Exposé sous thème :

ANALYSE DE LA LOI 09-08

Réalisé par :
 Hiba El Hady Encadrant : P. Nadia Azeddou

Année universitaire : 2024/2025

"Le respect de la vie privée n'est pas seulement une question de loyauté envers les individus,
mais aussi une condition préalable à la confiance et à la stabilité dans l'économie numérique."
- Brad Smith

Dans un monde de plus en plus interconnecté et numérisé, où les échanges d'informations se

déroulent en temps réel et à l'échelle mondiale, la protection des données personnelles est
devenue un enjeu crucial pour les individus, les entreprises et les gouvernements. Les données
personnelles, qui incluent des informations telles que le nom, l'adresse, le numéro de
téléphone, les habitudes de consommation, ainsi que des éléments sensibles comme les
données de santé ou d'origine raciale, sont désormais collectées et traitées par une multitude
d'entités, qu'elles soient publiques ou privées. Cette augmentation des traitements de données
soulève des questions fondamentales sur la vie privée des citoyens, la sécurité des
informations et le respect des droits fondamentaux. En réponse à ces préoccupations, de
nombreux pays ont mis en place des législations visant à garantir que le traitement des
données personnelles soit réalisé de manière transparente, équitable et sécurisée, tout en
respectant les droits des personnes concernées.
La protection des données personnelles repose sur un ensemble de principes qui encadrent la
collecte, l'utilisation, le stockage et la transmission de ces informations. Ces principes incluent
le consentement explicite des individus, la finalité légitime du traitement, ainsi que le droit à
la rectification ou à la suppression des données. De plus, il est essentiel d'implémenter des
mesures de sécurité pour prévenir toute violation de données.
Ainsi, la protection des données personnelles ne se limite pas aux aspects juridiques ou
technologiques ; elle englobe également des dimensions éthiques, sociales et économiques.
Elle vise à établir un équilibre entre la protection de la vie privée des citoyens et les besoins
croissants de l'économie numérique, tout en renforçant la confiance entre les utilisateurs, les
entreprises et les autorités publiques. Les législations récentes, telles que le Règlement
Général sur la Protection des Données (RGPD) en Europe ou la loi 09-08 au Maroc, illustrent
l'importance croissante de ce sujet dans nos sociétés modernes. Elles ont pour objectif
d'assurer un cadre juridique solide qui protège les individus contre l'utilisation abusive de
leurs informations personnelles tout en favorisant un environnement numérique respectueux
de la vie privée et des libertés individuelles. Le besoin de protéger les personnes est
notamment apparu avec la « montée en puissance des banques de données et des ordinateurs »
(Sophie Kwasny, Conseil de l’Europe). Ces banques de données sont nées aux États-Unis,
dans les années 1960, en même temps que le courtage de données et les data brokers (cf.
Question 92), fruit des progrès technologiques volonté gouvernementale d’efficacité dans les
différents domaines stratégiques (défense,espace, énergies). Soutenues par l’État américain,
des entreprises privées se sont développées autour de la mise à disposition de serveurs, leur
praticité a poussé les États et organismes étrangers à les utiliser, confiant donc leurs données à ces
serveurs.
Les législations, comme celles du Luxembourg, se sont rapidement révélées inefficaces :
pour Santer et Hoss, « la loi de 1979 soumettait toute banque de données, c’est-à-dire tout lieu
où sont stockées des données nominatives, à une autorisation ministérielle préalable […].
L’omniprésence et la démocratisation de l’outil informatique ont rendu impossible le respect de cette loi
et il fallait être idéaliste ne serait-ce que pour tenter de s’y conformer. » C’est lors de la
publication de la directive 95/46/CE que certains États ont profité de l’occasion pour adapter
leur législation, avec une problématique permanente : concilier les besoins d’une société de
l’information avec les droits fondamentaux des personnes.
En 2009, le Maroc a adopté la loi n° 09-08 relative à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel. Cette loi visait à garantir le respect
des droits fondamentaux des individus concernant leurs données personnelles et à réglementer
leur traitement:
Elle est en grande partie basée sur les principes énoncés dans la Directive 95/46/CE du Parlement
européen et du Conseil européen.
Ainsi, cette loi a établi la Commission Nationale de Contrôle de la Protection des Données à
Caractère Personnel (CNDP) en tant qu'organe de contrôle indépendant chargé de veiller à la conformité
avec la loi.

