée par une agence externe, c’est vous qui êtes responsable de sa conformité CNDP.

Point clé

Une application développée par un prestataire étranger et utilisée au Maroc est soumise à la loi 09-08 dès lors qu’elle collecte des données de résidents marocains. L’extraterritorialité de la loi marocaine sur les données personnelles est souvent méconnue des startups étrangères qui s’implantent au Maroc.

Faut-il déclarer son application à la CNDP au Maroc ?

La loi 09-08 distingue les traitements selon la sensibilité des données collectées. Plus les données sont sensibles, plus les formalités sont lourdes.

Type de données collectées	Formalité CNDP requise	Délai
Données courantes (nom, email, téléphone)	Déclaration simple	Avant mise en ligne
Données de localisation / géolocalisation	Autorisation CNDP	Avant collecte
Données biométriques (empreinte, face ID)	Autorisation CNDP	Avant collecte
Données de santé	Autorisation CNDP	Avant collecte
Données bancaires / paiement	Autorisation CNDP + BAM si applicable	Avant collecte
Données de mineurs	Autorisation CNDP + consentement parental	Avant collecte
Transfert vers serveurs étrangers (AWS, GCP)	Autorisation transfert international	Avant transfert

Attention

Beaucoup d’applications collectent sans le savoir des données sensibles. Une app de fitness qui enregistre des données de santé, une app de livraison qui collecte la localisation en temps réel, une app de paiement qui traite des données bancaires — toutes nécessitent une autorisation CNDP préalable, pas une simple déclaration.

Exemple concret — application de livraison avec géolocalisation

Une startup marocaine développe une app de livraison qui collecte la localisation en temps réel des livreurs et des clients. Elle utilise AWS pour l’hébergement et Firebase pour les notifications push.

Obligations : autorisation CNDP pour la géolocalisation + autorisation de transfert international vers AWS (Irlande) + déclaration simple pour les données de compte (nom, email, téléphone).

La politique de confidentialité — contenu obligatoire

Toute application qui collecte des données personnelles doit afficher une politique de confidentialité accessible à l’utilisateur avant toute collecte. Cette obligation découle de l’article 4 de la loi 09-08 qui impose d’informer les personnes concernées sur les conditions de traitement de leurs données.

Ce que doit contenir la politique de confidentialité

• Identité et coordonnées du responsable de traitement
• Finalités du traitement — pourquoi vous collectez ces données et comment vous les utilisez
• Base légale du traitement — consentement, exécution d’un contrat, obligation légale
• Catégories de données collectées — email, téléphone, localisation, données de navigation
• Destinataires des données — qui a accès aux données (équipe interne, prestataires, partenaires)
• Durée de conservation des données
• Droits des utilisateurs — droit d’accès, de rectification, d’opposition, de suppression
• Modalités d’exercice de ces droits — comment contacter le responsable de traitement
• Transferts internationaux — si les données sont hébergées hors du Maroc
• Politique en matière de cookies si applicable

Erreur fréquente

Copier-coller une politique de confidentialité d’un site français ou américain est insuffisant — et potentiellement trompeur. La loi 09-08 a ses propres exigences qui diffèrent du RGPD européen. Une politique de confidentialité doit être rédigée spécifiquement pour la loi marocaine et adaptée aux traitements réels de votre application.

Les Conditions Générales d’Utilisation (CGU)

Les CGU définissent les règles d’utilisation de votre application et le cadre contractuel entre vous et vos utilisateurs. Elles sont distinctes de la politique de confidentialité — les CGU régissent la relation commerciale et d’usage, la politique de confidentialité régit le traitement des données.

