CRYPTASEC / LÉGAL / CNDP · 09-08
Loi 09-08 · alignement CNDP

Alignement CNDP.

CRYPTASEC est en cours d'enregistrement auprès de la Commission Nationale de protection des Données à caractère Personnel (CNDP). Voici notre posture vis-à-vis de la Loi 09-08, le périmètre concerné, et les recours qui vous sont ouverts.

Statut Enregistrement en cours Cadre Loi 09-08 Autorité CNDP · Royaume du Maroc Mise à jour 14 mai 2026
01 Enregistrement CNDP

Notre posture.

CRYPTASEC est en cours d'enregistrement auprès de la CNDP en tant que responsable de traitement et sous-traitant pour ses activités MDR. La démarche est inscrite dans notre feuille de route compliance et conduite avec un conseil juridique spécialisé.

Conformément à l'article 12 de la Loi n° 09-08, l'enregistrement couvrira l'ensemble des traitements opérés par CRYPTASEC en qualité de responsable de traitement (gestion commerciale, recrutement, communication corporate) ainsi que les traitements opérés en qualité de sous-traitant pour le compte des clients SOC.

Une fois la déclaration effective, le numéro de récépissé CNDP sera publié sur cette page et dans nos mentions de confidentialité.

Les traitements relatifs à la vidéoprotection, aux données biométriques et au scoring ne font pas partie de notre périmètre et ne sont jamais opérés par CRYPTASEC.

Nos engagements d'alignement Loi 09-08

  • Minimisation des données : nous ne collectons que ce qui est strictement nécessaire à la finalité annoncée (le formulaire de contact n'a que sept champs, voir §02 Confidentialité).
  • Limitation de conservation : durées définies par finalité, suppression à terme, sur demande à 30 jours.
  • Obligations de sécurité : chiffrement au repos et en transit, hébergement souverain dans un datacenter en territoire marocain.
  • Accords de sous-traitance (DPA) : chaque client SOC bénéficie d'un Accord de Sous-Traitance écrit définissant les traitements opérés pour son compte.
  • Droits des personnes : accès, rectification, suppression, opposition, portabilité, exerçables par email à contact@cryptasec.com.
02 Cadre légal

La loi 09-08.

La loi n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel constitue le socle juridique applicable au Royaume du Maroc. Elle est complétée par le décret d'application n° 2-09-165 et les délibérations de la CNDP.

  • Article 1 Champ d'application : toute donnée permettant l'identification directe ou indirecte d'une personne physique.
  • Article 3 Principes : licéité, proportionnalité, finalité, exactitude, limitation de la conservation.
  • Article 9 Consentement : préalable, libre, spécifique et éclairé.
  • Article 12 Formalités : déclaration normale ou autorisation préalable selon la sensibilité.
  • Articles 23–28 Droits des personnes : accès, rectification, opposition, oubli.
  • Article 43 Sanctions : pénales et administratives en cas de manquement.

CRYPTASEC suit également, à titre supplétif et lorsque cela renforce la protection des personnes, les dispositions du Règlement Général sur la Protection des Données (UE 2016/679), sans pour autant transférer aucune donnée hors du territoire marocain.

03 Périmètre déclaré

Ce qui est couvert.

TraitementFinalitéType de déclaration
Gestion commercialeSuivi prospects, devis, contratsNormale
RecrutementÉvaluation candidaturesNormale
SOC managéDétection & réponse à incidentNormale (sous-traitant)
DFIR forensicsAnalyse post-incidentAutorisation préalable
Threat intelligenceÉchange d'IoC sectorielsNormale

Toute extension de périmètre, par exemple l'ajout d'une nouvelle finalité ou d'une catégorie de données sensibles, fait l'objet d'une déclaration complémentaire préalable auprès de la CNDP.

04 Souveraineté & localisation

100 % au Maroc. Sans exception.

Conformément à l'article 43 de la loi 09-08 relatif au transfert transfrontalier de données et aux délibérations CNDP n° 478-2013 et n° D-115-EUS, CRYPTASEC s'engage contractuellement à ce qu'aucune donnée à caractère personnel ne quitte le territoire marocain.

  • Hébergement dans un datacenter sur le territoire marocain.
  • Aucune copie, sauvegarde ou réplication hors territoire.
  • Personnel d'astreinte basé exclusivement au Maroc.
  • Outils SaaS extra-territoriaux interdits sur le périmètre opérationnel SOC.
  • Clés de chiffrement conservées en territoire marocain.

