Politique de confidentialité au Maroc : les mentions obligatoires selon la loi 09-08
Votre politique de confidentialité au Maroc est-elle vraiment conforme à la loi 09-08 ?
C’est la question que peu d’entreprises se posent. Pourtant, une politique de confidentialité incomplète ou mal rédigée n’est pas une simple formalité manquée. Elle expose l’entreprise à un risque réel : sanction administrative de la CNDP, perte de crédibilité auprès de partenaires étrangers, et fragilité en cas de litige avec un client ou un salarié.
Cet article présente, de manière pratique, l’ensemble des mentions que doit contenir une politique de confidentialité conforme à la loi 09-08, accompagné d’une checklist directement utilisable.
Pourquoi la politique de confidentialité est une obligation légale, pas un accessoire
La loi 09-08 impose à tout responsable de traitement d’informer les personnes concernées, avant toute collecte de données, des conditions dans lesquelles leurs informations seront traitées. Cette obligation d’information est posée par l’article 4 de la loi.
En pratique, cette obligation se matérialise par la politique de confidentialité — document accessible sur le site internet, l’application mobile ou tout autre interface de collecte.
Sont concernées toutes les structures qui collectent des données : sites e-commerce, plateformes SaaS, applications mobiles, sites vitrine avec formulaire de contact, entreprises avec portail RH ou CRM, prestataires de services traitant des données pour le compte de clients.
Checklist : les 10 mentions obligatoires
Voici l’ensemble des éléments que doit contenir une politique de confidentialité conforme à la loi 09-08, avec les références légales correspondantes.
| Mention obligatoire | Base légale | |
|---|---|---|
| ✔ | Identité et coordonnées complètes du responsable de traitement (dénomination sociale, adresse, email dédié) | Art. 4 al. 1 |
| ✔ | Finalités du traitement : pourquoi ces données sont collectées et comment elles seront utilisées | Art. 4 al. 2 |
| ✔ | Caractère obligatoire ou facultatif des réponses, et conséquences d’un défaut de réponse | Art. 4 al. 3 |
| ✔ | Destinataires des données : accès interne et externe (prestataires, partenaires, sous-traitants) | Art. 4 al. 4 |
| ✔ | Transferts internationaux : pays destinataires et mesures de protection mises en place | Art. 43 & 44 |
| ✔ | Droits des personnes : accès, rectification, opposition, effacement — et modalités concrètes d’exercice | Art. 7 & 12 |
| ✔ | Durée de conservation des données par catégorie de traitement | Art. 3 & 5 |
| ✔ | Base légale du traitement : consentement, obligation légale, intérêt légitime ou exécution d’un contrat | Art. 3 |
| ✔ | Identité et coordonnées du correspondant informatique et libertés / référent CNDP, si désigné | Art. 20 |
| ✔ | Politique de mise à jour : date de dernière révision et mécanisme d’information des utilisateurs | Bonne pratique |
Ce que chaque mention implique concrètement
3.1 Identité du responsable de traitement
Il ne suffit pas d’indiquer un nom commercial. La politique doit mentionner la dénomination sociale exacte, la forme juridique, le numéro RC ou ICE, l’adresse du siège, et un contact dédié aux questions relatives aux données personnelles (email ou formulaire spécifique).
Une politique signée au nom d’un nom de marque sans mention de la société éditrice est régulièrement relevée comme insuffisante.
3.2 Finalités du traitement
Les finalités doivent être décrites de façon précise et concrète — pas uniquement sous forme de liste générique. Par exemple, indiquer « amélioration de l’expérience utilisateur » sans précision supplémentaire ne satisfait pas à l’exigence de l’article 4.
Chaque finalité doit correspondre à un traitement réellement effectué. Une finalité non déclarée à la CNDP ne peut pas figurer dans la politique de confidentialité.
3.3 Droits des personnes
La loi 09-08 reconnaît aux personnes concernées un droit d’accès (art. 7), un droit de rectification (art. 9), un droit d’opposition (art. 12) et, dans certains cas, un droit à l’effacement.