Ce que doivent couvrir les CGU d’une application marocaine

• Description du service et de ses fonctionnalités
• Conditions d’accès et d’inscription — âge minimum, conditions d’éligibilité
• Obligations de l’utilisateur et comportements interdits
• Propriété intellectuelle — qui détient les droits sur le contenu
• Responsabilité de l’éditeur et limitations de garantie
• Conditions de suspension ou de résiliation du compte
• Loi applicable et juridiction compétente — tribunal de commerce de Casablanca si votre société est marocaine
• Politique de modification des CGU

Pour les applications qui proposent des transactions commerciales — marketplace, e-commerce, services à la demande — les CGU doivent également respecter la loi n° 31-08 sur la protection du consommateur et la loi n° 53-05 sur les échanges électroniques.

Vous créez une application au Maroc ?

Le Cabinet Jawhari accompagne les startups et éditeurs d’applications dans leur mise en conformité CNDP : audit des traitements, déclarations, politique de confidentialité, CGU et contrats avec les prestataires techniques.

Casablanca | 05 20 44 44 47 | maha@avocat-jawhari.com

Peut-on utiliser AWS ou Google Cloud au Maroc ?

C’est le point le plus souvent ignoré par les startups marocaines. La quasi-totalité des applications modernes hébergent leurs données sur des serveurs étrangers — AWS en Irlande, Google Cloud aux États-Unis, Azure en Europe. Or, la loi 09-08 encadre strictement ces transferts internationaux de données.

Le principe : autorisation préalable de la CNDP

Tout transfert de données personnelles vers un pays étranger nécessite une autorisation préalable de la CNDP. Si le pays destinataire figure sur la liste établie par la CNDP comme offrant une protection adéquate, ce classement facilite l’instruction du dossier d’autorisation mais ne dispense pas de l’obtenir. Le transfert vers AWS, Google Cloud ou Azure nécessite donc toujours une autorisation préalable.

Les solutions pratiques

• Demander l’autorisation de transfert international à la CNDP en même temps que la déclaration ou l’autorisation principale
• Inclure des clauses contractuelles types dans le contrat avec le prestataire d’hébergement
• Documenter les garanties offertes par le sous-traitant en matière de protection des données

En pratique

Le Cabinet Jawhari accompagne régulièrement des startups qui utilisent AWS ou Google Cloud pour leurs applications. La procédure d’autorisation de transfert international est généralement traitée conjointement avec la déclaration principale, ce qui évite d’allonger les délais de mise en conformité.

Comment recueillir le consentement des utilisateurs ?

La collecte de données personnelles doit reposer sur une base légale. Pour la majorité des applications, cette base est le consentement de l’utilisateur. La loi 09-08 impose que ce consentement soit libre, spécifique, éclairé et non équivoque.

Ce que ça implique concrètement

• Les cases à cocher pré-cochées sont interdites — l’utilisateur doit activement cocher pour consentir
• Le consentement doit être granulaire — l’utilisateur doit pouvoir accepter certains traitements et refuser d’autres
• Le refus de consentir ne doit pas bloquer l’accès au service si la collecte n’est pas strictement nécessaire
• L’utilisateur doit pouvoir retirer son consentement à tout moment aussi facilement qu’il l’a donné
• Le consentement des mineurs de moins de 18 ans nécessite l’accord parental

Les cookies et traceurs

Si votre application web utilise des cookies — analytiques, publicitaires, de session — une bannière de consentement aux cookies est obligatoire. Les cookies strictement nécessaires au fonctionnement du service ne requièrent pas de consentement, mais doivent être mentionnés dans la politique de confidentialité. Tous les autres cookies nécessitent un consentement préalable explicite.

Les contrats avec vos prestataires techniques

La loi 09-08 impose de réglementer contractuellement les relations avec vos sous-traitants qui traitent des données pour votre compte. Un contrat de développement ou un contrat d’hébergement standard ne suffit pas.

Ce que doit contenir le contrat avec votre sous-traitant

• Objet et durée du traitement
• Nature et finalité des traitements confiés
• Type de données et catégories de personnes concernées
• Obligations du sous-traitant en matière de sécurité et de confidentialité
• Interdiction de sous-traiter sans autorisation préalable
• Obligation de notifier toute violation de données
• Sort des données en fin de contrat — restitution ou destruction

Important

Un développeur externe qui accède aux données personnelles de vos utilisateurs pour effectuer des corrections ou des mises à jour est un sous-traitant au sens de la loi 09-08. Sans contrat adapté, vous restez seul responsable en cas de violation de données par ce développeur.