Cet engagement est opposable et inscrit en clause résolutoire dans l'ensemble de nos contrats clients. Sa violation entraîne la résiliation immédiate, le remboursement intégral, et la notification CNDP sous 24 h.

05 Sous-traitance client

Quand vous êtes responsable, nous sommes sous-traitant.

Lorsque nous opérons un SOC pour le compte d'un client, ce dernier conserve la qualité de responsable de traitement. CRYPTASEC agit en tant que sous-traitant au sens de l'article 4-§7 de la loi 09-08.

Cette qualité est formalisée par un Accord de Sous-Traitance (DPA) annexé au contrat-cadre. Le DPA précise notamment :

  • L'objet, la durée et la nature du traitement.
  • Les catégories de données et de personnes concernées.
  • Les obligations de CRYPTASEC : confidentialité, sécurité, assistance, restitution, suppression.
  • Les droits d'audit du client, à raison d'une fois par an et sur préavis raisonnable.
  • Le régime des sous-sous-traitants (cf. §05 de la politique de confidentialité).

Le DPA-type CRYPTASEC est disponible sur simple demande à contact@cryptasec.com pour revue par votre service juridique avant signature.

06 Droits & voies de recours

Vos droits, vos recours.

Toute personne physique dont les données sont traitées par CRYPTASEC dispose, en vertu des articles 7 à 10 et 23 à 28 de la loi 09-08, des droits suivants :

  • Droit d'information sur l'identité du responsable, les finalités et les destinataires.
  • Droit d'accès aux données traitées, en format intelligible et sur copie sous 30 jours.
  • Droit de rectification, mise à jour, verrouillage des données inexactes.
  • Droit d'opposition pour motif légitime, et sans motif pour la prospection.
  • Droit de suppression (« droit à l'oubli ») sous réserve des obligations légales.
  • Droit de saisir la CNDP directement, sans délai et sans frais.

Les demandes sont à adresser à notre Délégué à la Protection des Données : contact@cryptasec.com. Réponse motivée sous 30 jours calendaires maximum, conformément à l'article 27 de la loi 09-08.

En cas de réponse insatisfaisante ou d'absence de réponse passé ce délai, vous disposez d'un recours direct auprès de la CNDP (voir §09).

07 Notification de brèches

Notre obligation en cas d'incident.

En cas de violation de données à caractère personnel (accès non autorisé, exfiltration, altération ou destruction), CRYPTASEC s'engage à :

  • Notifier la CNDP sous 72 h à compter de la prise de connaissance, conformément aux délibérations de l'autorité.
  • Informer les personnes concernées sans délai injustifié lorsque la violation présente un risque élevé pour leurs droits et libertés.
  • Notifier le client responsable de traitement sous 24 h ouvrées lorsque CRYPTASEC agit en sous-traitant.
  • Documenter de manière exhaustive la violation, ses effets et les mesures correctives (registre tenu pendant 5 ans).
08 Audit & coopération

Coopération totale.

CRYPTASEC coopère pleinement avec la CNDP dans le cadre de ses missions de contrôle, conformément aux articles 27-bis et 30 de la loi 09-08. Cette coopération inclut :

  • L'accès sur place ou à distance aux installations et systèmes de traitement.
  • La communication de toute pièce, document ou information utile sous 5 jours ouvrés.
  • L'audition de nos personnels habilités sans préavis exigible.
  • L'application immédiate des mises en demeure et décisions notifiées.

Nos clients bénéficient d'un droit d'audit indépendant sur leur périmètre, exerçable une fois par an et étendu en cas d'incident significatif.

09 Contact CNDP

Saisir directement la CNDP.

Si vous estimez que vos droits n'ont pas été respectés, vous pouvez saisir la CNDP sans frais et sans préjudice de toute autre voie de recours :

Commission Nationale CNDP

CNDP · Avenue Mehdi Ben Barka, Hay Riad, Rabat 10100
Tél. +212 5 37 57 19 50 · Email contact@cndp.ma
Plateforme en ligne cndp.ma

Site CNDP

Pour toute question relative à votre dossier CRYPTASEC, écrivez à contact@cryptasec.com avant de saisir la CNDP ; nous nous engageons à un retour motivé sous 30 jours.