RGPD et entreprises marocaines : ce qui s'applique vraiment si vous vendez en Europe.

Une question revient à chaque rencontre avec un dirigeant marocain qui exporte vers l'Europe : « est-ce que le RGPD me concerne, moi, qui ne suis pas en Europe ? ». La réponse de fond est oui, dès lors qu'une partie de vos clients ou des personnes dont vous traitez les données se trouvent sur le territoire de l'Union européenne. L'article 3 du règlement (UE) 2016/679 fixe ce point très clairement : le règlement s'applique au traitement des données à caractère personnel relatif à l'offre de biens ou de services à des personnes concernées sur le territoire de l'Union, ou au suivi de leur comportement, indépendamment du lieu d'établissement du responsable du traitement ^[1].

Cet article s'adresse aux entreprises marocaines qui ont, déjà aujourd'hui, des clients européens ou un site accessible depuis l'Europe. Il ne reprend pas le RGPD à zéro ; il pointe les quatre situations qui font basculer une activité marocaine dans le champ du règlement, les obligations qui mordent réellement un exportateur, et la place précise de la cybersécurité dans la conformité.

1. Vous vendez en Europe ? Le RGPD vous concerne déjà.

Plusieurs scénarios courants au Maroc tombent sous le coup du RGPD sans que les dirigeants concernés en aient toujours conscience. Quelques exemples concrets, tirés du tissu économique marocain :

• Un atelier textile à Casablanca qui livre une marque française et collecte les coordonnées des destinataires européens pour le suivi des expéditions.
• Un site e-commerce marocain qui accepte des commandes payées en euros et expédiées vers la France, la Belgique ou l'Espagne.
• Un centre d'appels à Rabat ou Fès qui gère, pour le compte d'un donneur d'ordre européen, une relation client située en Europe.
• Une plateforme SaaS marocaine qui héberge les comptes utilisateurs d'organisations européennes (CRM, gestion de projet, outils RH).
• Une agence web marocaine qui héberge ou exploite les sites de clients européens dont les visiteurs sont eux-mêmes européens.

Dans chacun de ces cas, l'entreprise marocaine traite des données personnelles de résidents européens. Le critère décisif n'est pas le lieu d'immatriculation, ce n'est pas non plus le lieu d'hébergement des serveurs. Le critère, posé à l'article 3.2 du RGPD, est la localisation de la personne concernée au moment du traitement ^[1]. À partir du moment où vous offrez un bien, un service, ou suivez le comportement d'une personne située dans l'Union, vous êtes dans le champ.

Le Comité européen de la protection des données a publié des lignes directrices sur ce champ d'application territorial qui précisent les indices retenus par les autorités : utiliser une langue ou une devise européenne, livrer vers des pays européens, mentionner des clients européens dans son matériel commercial, ces éléments matérialisent l'intention d'offrir un service en Europe ^[2].

2. Quand le RGPD s'applique vraiment (et quand il ne s'applique pas).

La règle se résume en quatre déclencheurs. Si l'un au moins est rempli, le RGPD s'applique :

1. Vous offrez des biens ou des services à des personnes situées dans l'Union européenne, à titre payant ou gratuit.
2. Vous suivez le comportement de personnes situées dans l'Union (analyse comportementale, pistage publicitaire, profilage).
3. Vous êtes établi dans l'Union européenne par une succursale, une filiale ou un bureau de représentation.
4. Vous traitez des données pour le compte d'un responsable de traitement européen (vous êtes alors sous-traitant au sens de l'article 28 du RGPD).

Et la limite, qui est utile à connaître pour ne pas sur-déclencher : une entreprise purement marocaine dont l'activité s'adresse exclusivement à des clients marocains, sur le territoire national, n'entre pas dans le champ du RGPD. Elle relève du cadre marocain, c'est-à-dire de la loi 09-08 et de la CNDP. Pour ce périmètre, voir notre analyse détaillée de la loi 09-08 et de la CNDP ; le présent article ne refait pas ce parcours.

