Votre logiciel de gestion traite des données de clients marocains. Selon la loi 09-08, vous avez des obligations concrètes — et la plupart des éditeurs américains ne les respectent pas, parce qu’ils n’ont pas été conçus pour le cadre juridique marocain.
Voici ce que votre logiciel doit respecter, point par point.
La loi 09-08 : cadre de base
La loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel est en vigueur au Maroc depuis 2009. Elle est administrée par la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP).
En 2026, avec la montée des échanges numériques maroco-européens, la conformité à la 09-08 est de plus en plus vérifiée — notamment pour les entreprises qui commercent avec l’UE ou qui traitent des données de ressortissants étrangers.
Ce que la loi exige de votre logiciel
1. Finalité explicite du traitement
Votre logiciel ne peut pas collecter des données « au cas où ». Chaque champ de données doit correspondre à une finalité déclarée. Si votre CRM enregistre les préférences personnelles de vos clients, cette collecte doit être déclarée à la CNDP.
Ce que cela signifie concrètement : un logiciel hébergé sur des serveurs tiers qui collecte des métadonnées comportementales à des fins publicitaires viole potentiellement cet article.
2. Consentement explicite
La loi 09-08 exige un consentement clair et préalable pour le traitement de données sensibles. Un simple « en utilisant ce service, vous acceptez » ne suffit pas.
Votre logiciel doit être capable de documenter le moment et la modalité du consentement.
3. Droit d’accès et de rectification
Vos clients ont le droit de demander quelles données vous détenez sur eux, et d’en exiger la correction ou la suppression. Votre logiciel doit rendre cela techniquement possible — pas seulement via un email à votre support.
4. Sécurité des données
L’article 23 impose des mesures techniques et organisationnelles pour protéger les données. Cela comprend le chiffrement, les contrôles d’accès, et la journalisation des accès.
Un logiciel SaaS qui ne vous donne pas accès aux logs d’accès à vos propres données ne peut pas vous permettre de démontrer cette conformité.
5. Transferts internationaux de données
C’est le point le plus sensible en 2026. La loi 09-08 interdit le transfert de données personnelles vers des pays qui n’offrent pas un niveau de protection adéquat, sauf exceptions encadrées.
Les États-Unis ne figurent pas sur la liste des pays à niveau adéquat reconnu par la CNDP. Si votre logiciel stocke vos données sur des serveurs américains — même via un prestataire européen utilisant AWS ou Azure US — vous êtes potentiellement en infraction.
Le problème avec les logiciels SaaS américains
La plupart des éditeurs SaaS américains ont des serveurs primaires aux États-Unis, avec éventuellement des nœuds en Europe. Mais le CLOUD Act américain de 2018 permet au gouvernement américain d’accéder à ces données, peu importe où elles sont physiquement hébergées.
Ce n’est pas une opinion — c’est la loi américaine.
Pour une PME marocaine qui traite des données de clients ou d’employés, utiliser un tel logiciel crée une exposition réelle au regard de la loi 09-08.
Ce qu’un logiciel conforme doit offrir
- Hébergement sur serveur que vous contrôlez — idéalement en Europe ou au Maroc
- Export et suppression des données facilités — droit à l’oubli opérationnel
- Journaux d’accès accessibles — pour démontrer la sécurité en cas d’audit CNDP
- Pas de collecte de données à des fins publicitaires — finalité unique, déclarée
- Chiffrement des données sensibles — au repos et en transit
Votre situation actuelle
Si vous utilisez un logiciel SaaS dont vous ne connaissez pas l’adresse des serveurs, vous ne pouvez pas démontrer votre conformité à la loi 09-08. C’est aussi simple que cela.
La conformité n’est pas un certificat à obtenir une fois — c’est une capacité permanente à répondre aux questions de la CNDP avec des preuves techniques.
Vous gérez des données de clients ou d'employés au Maroc ?
Questions fréquentes
La loi 09-08 s’applique-t-elle aux petites entreprises ? Oui. La loi s’applique à toute personne physique ou morale traitant des données personnelles au Maroc, quelle que soit la taille de l’entreprise. La CNDP peut contrôler les TPE comme les grandes entreprises.
Mon logiciel hébergé en Europe est-il conforme à la loi 09-08 ? Pas automatiquement. L’UE est reconnue par la CNDP comme offrant un niveau adéquat, ce qui facilite les transferts. Mais votre logiciel doit quand même respecter les principes de finalité, consentement et sécurité de la loi 09-08 pour les données de vos clients marocains.
Que risque-t-on en cas de non-conformité ? La CNDP peut prononcer des sanctions allant de l’avertissement à des amendes, et dans les cas graves, à des poursuites pénales. En pratique, les contrôles se multiplient depuis 2023, notamment pour les secteurs banque, assurance et e-commerce.