A ce niveau on peut poser les problématiques suivantes

Dans quelle mesure la loi 09-08 sur la protection des données personnelles au Maroc est-
elle efficace pour garantir la protection des droits des citoyens à la vie privée, tout en
répondant aux défis liés à la transformation numérique rapide, aux nouvelles
technologies et à la coopération internationale dans un contexte globalisé ?

Pour traiter le sujet nous allons aborder en

première partie, une étude analytique de la loi 09-08 ainsi que ses mesures protectionnistes et
ses insuffisances en deuxième partie.
Comment la réglementation prend-elle en compte l'évolution rapide des technologies et des
pratiques en matière de traitement des données ?

Etude analytique de la loi 09-09

PARTIE l LA REGLEMENTATION JURIDIQUE EN MATIÉRE DE
PROTECTION A CARACTERE PERSONNEL

La protection des données personnelles est un enjeu majeur pour le Maroc, ce qui pousse le
législateur à mettre en place diverses stratégies juridiques visant à renforcer le secteur
numérique tout en consolidant le système de protection des données personnelles . Cela est
essentiel pour lutter contre la cybercriminalité et s'aligner sur le principe constitutionnel
selon lequel « toute personne a droit à la protection de sa vie privée », ainsi que sur les
exigences internationales, notamment l'article 8 qui stipule que toute personne a droit au
respect de sa vie privée et familiale, ainsi qu'à la protection de son domicile et de sa
correspondance.
il est très important d’étudier le champ d’application ainsi que les principes fondamentaux de
mise en œuvre de la protection des personnes physique à l’égard du traitement des données
personnelles
Chapitre 1: Champ d’application de la loi09-08 et ses principes
Section première. – Définitions et champ d’application
La loi n° 09-08 définit, dans son article premier, les données à caractère personnel comme
étant « toute information de quelque nature qu’elle soit et indépendamment de son support, y
compris le son et l’image, concernant une personne physique identifiée ou identifiable ». Les
personnes concernées sont celles qui sont identifiées ou qui peuvent être identifiées
directement ou indirectement, notamment par référence à un numéro d’identification ou à un
ou plusieurs éléments spécifiques de leur identité physique, physiologique,
génétique, psychique, économique, culturelle ou sociale.
À titre d’exemple, numéro de carte d'identité nationale c est une information
A caractère personnel . Bien plus, les groupements d’informations, tels que l’association d’une date
et d’un lieu de naissance, d’un nom et d’un numéro de téléphone, ou d’une adresse et d’un numéro de
sécurité sociale constituent des données à caractère personnel

Définition du traitement et du responsable du traitement : Le traitement est défini dans la loi

n° 09-08 comme étant : « toute opération ou ensemble d’opérations effectuées ou non à l’aide
de procédés automatisés et appliquées à des données à caractère personnel, telles que la
collecte, l’enregistrement, l’organisation, la modification, l’extraction, la consultation,
l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou
la destruction. » (L. n° 09-08, art. 1, al. 2). Par cette définition, le législateur a voulu englober
toutes les possibilités de traitement qui pourraient être appliquées à des données à caractère
personnel pour offrir la protection la plus adéquate aux citoyens. Quant au responsable du
traitement, il a été défini comme étant « la personne physique ou morale, l’autorité publique,
le service ou tout autre organisme qui, seul ou conjointement avec d’autres détermine les
finalités et les moyens du traitement de données à caractère personnel. » (L. n° 09-08, art. 1er)
Pour la notion de « traitement sensible »: Les traitements sensibles sont ceux qui impliquent la
manipulation des données collectées à d’autres fins que le traitement lui-même, ceux qui
s’appuient sur la carte d’identité nationale, ceux qui portent sur les infractions, condamnations
ou mesures de sûreté et ceux qui consistent en l’interconnexion ou le croisement de fichiers aux finalités
différentes.
Section 2. – Qualité des données et consentement préalable
de la personne concernée
Le consentement est une manifestation de volonté libre, spécifique et informée, par laquelle la
personne concernée accepte que les données à caractère personnel la concernant fassent l’objet d’un
traitement.