Cas mixte, qui est le plus fréquent en pratique : une entreprise marocaine sert à la fois des clients marocains et des clients européens. Elle relève alors des deux cadres en parallèle, chacun sur son périmètre. Ce n'est pas un cumul de contraintes incompatibles, c'est une cartographie de traitements à tenir à jour, avec la base légale et le cadre applicable précisés par flux.

3. Les obligations RGPD qui mordent les exportateurs.

Un primer RGPD complet remplit un livre. Pour un exportateur marocain, six obligations concentrent l'essentiel du risque opérationnel et financier. Elles méritent d'être traitées en priorité, parce que ce sont elles qui appellent une preuve documentée en cas de contrôle ou d'incident.

• Consentement explicite et documenté. Pour collecter des données personnelles à des fins marketing ou de profilage, vous devez recueillir un consentement clair, libre, spécifique et démontrable. Une case pré-cochée ne tient pas. Le consentement doit pouvoir être retiré aussi simplement qu'il a été donné.
• Droits d'accès, de rectification et d'effacement. Toute personne concernée peut demander à voir, corriger ou effacer ses données. Le délai de réponse maximal est d'un mois, prorogeable de deux mois en cas de demande complexe ^[1]. Au-delà, la non-réponse devient elle-même un manquement.
• Notification d'une violation à l'autorité dans les 72 heures. Article 33 du RGPD : en cas de violation susceptible d'engendrer un risque pour les droits et libertés des personnes, vous devez notifier l'autorité de contrôle compétente sans retard injustifié et, lorsque c'est possible, dans les 72 heures après en avoir pris connaissance ^[1]. La fenêtre court à partir de la prise de connaissance, pas du début de l'attaque ; d'où l'importance de la détection.
• Registre des traitements. Article 30 : tout responsable de traitement (et son sous-traitant) doit tenir un registre listant ses traitements, leurs finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité ^[1]. C'est l'inventaire de base sur lequel s'appuie toute vérification interne et tout contrôle.
• Sécurité dès la conception et par défaut. Articles 25 et 32 : la sécurité ne se rajoute pas après coup. Elle doit être pensée dans le choix des outils, dans l'architecture et dans la configuration. Les mesures techniques doivent être adaptées au risque (chiffrement, pseudonymisation, contrôle d'accès, journalisation, capacité à restaurer après incident) ^[1].
• Sanctions financières. Article 83 : les manquements les plus graves sont passibles d'amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu ^[1]. L'autorité française CNIL a déjà appliqué cette grille à des responsables non-européens dont le site était accessible en France ^[3].

Ces six obligations sont celles qu'un contrôle commence par vérifier. Elles sont aussi celles qui, en cas d'incident de sécurité, déterminent si vous êtes en posture défendable ou non.

4. Le double régime : Maroc et Union européenne.

Une entreprise marocaine qui vend en Europe se retrouve avec deux cadres à respecter en parallèle, sur des périmètres différents. La loi 09-08 reste applicable pour la part de l'activité qui touche des résidents marocains et pour les traitements effectués sur le territoire national. Le RGPD s'applique pour la part qui touche des personnes situées dans l'Union européenne. Ce n'est pas une situation pathologique, c'est la situation normale d'un exportateur.

Les deux textes se ressemblent dans leurs principes (finalité, proportionnalité, durée de conservation, sécurité), mais ils divergent sur quelques points qu'il faut connaître. L'extraterritorialité du RGPD est explicite et large : l'article 3 capte un exportateur même sans présence physique en Europe. Les sanctions du RGPD sont quantifiées dans le texte même, alors que le régime de la loi 09-08 a sa propre grille, distincte. Et la procédure de notification d'incident, formalisée à 72 heures dans le RGPD, est l'un des points où les attentes opérationnelles peuvent peser différemment selon le cadre concerné.

Pour le détail du régime marocain (formulaires CNDP, finalité, durée de conservation, transferts hors-Maroc, mesures de sécurité), voir notre analyse de la loi 09-08 et de la CNDP. Cet article-ci ne refait pas ce parcours pour ne pas brouiller la lecture. L'enseignement à retenir, pour un exportateur, est qu'il faut traiter les deux régimes ensemble, par flux et par finalité, et pas en silos juridiques séparés.

