Loi 09-08 et SOC managé : ce que la CNDP vous demandera vraiment en 2026.

Monter une activité de SOC managé au Maroc, en 2026, ne se résume pas à aligner une plaquette commerciale sur le mot « souverain ». À un moment, au plus tard à la signature du premier client régulé, il faut produire un dossier de déclaration auprès de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP), l'autorité chargée de l'application de la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ^[1][2].

Nous l'avons fait pour CRYPTASEC. Cet article ne traite pas du sujet par procuration : il raconte ce que la CNDP regarde réellement dans un dossier de SOC managé, dans quel ordre, et pourquoi un hébergement chez un fournisseur cloud européen (pourtant souvent vendu comme « cloud souverain ») ne suffit pas à éteindre la question.

1. La loi 09-08, en deux paragraphes pour un DSI.

La loi 09-08, promulguée en 2009 et toujours le texte de référence en 2026, encadre tout traitement de données à caractère personnel sur le territoire marocain ^[1][2]. Un journal d'authentification Windows, une alerte EDR qui contient un nom d'utilisateur, un log Active Directory, un événement Microsoft 365 : tout cela est, au sens du texte, du traitement de données à caractère personnel, parce que cela identifie, directement ou indirectement, une personne physique.

Concrètement, pour un SOC managé, deux conséquences en découlent. D'abord, l'entreprise cliente est responsable du traitement au sens de la loi : c'est elle qui décide pourquoi et comment ces données sont traitées. Ensuite, le prestataire SOC est sous-traitant : il agit sur instruction du responsable, dans un cadre contractuel qui doit être documenté. Cette répartition n'est pas un détail rédactionnel. C'est elle qui détermine la liste des pièces à produire dans le dossier CNDP et la nature du contrôle qui s'exerce ensuite.

2. Ce que la CNDP vous demandera (les vraies sections du formulaire).

Le formulaire de déclaration normale ouvert par la CNDP est un document structuré en sections. Toutes ne pèsent pas le même poids dans l'instruction. Pour un dossier de SOC managé, quatre sections sont décisives, et c'est sur elles que se concentre l'instruction réelle.

2.1. Finalité du traitement.

Première section, et premier piège. La CNDP attend une finalité précise et exhaustive, formulée en termes d'activité, pas en termes de produit. « Supervision de sécurité » ne passe pas. « Détection et qualification d'événements de sécurité informatique, sur la base de journaux applicatifs, réseau et système, en vue de notifier le responsable de traitement en cas d'incident avéré » est le niveau de granularité attendu. Chaque finalité supplémentaire (réponse à incident, analyse forensique, conservation à des fins de preuve) doit être nommée séparément. Une finalité absente de la déclaration ne pourra pas être activée légalement plus tard sans une déclaration complémentaire.

2.2. Durée de conservation.

La CNDP demande une durée précise, exprimée en jours ou en mois, justifiée par la finalité. Pour un SOC, la pratique défendable est de distinguer plusieurs paliers : journaux bruts en chaud (typiquement 30 à 90 jours pour permettre l'enquête), journaux en froid pour les besoins de preuve (souvent 12 à 24 mois, alignés sur les durées de prescription civile et pénale applicables), et données dérivées des cas d'incident (durée alignée sur le cycle de vie du dossier client). Une déclaration qui annonce « conservation indéfinie » ou « selon les besoins opérationnels » se fait systématiquement reprendre.

2.3. Transferts hors-Maroc.

C'est la section que la majorité des prestataires sous-traitent mal. La loi 09-08 prévoit qu'un transfert de données à caractère personnel vers un pays tiers n'est licite que si ce pays assure un niveau de protection suffisant ^[2]. La CNDP entretient une liste des pays reconnus, qui évolue dans le temps. Le point qu'il faut entendre est ailleurs : la question de fond n'est pas « où est mon datacenter », c'est « où voyage techniquement la donnée ».

Un journal de sécurité hébergé sur un cluster en France, accédé depuis Casablanca par une console qui rapatrie le contenu pour l'afficher, génère un transfert. Un modèle d'analyse hébergé chez un fournisseur étranger, à qui l'on envoie un prompt contenant un nom d'utilisateur, génère un transfert. Un service de notification qui reçoit l'extrait d'une alerte génère un transfert. La CNDP attend la liste exhaustive de ces flux, et pour chacun : pays de destination, finalité du transfert, base légale invoquée.

2.4. Mesures de sécurité.

Dernière section décisive. La CNDP n'évalue pas la sécurité en mode binaire (« y a-t-il un firewall ? »). Elle évalue la cohérence d'un dispositif : contrôle d'accès, journalisation des accès aux données, chiffrement en transit et au repos, procédure de gestion des incidents, sensibilisation des opérateurs, audits réguliers. Les mesures déclarées doivent être vérifiables : si la CNDP demande à voir la procédure d'accès ou le résultat de l'audit le plus récent, le prestataire doit pouvoir les produire dans un délai raisonnable.