Les sanctions en cas de non-conformité

La CNDP dispose de pouvoirs de contrôle et de sanction. En cas de traitement sans déclaration ou sans autorisation, elle peut mettre en demeure l’éditeur de régulariser sa situation et, en cas de non-respect, saisir le parquet pour poursuites pénales.

La loi 09-08 prévoit des sanctions pénales pouvant aller jusqu’à 300 000 MAD d’amende et 6 mois d’emprisonnement pour les infractions les plus graves — traitement sans déclaration, collecte de données sensibles sans autorisation, transfert international non autorisé. Ces sanctions s’appliquent aux dirigeants personnes physiques, pas seulement à la société.

Au-delà des sanctions pénales, une mise en demeure de la CNDP publiée sur son site web peut gravement nuire à la réputation d’une startup auprès de ses investisseurs et partenaires.

Questions fréquentes

Faut-il se conformer à la CNDP si mon application est hébergée à l’étranger ?

Oui. Dès lors que votre application collecte des données de résidents marocains, la loi 09-08 s’applique — quel que soit le lieu d’hébergement. L’hébergement à l’étranger constitue en outre un transfert international qui nécessite une autorisation spécifique de la CNDP.

Mon application est gratuite — dois-je quand même me conformer ?

Oui. La gratuité du service ne dispense pas des obligations CNDP. La loi 09-08 s’applique dès qu’il y a traitement de données personnelles, indépendamment du modèle économique de l’application.

Quelle est la différence entre déclaration et autorisation CNDP ?

La déclaration est une formalité simplifiée pour les traitements courants — vous déposez un dossier auprès de la CNDP qui en prend acte. L’autorisation est une procédure plus longue qui nécessite l’accord explicite de la CNDP avant de commencer le traitement — elle s’applique aux données sensibles (santé, biométrie, géolocalisation, données bancaires). Dans les deux cas, la formalité doit être accomplie avant le lancement de l’application.

Mon application doit-elle avoir des CGU en arabe ?

La loi ne l’impose pas expressément. En revanche, si votre application cible des consommateurs marocains et que vous souhaitez vous prévaloir de vos CGU en cas de litige devant un tribunal marocain, il est fortement recommandé de disposer d’une version en arabe ou en français. Une version uniquement en anglais peut être inopposable à un utilisateur marocain.

Conclusion

La conformité juridique d’une application au Maroc n’est pas une option — c’est une obligation légale dont le non-respect expose les fondateurs à des sanctions pénales personnelles. Contrairement à ce que beaucoup de startups pensent, cette conformité ne se résume pas à copier-coller une politique de confidentialité. Elle nécessite une analyse précise des traitements réalisés, des formalités adaptées auprès de la CNDP, des documents contractuels sur-mesure et une réflexion sur l’architecture technique de l’application.

La bonne nouvelle : une mise en conformité bien menée en amont est bien moins coûteuse qu’une régularisation forcée après une mise en demeure de la CNDP ou un incident de sécurité. Et pour les startups qui cherchent des investisseurs, une conformité CNDP documentée est un gage de sérieux qui rassure les fonds d’investissement.

Vous créez une application au Maroc ?

Le Cabinet Jawhari accompagne les startups et éditeurs d’applications dans leur mise en conformité CNDP : audit des traitements, déclarations, politique de confidentialité, CGU et contrats avec les prestataires techniques.

Casablanca | 05 20 44 44 47 | maha@avocat-jawhari.com

📚 À lire : Déclaration ou autorisation CNDP : que choisir ? · CRM, SaaS et cloud au Maroc : risques CNDP · Créer une entreprise SaaS au Maroc