RGPD au Maroc : Ce Que Votre Entreprise Doit Vraiment Faire

Votre entreprise exporte vers l'Europe ? Manipule des données de clients européens ? Alors le RGPD (Règlement Général sur la Protection des Données) vous concerne. Et non, ce n'est pas qu'une affaire de grandes entreprises.

Au Maroc, beaucoup d'entreprises pensent être exemptées parce qu'elles sont basées hors UE. Erreur. Si vous traitez des données de citoyens européens, le RGPD s'applique. Et même pour vos clients marocains, la loi 09-08 et la CNDP imposent des règles similaires.

Ce guide vous explique concrètement ce que vous devez faire pour être conforme—sans jargon juridique, juste du pragmatique.

Le RGPD en 3 minutes : C'est quoi exactement ?

Le RGPD, c'est une loi européenne entrée en vigueur en 2018 qui protège les données personnelles des citoyens de l'UE.

Données personnelles = toute info qui identifie une personne :

• Nom, prénom, email, téléphone

• Adresse IP

• Données bancaires

• Historique d'achats

• Cookies de navigation

Le principe de base : Vous ne pouvez collecter, stocker ou utiliser ces données que si :

1. La personne a donné son consentement explicite

2. Vous avez une raison légitime (contrat, obligation légale)

3. Vous protégez ces données contre les fuites

Pourquoi le RGPD vous concerne au Maroc

Vous êtes concerné si :

• Vous vendez à des clients en Europe (e-commerce, export)

• Vous avez des employés européens (même en remote)

• Votre site web a des visiteurs européens (oui, même juste des visiteurs)

• Vous sous-traitez pour des entreprises européennes

Exemples concrets :

• Une PME à Casablanca qui exporte du textile vers la France → RGPD

• Un centre d'appels qui traite des données de clients français → RGPD

• Un site e-commerce marocain accessible depuis l'Europe → RGPD

• Une agence web qui héberge des sites de clients européens → RGPD

Si vous ne faites que du business local (clients 100% marocains, pas de site web accessible en Europe), vous n'êtes pas soumis au RGPD. Mais vous restez soumis à la loi marocaine 09-08 et à la CNDP, qui imposent des règles similaires.

Les 7 obligations concrètes du RGPD

1. Consentement explicite pour collecter des données

Interdit :

• Cases pré-cochées sur les formulaires

• "En continuant, vous acceptez..." caché dans les CGV

• Collecter des données sans demander

Obligatoire :

• Case à cocher manuellement : "J'accepte que mes données soient utilisées pour..."

• Texte clair expliquant pourquoi vous collectez ces données

• Possibilité de refuser sans perdre le service (sauf si les données sont indispensables au service)

Exemple :
✅ "J'accepte de recevoir des offres commerciales par email" (case décochée par défaut)
❌ Case pré-cochée automatiquement

2. Droit d'accès et de suppression

Toute personne peut vous demander :

• Quelles données vous avez sur elle

• Pourquoi vous les avez collectées

• Leur suppression complète ("droit à l'oubli")

Vous avez 30 jours pour répondre.

Concrètement :
Vous devez être capable de retrouver toutes les données d'une personne dans tous vos systèmes (CRM, emails, bases de données, sauvegardes) et les supprimer si elle le demande.

3. Sécurisation des données

Vous devez mettre en place des mesures techniques pour protéger les données :

• Chiffrement des données sensibles (mots de passe, paiements)

• Accès limité aux employés (pas tout le monde ne doit voir toutes les données)

• Sauvegardes sécurisées

• Protection contre les cyberattaques

Si vous vous faites pirater et que des données fuient, vous êtes responsable.

4. Notification en cas de fuite de données

Si vos données sont piratées ou fuient :

• Vous devez le notifier aux autorités sous 72 heures

• Vous devez prévenir les personnes concernées

• Vous risquez une amende (jusqu'à 4% du chiffre d'affaires mondial ou 20M€)

Exemple :
Un hacker accède à votre base clients et vole 10,000 emails + mots de passe.
→ Vous devez prévenir la CNIL (autorité européenne) sous 72h ET envoyer un email à vos 10,000 clients.

5. Registre des traitements

Vous devez tenir un document (registre) listant :

• Quelles données vous collectez

• Pourquoi (finalité)

• Où elles sont stockées

• Qui y a accès

• Combien de temps vous les gardez

Ce registre doit être disponible sur demande des autorités.

Modèle simple :

6. Privacy by Design

Dès la conception de vos systèmes, la protection des données doit être intégrée.

Exemples :

• Collecter uniquement les données nécessaires (pas "on prend tout au cas où")

• Anonymiser les données quand possible

• Définir des durées de conservation (pas "on garde éternellement")

7. DPO (Data Protection Officer) si nécessaire

Si vous traitez des données sensibles à grande échelle (santé, justice, surveillance), vous devez nommer un DPO (Délégué à la Protection des Données).

La plupart des PME n'en ont pas besoin. Mais si vous êtes dans la santé, les RH, ou traitez des milliers de dossiers clients sensibles, c'est obligatoire.

La loi 09-08 et la CNDP au Maroc

Même si vous ne traitez que des données marocaines, vous êtes soumis à la loi 09-08 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

L'autorité de contrôle : CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel)

Obligations similaires au RGPD :

• Déclaration des traitements de données à la CNDP

• Sécurisation des données

• Droit d'accès et de rectification pour les personnes

• Sanctions en cas de non-respect

Différence clé : Avec la CNDP, certains traitements doivent être déclarés ou autorisés avant de commencer. Vous ne pouvez pas juste collecter des données sans prévenir.