Le caractère obligatoire : Conformément à l’article 4 de la loi n° 09-08, le traitement des

données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné
son consentement à l’opération ou à l’ensemble des opérations envisagées. Les données à caractère
personnel objet du traitement ne peuvent être communiquées à un tiers que pour la réalisation de fins,
directement liées aux fonctions du cédant et du cessionnaire et sous réserve du consentement préalable, de la
personne concernée.
Ainsi par exemple, lors d’une opération d’achat en ligne, le consommateur accepte
expressément que ses données personnelles soient traitées par le vendeur pour les besoins de
la transaction. Si le vendeur envisage un traitement de ces données autre que celui lié à
l’opération en question, il doit requérir le consentement de la personne concernée. Il arrive
ainsi qu’il soit demandé à l’acheteur de cocher une case supplémentaire indiquant qu’il accepte que ses
données personnelles soient transmises à des partenaires commerciaux du vendeur pour que
ceux-ci puissent promouvoir leurs produits et services. À défaut de consentement, le transfert
des données personnel de la personne concernée par le vendeur à un tiers serait considéré
comme illicite.
Chapitre 2 des droits de la personne concernée
La loi 08-09 a posé un ensemble des droits afin de protéger les données à caractère personnel des
individus, à savoir
1-Droit à l’information lors de la collecte des données
Ce droit est imposé par les articles5 et 6, cependant, Chaque individu a le droit d’être informé
avant que les données « ne soient pour la première fois communiquées à des tiers ou utilisées
pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de
s’opposer, gratuitement, à ladite communication »
Autrement dit, chaque individu dont le traitement des données personnelles est envisagé a le
droit d'être informé de manière précise, explicite et sans ambiguïté sur l'utilisation ou le
stockage de ses données. Ce droit à l'information s'étend également à l'entité responsable de la
collecte des informations et aux destinataires potentiels. De plus, lorsqu'une personne répond
à un questionnaire, il doit lui être clairement indiqué si la réponse à une question donnée est
obligatoire ou facultative.

2- Droit d’accès
L'article 7 de la loi n° 09-08 consacre le droit d'accès à l'information personnelle, offrant à
chaque individu la possibilité de consulter les données qui le concernent afin de garantir leur
exactitude. Cette disposition légale vise à renforcer la transparence et à protéger le droit des
citoyens à contrôler les informations qui les concernent, contribuant ainsi à promouvoir une
gestion éthique des données personnelles.

3- Droit de rectification
Le droit de rectification constitue un complément essentiel du droit d’accès: Il autorise la
personne concernée à obtenir du responsable du traitement la rectification des données
personnelles la concernant qui sont inexactes ou qui ne devraient pas figurer dans le
traitement .On retrouve cette disposition dans la loi marocaine (article 8 de la loi 08-09), or, toute personne
ayant prouvé son identité a le droit d'obtenir du responsable du traitement des données à
caractère personnel diverses actions, notamment la mise à jour, la rectification, la suppression
ou le verrouillage des données inexactes ou incomplètes. Le responsable doit effectuer ces
corrections sans frais dans un délai de dix jours. En cas de refus ou de non-réponse, la
personne peut faire une demande de rectification à la Commission nationale, qui enquêtera et
ordonnera les rectifications nécessaires rapidement. De plus, la personne concernée doit être
informée des suites réservées à sa demande. Par ailleurs, le paragraphe mentionne également
le droit à la notification aux tiers auxquels les données ont été divulguées en cas de mise à
jour, rectification, suppression ou verrouillage des données, sauf si cela s'avère impossible

4-Droit d opposition
L article 9 de la loi n°09-08 exige que toute personne a la possibilité de s opposer a tout
moment , pour des motifs légitimes et sans frais , au traitement de ses donnes personnelles .
Toutefois, ce droit ne s'applique pas si le traitement des données est imposé par la loi ou si
la loi permet explicitement d'écarter cette règle pour un traitement particulier

Chapitre 3 des obligations des responsables du traitement

 La mission première du responsable du traitement des données est de répertorier les
procédures qui impliquent un traitement des données dont il est responsable et de les notifier
au délégué à la protection des données. Ces informations doivent être communiquées avant le
début du traitement. Un traitement déjà commencé doit être notifié dans les meilleurs délais.
Comme il doit, par ailleurs, permettre aux personnes concernées d’accéder à leurs données à
caractère personnel et veiller à l’exercice de leurs droits, tel que le droit de rectification. À ce
titre, un certain nombre d’obligations pèse sur le responsable du traitement.