5. La cybersécurité, là où CRYPTASEC entre en jeu.

La conformité au RGPD comporte un volet juridique (registre, contrats, mentions légales, recueil du consentement, désignation d'un délégué à la protection des données dans les cas prévus par le règlement) et un volet cybersécurité (détection, journalisation, chiffrement, contrôle d'accès, capacité à notifier dans les 72 heures). Ces deux volets sont complémentaires. CRYPTASEC opère sur le second.

Concrètement, voici les briques de la dimension cybersécurité que notre SOC managé apporte à une entreprise marocaine soumise au RGPD :

• Détection des intrusions et des fuites de données avant exfiltration. La fenêtre de 72 heures pour la notification ne commence à courir qu'à partir du moment où la violation est connue. Sans capacité de détection, cette fenêtre s'ouvre sur un incident déjà ancien, où la posture défensive est difficile à tenir. Avec un SOC qui surveille en continu, la détection est rapprochée de l'événement et le délai de notification reste maîtrisable.
• Surveillance des journaux d'accès aux données personnelles. Les accès aux jeux de données sensibles sont tracés et conservés selon une politique documentée, ce qui produit la preuve nécessaire pour démontrer la conformité au principe de sécurité de l'article 32, ou pour reconstituer la chronologie d'une violation.
• Surveillance de l'authentification multifacteur. Les tentatives de contournement de MFA, les inscriptions de facteurs frauduleux, les connexions depuis des géographies anormales sont détectées et qualifiées.
• Surveillance de l'état du chiffrement. Le chiffrement au repos et en transit fait partie des mesures techniques attendues par le RGPD. Notre SOC suit l'état de ces contrôles et alerte sur les régressions (algorithmes faibles réactivés, certificats expirés, flux passés en clair par erreur de configuration).
• Surveillance continue par des analystes humains en rotation. Pas d'agent autonome livré à lui-même. Un humain regarde, qualifie, décide.
• Confinement humain dans la boucle. Quand une action de réponse est requise (isolement d'un poste, révocation d'une session, blocage d'un flux sortant), c'est un analyste qui valide et déclenche. Cette posture humain-dans-la-boucle est un choix de design, pas une limite technique. Elle réduit le risque d'isolement par erreur et conserve la maîtrise opérationnelle du responsable de traitement.

Ce que CRYPTASEC ne fait pas, et qu'il est honnête de poser explicitement : nous ne tenons pas le dossier RGPD à votre place, nous ne représentons pas la fonction de délégué à la protection des données, et nous ne livrons pas de tests d'intrusion. Notre périmètre est la cybersécurité opérationnelle au quotidien, c'est-à-dire la moitié technique de votre conformité. La partie juridique, organisationnelle et documentaire reste à votre direction juridique ou à un cabinet spécialisé. Cette répartition des rôles est claire et n'a pas vocation à changer.

Côté localisation des données : notre plateforme est hébergée dans un datacenter sur le territoire marocain, à Rabat. Aucune télémétrie de votre environnement ne quitte le pays. Pour les entreprises qui ont à la fois des obligations 09-08 et RGPD, cette posture simplifie la cartographie des transferts internationaux, parce qu'il n'y a aucun transfert sortant du Maroc côté SOC.

6. À retenir.

Le RGPD n'est pas optionnel pour une entreprise marocaine qui vend en Europe. La question n'est pas de savoir si vous y êtes soumis ; c'est de savoir si vous tenez les obligations qui en découlent. La loi 09-08 reste applicable en parallèle pour la part de votre activité qui concerne le marché marocain, sans contradiction avec le règlement européen.

La dimension sécurité de la conformité (détection, journalisation, MFA, chiffrement, capacité de notifier dans les 72 heures) se prépare en amont. Une fois l'incident en cours, il est trop tard pour la mettre en place. C'est sur cette dimension précise, et seulement sur celle-ci, que notre SOC managé intervient : votre capacité de détection et de réponse, opérée depuis le Maroc, avec un humain dans la boucle. La part juridique de la conformité reste du ressort de votre direction juridique ou de votre cabinet habituel.