Checklist pratique : Êtes-vous conforme ?

✅ Conformité de base (minimum vital)

• Vous avez une politique de confidentialité visible sur votre site web

• Vous demandez le consentement explicite avant de collecter des données (cases à cocher, pas pré-cochées)

• Vous offrez la possibilité de se désabonner facilement (emails, newsletters)

• Vous avez un email de contact pour les demandes RGPD (ex: privacy@votreentreprise.com)

• Vos mots de passe sont chiffrés dans votre base de données (pas en clair)

• Vous faites des sauvegardes régulières et sécurisées

✅ Conformité intermédiaire (entreprises exportatrices)

• Vous avez un registre des traitements à jour

• Vous avez défini des durées de conservation pour chaque type de donnée

• Vous avez un processus clair pour traiter les demandes d'accès/suppression

• Vous limitez les accès aux données (pas tout le monde n'a accès à tout)

• Vous avez un plan de réponse en cas de fuite de données

• Vous utilisez des sous-traitants conformes (hébergement, CRM, emailing)

✅ Conformité avancée (secteurs régulés)

• Vous avez nommé un DPO (Data Protection Officer)

• Vous faites des audits de sécurité réguliers (pentests, scans)

• Vous avez des contrats de sous-traitance conformes RGPD avec vos prestataires

• Vous avez une assurance cyber couvrant les amendes RGPD

• Vous formez vos employés aux bonnes pratiques RGPD annuellement

Les erreurs les plus fréquentes des PME

Erreur 1 : "On n'a pas de clients européens, donc ça ne nous concerne pas"
→ Faux. Si votre site est accessible depuis l'Europe et qu'un Français remplit un formulaire, vous êtes concerné.

Erreur 2 : "On a copié-collé une politique de confidentialité depuis Internet"
→ Dangereux. Elle doit refléter VOS pratiques réelles, pas un template générique.

Erreur 3 : "On stocke tout sur Google Drive, donc c'est sécurisé"
→ Pas suffisant. Vous restez responsable si Google a une fuite ou si un employé partage un lien public par erreur.

Erreur 4 : "On n'a jamais eu de fuite, donc on ne risque rien"
→ Les amendes RGPD tombent même sans fuite : juste pour non-conformité (absence de registre, pas de consentement, etc.)

Erreur 5 : "C'est trop compliqué pour une PME"
→ La base est simple : demander le consentement, protéger les données, répondre aux demandes. Le reste dépend de votre taille.

Comment se mettre en conformité (étapes pratiques)

Étape 1 : Faites l'inventaire (1 jour)

Listez :

• Quelles données vous collectez (emails, téléphones, adresses, etc.)

• Où elles sont stockées (CRM, Google Sheets, serveur, cloud)

• Qui y a accès (employés, prestataires)

Étape 2 : Rédigez votre politique de confidentialité (2 heures)

Template de base :

• Quelles données vous collectez

• Pourquoi (finalité)

• Combien de temps vous les gardez

• Avec qui vous les partagez (prestataires)

• Comment les personnes peuvent exercer leurs droits (email de contact)

Publiez-la sur votre site web (page /privacy ou /politique-confidentialite)

Étape 3 : Sécurisez vos systèmes (1-2 semaines)

• Mots de passe forts sur tous les comptes

• Authentification à double facteur (2FA) activée

• Sauvegardes automatiques hebdomadaires

• Accès limités (principe du moindre privilège)

Étape 4 : Formez vos équipes (1 réunion)

Expliquez à vos employés :

• On ne partage jamais de données clients sans raison

• On ne laisse pas les écrans déverrouillés

• On vérifie les emails suspects avant de cliquer

• On signale immédiatement toute anomalie

Étape 5 : Créez un processus pour les demandes RGPD (modèle email)

Ayez un modèle de réponse prêt pour quand quelqu'un demande :

• Accès à ses données : "Voici toutes les données que nous avons sur vous..."

• Suppression : "Vos données ont été supprimées de tous nos systèmes..."

Rôle de la cybersécurité dans la conformité RGPD

Le RGPD exige que vous "mettiez en place des mesures techniques et organisationnelles appropriées" pour protéger les données.

Concrètement, ça veut dire quoi ?

• Détection des intrusions : Si un hacker accède à votre base de données, vous devez le savoir rapidement

• Chiffrement : Les données sensibles (mots de passe, paiements) doivent être chiffrées

• Logs et traçabilité : Qui a accédé à quelles données, quand ? (audit trail)

• Sauvegardes sécurisées : En cas de ransomware, vous devez pouvoir restaurer sans payer

• Surveillance 24/7 : Les attaques arrivent la nuit, vous devez pouvoir réagir

Un MSSP vous aide à cocher ces cases sans embaucher une équipe sécurité complète.

Conclusion : Commencez simple, puis améliorez

Vous n'avez pas besoin d'être parfait du jour au lendemain. Commencez par :

1. Politique de confidentialité claire

2. Consentement explicite sur les formulaires

3. Sécurisation basique (mots de passe forts, sauvegardes)

Puis améliorez progressivement : registre des traitements, audits, formation des équipes.

Besoin d'aide pour l'aspect cybersécurité de votre conformité ?
On réalise un audit gratuit de votre infrastructure et on vous dit exactement ce qui manque pour être conforme.

Demander un audit de conformité

Questions sur RGPD ou loi 09-08 ? Contactez-nous : contact@cryptasec.com