La politique doit non seulement mentionner ces droits, mais également indiquer comment les exercer concrètement : adresse email dédiée, délai de réponse, pièces justificatives éventuellement requises.
Une politique qui se contente d’énoncer l’existence de ces droits sans préciser les modalités d’exercice ne remplit pas l’obligation d’information.
3.4 Transferts internationaux de données
C’est la mention la plus fréquemment absente des politiques de confidentialité au Maroc, alors qu’elle est souvent la plus exposante.
Dès lors qu’une entreprise utilise des outils cloud (AWS, Google Cloud, Microsoft Azure), un CRM hébergé à l’étranger, ou un prestataire email international, elle transfère des données hors du territoire marocain. Ce transfert est encadré par les articles 43 et 44 de la loi 09-08 et nécessite, dans la plupart des cas, une autorisation préalable de la CNDP.
Même si votre entreprise n’effectue actuellement aucun transfert international, il est recommandé d’inclure une mention précisant que tout futur transfert sera soumis aux formalités requises auprès de la CNDP. Cette anticipation évite de devoir modifier la politique à chaque évolution des outils utilisés.
3.5 Durée de conservation
Les données ne peuvent pas être conservées indéfiniment. La loi impose que la durée de conservation soit déterminée en fonction de la finalité du traitement.
En pratique, la politique doit indiquer des durées précises par catégorie : données de prospects (ex. 3 ans à compter du dernier contact), données de clients (durée de la relation contractuelle + prescription légale), données de candidats non retenus (6 mois en général), etc.
L’indication d’une durée vague comme « le temps nécessaire » ou « conformément à la loi » ne satisfait pas à l’exigence légale.
Les erreurs les plus fréquentes dans les politiques de confidentialité au Maroc
Dans la majorité des politiques de confidentialité publiées par des entreprises marocaines, on retrouve les mêmes manquements :
- Politique rédigée en référence au RGPD uniquement, sans mention de la loi 09-08 ni de la CNDP
- Absence totale de mention sur les transferts internationaux, alors que l’entreprise utilise des outils cloud étrangers
- Droits des personnes mentionnés sans modalités concrètes d’exercice
- Durées de conservation absentes ou formulées de manière vague
- Coordonnées du responsable de traitement incomplètes ou renvoyant à un simple formulaire de contact générique
- Politique non mise à jour depuis la création du site, décalée par rapport aux traitements effectifs
- Copie conforme d’un modèle trouvé en ligne, sans adaptation au périmètre réel de l’entreprise
Chacun de ces manquements peut être relevé lors d’un contrôle de la CNDP, d’une plainte d’un utilisateur, ou dans le cadre d’une due diligence menée par un partenaire étranger.
Une politique de confidentialité conforme : un actif, pas une contrainte
Au-delà de la conformité réglementaire, une politique de confidentialité bien rédigée produit des effets concrets sur l’activité de l’entreprise.
- Elle rassure les utilisateurs et renforce la confiance, notamment pour les plateformes e-commerce et les applications collectant des données sensibles.
- Elle est exigée par les partenaires étrangers dans le cadre des contrats de sous-traitance de données (clauses de conformité CNDP/RGPD).
- Elle sécurise l’entreprise en cas de litige avec un client ou un salarié contestant l’utilisation de ses données.
- Elle est systématiquement vérifiée dans les audits de due diligence précédant une levée de fonds, une cession ou un partenariat stratégique.
En d’autres termes, une politique de confidentialité conforme n’est pas une formalité — c’est un document qui engage la responsabilité de l’entreprise et qui peut, en cas d’irrégularité, constituer un point de blocage dans des situations à fort enjeu.
Le Cabinet Jawhari accompagne les entreprises dans la rédaction et la mise en conformité de leur politique de confidentialité au regard de la loi 09-08.
Notre intervention couvre l’audit des traitements existants, la rédaction d’une politique de confidentialité sur mesure, l’identification des formalités CNDP requises, et la mise en cohérence avec les contrats conclus avec les prestataires techniques.
