Aller au contenu principal
APPER — ESN Casablanca
Cybersécurité

Loi 09-08 vs RGPD : ce que doit savoir une DSI marocaine

Protection des données personnelles au Maroc : différences clés entre la loi 09-08 et le RGPD européen, et comment mettre votre SI en conformité.

AP
APPER29 avril 2026 · 7 min de lecture

La loi 09-08 encadre depuis 2009 le traitement des données à caractère personnel au Maroc, sous le contrôle de la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel). Toute organisation qui collecte des données — clients, salariés, prospects — y est soumise et doit déclarer ses traitements.

Ce que le RGPD ajoute par rapport à la loi 09-08

Le RGPD européen, applicable depuis 2018, va plus loin sur plusieurs points : droit à la portabilité, obligation de notification des violations sous 72 heures, désignation d'un DPO, et sanctions financières nettement plus élevées. Une entreprise marocaine qui traite des données de résidents européens (filiale, e-commerce, sous-traitance) doit se conformer aux deux cadres simultanément.

Les étapes pour mettre son SI en conformité

  1. Cartographier l'ensemble des traitements de données personnelles
  2. Revoir les durées de conservation et les justifier
  3. Chiffrer les données sensibles
  4. Formaliser le recueil des consentements

APPER accompagne cette démarche dans le cadre de ses missions de cybersécurité et de gouvernance.

Cybersécurité

Un projet ou une question sur ce sujet ? Nos équipes vous accompagnent du cadrage à l'exploitation.