Section première. – Déclaration préalable

Le traitement de données à caractère personnel doit faire l’objet d’une déclaration
préalable auprès de la (CNDP). Cette déclaration préalable permet à la cette dernière, de
contrôler la protection des données à caractère personnel et de veiller au respect, par le
responsable du traitement, des dispositions de la loi n° 09-08. Procédure de déclaration
préalable : Une telle déclaration doit comprendre certains information obligatoires
(identification du responsable du traitement, des finalités, du destinataire, durée de
conservation des données…) reprises dans les formulaires types mis à disposition par la CNDP.
Une fois la déclaration préalable présentée, et après contrôle du respect des règles applicables
au traitement, la CNDP délivre un récépissé dans les 24 heures suivant le dépôt la déclaration. Le
responsable peut mettre en œuvre le traitement dès réception du récépissé. Toutefois, la CNDP
peut décider de soumettre le traitement à la procédure d’autorisation préalable, si le traitement envisagé
présenté des dangers manifestes pour le respect et la protection de la vie privée et des libertés
et droits fondamentaux. Cette décision doit être notifiée au responsable du traitement dans les
huit (8) jours suivant le dépôt de la déclaration.

Section 2. – Autorisation préalable

Certains traitements, en raison de leur nature particulière, exigent des responsables du
traitement non pas une simple déclaration préalable, mais plutôt une autorisation préalable
délivrée par le CNDP. La nécessité d'obtenir une autorisation préalable pour ces types de traitements est
aisément compréhensible, car ils impliquent une proximité plus grande avec les droits
fondamentaux des citoyens. Cela et notamment dans les cas suivants :
•Traitement de données sensibles ;
•Traitement de données génétiques (par exemple des empreintes digitales), à l’exception des
traitements mis en œuvre par des personnels de santé et qui répondent à des fins médicales.
•Traitement de données portant sur des infractions, condamnations ou mesures de sûreté (fiche
anthropométrique) ;
•Traitement de données comportant le numéro de la carte d’identité nationale (n°CIN) ;Durée
de la procédure d’autorisation : environ 2 mois

Section 3. – Des obligations de confidentialité et de sécurité des

traitements et de secret professionnel
En vertu des dispositions de l’article 23 de la loi n° 09-08, le responsable du traitement est
tenu de mettre en œuvre toutes les mesures techniques et organisationnelles appropriées
pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite,
la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé. Autrement dit, c'est
afin d’empêcher qu’elles soient endommagées, modifiées ou utilisées par un tiers non
autorisé à y accéder. Ces mesures doivent être renforcées lorsqu’il s’agit de données
sensibles ou de données relatives à la santé conformément aux dispositions de l’article 24.
Elles s’appliquent non seulement au responsable du traitement mais aussi à tout sous-
traitant qui se verrait déléguer les tâches du responsable. En outre, et selon l’article 26 le
responsable du traitement il est soumis, à une obligation de respect du secret professionnel.

Chapitre 4 De la Commission nationale de contrôle de la

protection des données à caractère personnel
Le Maroc a renforcé son régime juridique et institutionnel en imposant des sanctions
pécuniaire et carcérale en cas de violation de traitement des données sensibles, et en
parallèle la loi 09-08 a fixé le fonctionnement de la Commission national de contrôle de la
protection des données à caractère personnel considéré comme institution autoritaire

La Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel est

une autorité chargée de la protection des données personnelles au Maroc. Elle vérifie que les
traitements des données personnelles des individus sont licites et qu'ils ne portent pas atteinte
à leur vie privée, leurs libertés et leurs droits fondamentaux. Dans ce cadre elle accompagne
les institutions publiques et privées en vue de se mettre en conformité avec la loi.
Il serait pertinent d’aborder le rôle fournis par la CNDP et sa contribution à l’échelle
international dans deux sections distinctes.
Section 1 : missions et pouvoirs
La CNDP est l'autorité nationale chargée de l'application de la loi sur la protection des
données personnelles, en assurant ainsi :

