Vous avez un site web pour votre cabinet, votre commerce ou votre PME, et un formulaire de contact qui collecte le nom, le téléphone et l'e-mail de vos clients. Peut-être même une newsletter, ou un espace où les gens prennent rendez-vous en ligne. Tout cela vous paraît banal, et pourtant : à la seconde où vous enregistrez la moindre donnée personnelle d'un Marocain, vous tombez sous le coup de la loi 09-08 et de la CNDP. La plupart des patrons l'ignorent, jusqu'au jour où ça pose problème.
Ce n'est pas un sujet réservé aux grandes banques ou aux opérateurs télécom. Un restaurant à Marrakech qui prend des réservations, un cabinet médical à Rabat avec ses dossiers patients, une boutique en ligne à Casablanca qui stocke des adresses de livraison : tous sont concernés. La bonne nouvelle, c'est qu'être en règle n'a rien d'insurmontable ni de ruineux. Voici, en langage clair, ce que la loi attend de votre site et comment vous mettre en conformité sans paniquer.
C'est quoi la loi 09-08, concrètement ?
La loi 09-08 est la loi marocaine qui protège les personnes physiques vis-à-vis du traitement de leurs données personnelles. Une donnée personnelle, c'est tout ce qui permet d'identifier quelqu'un : nom, prénom, numéro de téléphone, e-mail, adresse, photo, parfois même une adresse IP. Dès que votre site en collecte, vous devenez « responsable de traitement » aux yeux de la loi.
L'organisme qui veille au respect de cette loi, c'est la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel). Concrètement, elle attend de vous trois choses simples à comprendre :
- Informer la personne de ce que vous collectez et pourquoi.
- Obtenir son consentement avant de la collecter.
- Déclarer votre traitement de données auprès de la CNDP.
Beaucoup de patrons croient qu'il s'agit d'une formalité européenne (le fameux RGPD). Non : au Maroc, c'est la loi 09-08 qui s'applique, et elle a ses propres règles et son propre guichet de déclaration.
Pourquoi vous ne pouvez pas l'ignorer
Au-delà du principe, il y a des raisons très concrètes de se mettre en règle :
- Les sanctions existent. La loi prévoit des amendes (de quelques milliers à plusieurs dizaines de milliers de dirhams selon les cas) et, dans les situations graves, des peines plus lourdes. Une plainte d'un client mécontent peut suffire à déclencher un contrôle.
- La confiance de vos clients. Un Marocain qui voit une mention claire « vos données sont protégées et déclarées à la CNDP » se sent plus en sécurité pour laisser son numéro. À l'inverse, l'absence totale de mentions sent l'amateurisme.
- Vos partenaires l'exigent. Si vous travaillez avec une grande entreprise, une administration ou un appel d'offres, la conformité CNDP est souvent demandée noir sur blanc.
Autrement dit, ce n'est pas seulement « se couvrir » : c'est un argument commercial.
Ce que votre site doit afficher et faire
Voici la liste concrète des éléments à mettre en place sur votre site pour être en règle. C'est plus une question de méthode que de technique :
- Une politique de confidentialité claire, accessible depuis le pied de page, qui explique quelles données vous collectez, dans quel but, combien de temps vous les gardez et comment la personne peut les faire corriger ou supprimer.
- Des mentions légales identifiant qui est derrière le site (nom, raison sociale, contact).
- Une case à cocher de consentement sur chaque formulaire (contact, devis, newsletter), non cochée par défaut, avec une phrase du type « J'accepte que mes informations soient utilisées pour être recontacté ».
- Un bandeau cookies si vous utilisez Google Analytics, Facebook Pixel ou tout outil de suivi.
- Le numéro de déclaration CNDP affiché, une fois votre dossier validé.
Sur un site vitrine bien conçu, ces éléments se mettent en place rapidement et discrètement, sans alourdir l'expérience du visiteur. Le piège à éviter, c'est le copier-coller d'une politique de confidentialité trouvée sur un site français : elle parlera de RGPD et d'autorités européennes qui n'ont rien à voir avec votre situation.
