Le 28 janvier 2025, à l'occasion du Data Privacy Day (DP Day), la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a organisé une série d'événements sur le plan territorial pour sensibiliser les entreprises marocaines aux enjeux de la protection des données. Annoncé dès le 8 janvier, ce programme ambitieux marque un renforcement significatif des actions de la Commission.
Un programme de sensibilisation territoriale inédit
Pour la première fois, la CNDP a déployé son programme de sensibilisation sur l'ensemble du territoire marocain, dépassant l'axe Casablanca-Rabat pour toucher les entreprises des régions. Des ateliers pratiques, des conférences et des sessions de formation ont été organisés dans plusieurs villes du Royaume pour accompagner les entreprises dans leur mise en conformité avec la Loi 09-08.
Le thème central de cette édition 2025 portait sur la responsabilité numérique des entreprises dans un contexte de transformation digitale accélérée. Avec la multiplication des services en ligne, le volume de données personnelles traitées par les entreprises marocaines a explosé, rendant plus crucial que jamais le respect des principes de protection.
Bilan 2024 de la CNDP : une montée en puissance
À l'occasion du DP Day, la CNDP a présenté son bilan d'activité. Le nombre de plaintes reçues a augmenté de 40 % par rapport à l'année précédente, témoignant d'une prise de conscience croissante des citoyens marocains concernant leurs droits en matière de protection des données.
La Commission a également intensifié ses contrôles auprès des entreprises, avec un focus particulier sur le secteur du e-commerce, les établissements de santé et les applications mobiles collectant des données de géolocalisation. Plusieurs mises en demeure ont été prononcées à l'encontre d'entreprises ne respectant pas les obligations de déclaration préalable et de consentement.
Les nouvelles obligations pour 2025
La CNDP a profité de ce rendez-vous annuel pour annoncer un renforcement de ses exigences. Les entreprises marocaines doivent désormais porter une attention particulière à la nomination d'un Délégué à la Protection des Données (DPO) pour les entreprises traitant des données sensibles à grande échelle, à la réalisation d'analyses d'impact sur la protection des données (AIPD) pour les traitements à risque élevé, au renforcement des mesures de sécurité technique et organisationnelle, incluant le chiffrement des données sensibles et l'authentification multi-facteurs, et à la mise en place de procédures de notification de violation de données dans les 72 heures.
Ces exigences convergent avec les bonnes pratiques internationales et préparent le terrain pour une éventuelle mise à jour de la législation marocaine sur la protection des données, attendue pour s'aligner sur les standards européens (RGPD).
Impact sur les entreprises marocaines
Pour les entreprises, la conformité à la Loi 09-08 n'est plus une option mais une nécessité opérationnelle et légale. Au-delà des sanctions qui peuvent être lourdes (amendes et peines d'emprisonnement), la non-conformité expose les entreprises à des risques réputationnels majeurs, particulièrement dans le contexte des fuites de données massives qui ont marqué l'année 2025 au Maroc.
La mise en conformité CNDP s'articule naturellement avec les démarches de certification ISO 27001 et de conformité à la Directive DNSSI, offrant une approche intégrée de la gouvernance de la sécurité de l'information.
FAQ
Qu'est-ce que le Data Privacy Day au Maroc ?
Le Data Privacy Day, commémoré le 28 janvier de chaque année, est organisé au Maroc par la CNDP pour sensibiliser les entreprises et les citoyens à la protection des données personnelles.
Quelles sont les sanctions de la CNDP pour non-conformité ?
La CNDP peut imposer des sanctions allant de l'avertissement à des amendes significatives. La Loi 09-08 prévoit des peines d'emprisonnement et des amendes pouvant atteindre 300 000 MAD pour les violations les plus graves.