Le traitement des données à caractère personnel recouvre un grand nombre d’opérations très ordinaires dans la vie d’une entreprise, qu’il s’agisse de la gestion des ressources humaines, de la paie, de la relation client, de la prospection commerciale, du contrôle des accès, de la vidéosurveillance, de la facturation, des sites web, des applications mobiles, des programmes de fidélité ou des services en ligne.

À travers ces usages, les entreprises enregistrent des noms, des coordonnées, des identifiants, des photos, des données bancaires et, parfois, des informations plus sensibles encore, liées à la santé, à la situation sociale ou à la vie professionnelle.

Au Maroc, ce cadre relève de la loi 09-08, qui impose que ces données soient collectées et traitées de manière loyale, légitime et transparente, pour une finalité précise et dans des proportions justifiées par l’activité.

Une entreprise ne peut pas collecter n’importe quelle information, la conserver sans limite, ni l’utiliser pour un autre objectif que celui annoncé au départ

Cette exigence a des conséquences très concrètes. Une entreprise ne peut pas collecter n’importe quelle information, la conserver sans limite, ni l’utiliser pour un autre objectif que celui annoncé au départ. Elle doit aussi, selon les cas, notifier ses traitements à la CNDP et obtenir les autorisations nécessaires. Le sujet ne concerne donc pas seulement les grands groupes. Il touche aussi les PME, dès lors qu’elles gèrent des salariés, des clients, des fournisseurs ou des visiteurs.

Le RGPD a changé la donne pour certaines entreprises

En dehors du cadre national, le Règlement Général sur la Protection des Données (RGPD) européen, entré en vigueur le 24 mai 2016 et applicable depuis le 25 mai 2018, a ajouté une contrainte supplémentaire pour une partie des entreprises marocaines. Dans son communiqué du 7 septembre 2017, la CNDP rappelait que le RGPD pouvait s’appliquer à des entreprises marocaines lorsqu’elles traitaient des données de personnes se trouvant dans l’Union européenne. Pour ces entreprises, il s’agissait d’une exigence de conformité liée à leurs activités sur le marché européen.

Le texte visait aussi les sous-traitants marocains, notamment dans l’offshoring, auxquels le règlement européen étendait une partie des obligations prévues pour les acteurs installés en Europe. La Commission y soulignait déjà l’impact possible de ce cadre sur la compétitivité des secteurs concernés et rappelait le niveau des sanctions prévues en cas de manquement, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Le sujet a été posé très tôt en termes économiques. Ainsi, le 11 octobre 2017, la CNDP et la Fédération du commerce et des services de la Confédération générale des entreprises du Maroc (CGEM) ont organisé un séminaire consacré à l’impact du RGPD sur les entreprises marocaines. Au-delà de l’aspect juridique, l’enjeu portait sur la capacité des entreprises concernées à continuer à opérer sur certains marchés, à répondre aux exigences de leurs partenaires et à éviter des blocages contractuels ou réglementaires.

Cette dynamique se poursuit. Plus récemment, le 13 novembre 2025, la CNDP et la CGEM ont signé à Casablanca une convention de partenariat destinée à renforcer l’accompagnement des entreprises marocaines sur la protection des données à caractère personnel.