La déclaration à la CNDP, étape par étape
C'est l'étape qui fait peur, alors qu'elle est balisée. La déclaration se fait en ligne sur le site de la CNDP. Dans les grandes lignes :
- Vous créez un compte sur le portail de la CNDP.
- Vous décrivez votre traitement : quelles données, dans quel but (par exemple « gestion des demandes de contact et de devis »), qui y a accès, où elles sont hébergées.
- Vous soumettez le dossier. Pour les traitements courants d'une PME, la procédure est simplifiée.
- Vous recevez un récépissé avec un numéro de déclaration, que vous affichez sur votre site.
Les frais sont modestes pour une PME, et beaucoup de petites structures s'en sortent seules. Si la paperasse vous rebute, un prestataire peut préparer le dossier pour vous : comptez en général entre 1 500 et 4 000 DH pour un accompagnement de déclaration simple, mise en conformité du site comprise.
Les cas particuliers : santé, e-commerce, RH
Certaines activités demandent plus de rigueur :
- Cabinets médicaux et cliniques : les données de santé sont « sensibles » et exigent des garanties renforcées. Si vous gérez des dossiers patients en ligne via une application web métier, la sécurité (chiffrement, accès limités) devient centrale.
- E-commerce : vous stockez adresses et historiques d'achat. Pensez aussi au paiement : ne conservez jamais les numéros de carte vous-même, laissez ça à votre prestataire de paiement.
- Recrutement : si vous collectez des CV via votre site, c'est aussi un traitement à déclarer.
Dans tous ces cas, mieux vaut intégrer la conformité dès la conception du site plutôt que de bricoler après coup.
En résumé : par où commencer
La loi 09-08 n'est pas un mur, c'est une checklist. Commencez par rédiger une vraie politique de confidentialité adaptée au Maroc, ajoutez les cases de consentement à vos formulaires, gérez le bandeau cookies, puis déclarez votre traitement à la CNDP. En une journée de travail bien menée, un site de PME passe de « hors-la-loi sans le savoir » à « propre et rassurant ».
Si vous n'êtes pas sûr de votre situation, faites auditer votre site existant : on repère vite les manques. Mieux vaut une heure de vérification aujourd'hui qu'une plainte demain. Pour faire le point sur votre cas précis, parlons-en directement : un site conforme inspire confiance, et la confiance, au Maroc comme ailleurs, ça fait vendre.
Questions fréquentes
Mon petit site avec un simple formulaire de contact est-il concerné par la loi 09-08 ?
Oui. Dès que vous collectez un nom, un téléphone ou un e-mail, vous traitez des données personnelles et tombez sous la loi 09-08. La taille de votre entreprise n'y change rien : un cabinet, un commerce ou une PME doivent déclarer leur traitement à la CNDP et informer leurs visiteurs.
Combien coûte la mise en conformité CNDP pour une PME ?
La déclaration auprès de la CNDP elle-même a des frais modestes. Si vous passez par un prestataire pour préparer le dossier et mettre votre site aux normes (politique de confidentialité, cases de consentement, bandeau cookies), comptez en général entre 1 500 et 4 000 DH pour un cas simple.
Puis-je copier la politique de confidentialité d'un site français ?
Non, c'est une erreur fréquente. Un texte français parle de RGPD et d'autorités européennes qui ne s'appliquent pas au Maroc. Votre politique doit citer la loi 09-08 et la CNDP, et décrire vos propres traitements. Un texte inadapté peut même se retourner contre vous.
Que risque-t-on si on ne déclare pas son site à la CNDP ?
La loi prévoit des amendes allant de quelques milliers à plusieurs dizaines de milliers de dirhams, voire des peines plus lourdes dans les cas graves. Une plainte d'un client suffit parfois à déclencher un contrôle. Au-delà du risque légal, l'absence de mentions nuit à votre crédibilité.