3. Le piège du « cloud souverain européen ».

Une grande partie de l'offre MDR vendue aujourd'hui au Maroc utilise des plateformes opérées depuis l'Union européenne. Le pitch commercial est connu : « hébergement RGPD, cloud souverain européen ». Ce pitch est techniquement et juridiquement insuffisant pour un dossier CNDP 09-08, et il faut comprendre pourquoi.

La loi 09-08 est une loi marocaine. Elle protège les personnes physiques résidentes ou dont les données sont traitées sur le territoire national. Le RGPD européen protège les personnes physiques dans l'Union européenne ^[3]. Les deux textes se ressemblent dans leurs principes (finalité, proportionnalité, durée), mais ils ne sont pas équivalents quand il s'agit de la question qui nous occupe : un transfert de données depuis le Maroc vers la France reste un transfert au sens de la loi 09-08, même si la France protège bien les données qu'elle reçoit en application du RGPD. Le destinataire offre un bon niveau de protection ; le mouvement, lui, n'en demeure pas moins un transfert qui doit être déclaré, motivé, et autorisé.

Conséquence pratique : un client marocain qui reçoit de son MSSP une attestation « nos serveurs sont hébergés en France » n'a pas répondu à la question CNDP. Il a répondu à une autre question, plus confortable. Et le jour où la CNDP demande la liste des transferts hors-Maroc dans le cadre d'un contrôle, l'attestation française devient le problème, pas la solution.

C'est sur cette base que CRYPTASEC opère depuis un datacenter en territoire marocain, à Rabat, dans un environnement technique physiquement situé sur le sol national. Nos décisions d'architecture suivent la même logique : par exemple, le choix d'exécuter nos modèles d'analyse sur du matériel CRYPTASEC physiquement au Maroc plutôt que d'envoyer des extraits de journaux à un fournisseur d'inférence en Europe. Ces décisions sont consignées par écrit, en amont, parce que la traçabilité d'une posture souveraine se construit avant le contrôle, pas en réponse.

4. Ce que cela signifie pour votre choix de prestataire SOC.

Si vous instruisez en ce moment une mise en concurrence MDR pour votre entreprise au Maroc, voici trois questions concrètes à poser à chaque candidat. Aucune n'est exotique. Toutes sont vérifiables. Si l'une des réponses est vague, c'est un signal.

1. Où, physiquement, sont stockés les journaux que vous collecterez chez nous ? Et où est exécuté le code qui les analyse ? La réponse attendue est une adresse postale ou une zone de datacenter nommée, pas un nom de fournisseur cloud. Si la réponse est « chez X en Europe », vous savez que vous devrez déclarer un transfert. Si la réponse est « dans une zone marocaine » et que le prestataire ne sait pas vous nommer laquelle, il y a probablement un détour technique non documenté.
2. Pouvez-vous nous fournir la liste exhaustive des destinations réseau auxquelles vos services se connectent en sortie ? Et la mettre à jour à chaque évolution ? Un opérateur sérieux dispose d'une politique d'égress documentée (la liste des domaines et adresses IP autorisés en sortie). S'il ne peut pas la produire, il n'a pas la maîtrise de ses propres flux. Et s'il ne peut pas la produire par tenant, il ne pourra pas démontrer qu'aucune fuite n'existe entre clients.
3. En cas de contrôle CNDP, êtes-vous capables de produire dans un délai raisonnable la documentation des mesures de sécurité, la procédure de gestion des accès, et la liste à jour des transferts ? Si la réponse est oui, demandez à voir un échantillon. Si la réponse est « ça dépend », vous avez la mesure exacte de l'engagement.

Ces trois questions ne couvrent pas l'intégralité d'un dossier de mise en concurrence ; il y a aussi la profondeur de détection, la qualité du suivi opérationnel, les SLA tenables. Mais elles couvrent la dimension conformité 09-08, et elles le font sans jargon. Si un candidat MSSP ne sait pas y répondre, vous savez aussi quelque chose sur sa capacité à tenir un dossier le jour où vous serez contrôlé.

5. Ressources et étapes suivantes.

La CNDP publie sur son site les formulaires de déclaration et les notes d'orientation qui s'appliquent ^[1]. Le texte intégral de la loi 09-08 est disponible en ligne ^[2]. Pour la lecture comparative avec le cadre européen, le règlement général sur la protection des données est public ^[3].

La conformité loi 09-08 se traite comme un dossier vivant : préparé en amont, tenu à jour, défendable en contrôle. Aucune case cochée sur un slide commercial ne remplace ce travail. Quand vous choisissez un prestataire de SOC managé, le test à appliquer est simple : votre prestataire peut-il tenir ce dossier sans vous ? Si oui, vous achetez de la conformité structurelle. Sinon, vous achetez une promesse, et le contrôle vous restera sur les bras.

Voir aussi. Le cadre marocain ne couvre pas les entreprises marocaines qui vendent à des clients européens : pour ce périmètre, voir RGPD et entreprises marocaines : ce qui s'applique vraiment si vous vendez en Europe.