Chargement...
Chargement...
Copyright © 2026 Anove International B.V.
All product names, logos, and brands are property of their respective owners. Use of these names does not imply affiliation, endorsement, or partnership.
Law 09-08
La loi marocaine 09-08 (2009) compte parmi les premières lois complètes de protection des données en Afrique ; elle repose sur un modèle de déclaration et d'autorisation préalables administré par la CNDP et s'appuie sur des amendes pénales et des peines d'emprisonnement.
La loi 09-08 a été promulguée le 18 février 2009 et mise en œuvre par le décret n° 2-09-165 du 21 mai 2009. Elle a créé la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel), qui informe, conseille, contrôle et sanctionne, et vérifie que les traitements sont licites et ne portent pas atteinte à la vie privée ni aux droits fondamentaux. Le régime repose sur la déclaration : tout traitement requiert une déclaration préalable à la CNDP, et une autorisation préalable est exigée pour les données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données de santé et génétiques), les changements de finalité, les données relatives aux infractions et condamnations et les données comportant le numéro de la carte nationale d'identité. Aucun traitement ne peut débuter avant la délivrance du récépissé ou de l'autorisation de la CNDP.
Les transferts transfrontaliers requièrent une autorisation préalable de la CNDP et un niveau de protection adéquat dans le pays de destination, sous réserve du consentement et d'autres exceptions restreintes. La prospection électronique directe sans consentement exprès préalable est interdite, sous réserve d'une exception relative aux clients existants. La loi elle-même n'impose ni délégué à la protection des données de manière générale, ni obligation de notification des violations. En 2025, la CNDP a annoncé le déploiement d'un outil de surveillance du dark web, conçu avec une entreprise de cybersécurité, afin de détecter la publication illicite de données à caractère personnel et d'identifier les responsables du traitement n'ayant pas déclaré leurs traitements. Le Maroc a ratifié la Convention 108 du Conseil de l'Europe et sa version modernisée et tient un registre national de protection des données.
Tout traitement doit être déclaré à la CNDP avant son commencement ; un traitement dépourvu du récépissé de la CNDP est illicite.
Les données sensibles, les changements de finalité, les données génétiques, les données relatives aux infractions et condamnations et les données comportant le numéro de la carte nationale d'identité requièrent une autorisation préalable de la CNDP.
Le traitement requiert en principe le consentement préalable de la personne concernée ; les données doivent être collectées pour des finalités déterminées, explicites et légitimes et être adéquates, exactes et à jour.
Tout transfert à l'étranger requiert une autorisation de la CNDP et un niveau de protection adéquat dans l'État destinataire, sauf exceptions limitées telles que le consentement exprès, l'obligation légale, le contrat ou les intérêts vitaux.
Pour aller plus loin
Anove analyse votre stack au regard de Law 09-08 et de plus de 260 autres cadres en quelques minutes.
Les responsables du traitement doivent mettre en œuvre toutes les mesures techniques et organisationnelles propres à empêcher l'endommagement, l'altération ou l'accès par des tiers non autorisés et choisir des sous-traitants présentant des garanties suffisantes.