•La mission d'information et de sensibilisation auprès des citoyens, des organismes et des
institutions publiques et privées
•L'instruction de plaintes ;
•Le traitement des déclarations et de demandes d'autorisation des responsables de traitement ;
•Le contrôle et l’investigation,

.La veille informationnelle, des tendances et des mutations technologiques et sociétales

susceptibles d'affecter la protection des données personnelles. La CNDP est dotée des pouvoirs
d'investigation et d'enquête permettant à ses agents d'avoir accès aux données faisant l'objet de
traitement, de recueillir et de saisir toutes les
informations et tous documents nécessaires pour remplir les fonctions de contrôle. Elle
ordonne les modificatifs nécessaires pour une tenue loyale des données contenues dans le fichier, le
verrouillage, l'effacement ou la destruction de données. Elle peut interdire provisoirement
ou définitivement le traitement de données.

Section 2 : le rôle de la CNDP sur le plan international

La CNDP joue un rôle crucial sur le plan international en tant qu’autorité chargée de veiller à la protection
des données personnelle. Ses interactions internationales peuvent comprendre la coopération
avec d’autres autorités de protection des données des organismes internationaux et des
organisations spécialisées dans le domaine de la protection de la vie privée.

Le Maroc a été le premier pays arabe, africain et musulman à être accrédité auprès de la
Conférence Internationale des Autorités de Contrôle des données personnelles. En effet la
CNDP est membre de l'Association Francophone des Autorités de Protection des Données
Personnelles (AFAPDP
La CNDP collabore avec l’UE afin de conformer le cadre légal marocain avec le régime général sur la
protection des données (RGPD). Cette étude d’écart entre la loi 09-08 et le RGPD ainsi que
des mécanismes prévus par le Règlement a pour but de permettre un échange fluide des dites
données entre les deux institutions
Notons, enfin, que l’accréditation, en tant que reconnaissance internationale, a énormément
facilité l’exercice en toute indépendance, par la CNDP, des prérogatives qui lui sont reconnues par la loi.
La CNDP est le secrétariat permanent du réseau africain des autorités de protection des
données et elle a pour ambition de faire intervenir un maximum de collègues africain cette
plate-forme à vocation africaine, a pour objectif la mise en place d'espace ambassadeur de la
vie privée numérique, en plus d'encourager, la recherche et le développement dans le
domaine de la protection des données à caractère personnel et de la vie privée numérique. Une
nouvelle plate-forme baptisée KOUN 3LA BAL par la CNDP dédié à la protection de la vie
privée et au traitement des données à caractère personnel, des enfants, adolescents et femme a
vu le jour à Rabat, et c’est une initiative de la CNDP grâce à la contribution d'un ensemble
d'institution et un ensemble de contributeurs africain
Le Maroc s’est doté d’un arsenal juridique stricte en matière de la protection des données à
caractère personnel. Comme son nom l’indique elle vise à protéger la vie privée et les libertés
individuelles des personnes dont leurs noms sont collectés et traités. Le Chapitre VII de la loi
09-08 détermine de l’article 51 à l’article 65 les sanctions civiles et pénales applicables aux
personnes physiques et morales par apport à toutes infractions portant sur le traitement des
données à caractère personnels
Section 1 : Infractions à sanction pécuniaires

Les infractions citées dans la loi 09-08 de l’article 51 à l’article 65 sont généralement punies
d’une amende ;

Le fait de créer un fichier de données personnelles sans autorisation, ou encore le fait de poursuivre l'activité
de traitement de données personnelles malgré le retrait (le non consentement) de
l'autorisation, sont punis d'une amende de 10.000 à 100.000 DH.

L'article 53 de la loi o9-08 est quant à lui consacré au refus du responsable du traitement des
droits d'accès, de rectification ou d'opposition par la personne concernée. Dans ce cas, il sera
sanctionné d'une amende allant de 20.000 à 200.000 DH par infraction.

A noter que selon la CNDP, "toute opération de traitement des données personnelles ne peut avoir lieu que
si la personne concernée a exprimé son consentement d'une façon claire, incontestable, libre et
avertie". Cela dit, "le consentement des personnes concernées n'est pas exigé dans les cas
suivants :
•Le traitement entre dans le cadre de l'exécution d'un contrat auquel la personne concernée est
partie, le cas des contrats de service électronique ou le contrat établi entre client et banque
•Le traitement permet l'exécution d'un service d'intérêt public ou relevant de l'autorité
publique, dont est investi le responsable du traitement ou le tiers auquel il a communiqué les
données par ex ; les données médicales collectées par un système de surveillance
épidémiologique qui a pour but d’avertir et de prévenir de la propagation de maladies
contagieuses
•Le traitement permet la réalisation d'un intérêt légitime poursuivi par le responsable du
traitement, à condition de ne pas méconnaitre l'intérêt et les droits des personnes concernées.
Par ex ; une entreprise de commerce en ligne peut analyser les habitudes d’achat de ces
clients pour personnaliser les recommandations de produits, améliorant ainsi l’expérience
d’achat de manière légitime, à condition de respecter la confidentialité des données
personnelles
Section 2 : Infraction à sanction carcérale et pécuniaire

Les responsables de traitements doivent s'assurer que les données personnelles sont collectées
et traitées d'une façon loyale, légitime et transparente". Ainsi, lorsque ce traitement est réalisé
de "manière malhonnête et illégale", la loi prévoit une sanction plus sévère ; à savoir
l'emprisonnement allant de trois mois à un an et/ou une amende de 20.000 à 200.000 DH.

Le texte prévoit également des sanctions en matière de "conservation illégale de données à

caractère personnel pendant une durée illégale". C'est l'article 55 de la loi 09-08 qui prévoit
une peine d'emprisonnement allant de trois mois à un an et/ou une amende allant de 20.000 à
200.000 EX ; une entreprise de commerce en ligne conserve les informations de ses clients
telles que les coordonnées bancaires, au-delà de la période nécessaire pour traiter les
transactions L'article 56 prévoit une amende similaire et/ou une peine d'emprisonnement
allant de trois mois à un an contre quiconque qui traite des données à caractère personnel sans
le consentement de la personne concernée est punie de trois mois à un an et/ou d'une amende
de 50.000 à 300.000 DH. Comme exemple de données sensibles, signalons celles relatives à
la santé d'une personne

En ce qui concerne les travaux de la commission, l’article 61 et 62 traitent les entraves aux
travaux de la commission par ex ; entrave l'exercice des missions de contrôle de la
Commission nationale, le refus de recevoir les contrôleurs et de les laisser remplir leurs
commissions …Sont punies de trois mois à six mois d’emprisonnement et / ou une amende de 10.000 à
50.000. Au-delà de l'entrave, le refus d'exécuter les décisions de la commission peut
également faire l'objet de sanctions qui, selon l'article 63 de ladite loi, sont l'emprisonnement
de trois mois à un an et/ou une amende allant de 10.000 à 100.000 DH

A noter que si ces violations sont commises par une personne morale, les amendes sont portées en double,
En outre, la personne morale peut être punie de l'une des peines suivantes

La confiscation partielle de ses biens ;

La confiscation prévue à l'article 89 du code pénal
La fermeture du ou des établissements de la personne morale où l'infraction a été commise.

II. Étude critique et comparaison avec la législation française.

De nouvelles réglementations et lois sur la protection des données personnelles ont vu le jour au
cours de ces dernières années. La mise en conformité avec ces cadres juridiques est désormais une
préoccupation majeure pour les entreprises et les organisations, notamment en matière de
confidentialité et de sécurité des informations personnelles collectées auprès de leurs clients ou
utilisateurs. Cet article se propose d’étudier et de comparer les autorités de protection des données
du Maroc et de la France.

POINTS FORT DE LA LOI 09-08

 La loi n° 09-08, adoptée au Maroc en 2009, constitue un cadre juridique essentiel pour la protection
des données personnelles. Elle établit des principes fondamentaux garantissant les droits des
individus concernant le traitement de leurs données, tels que le droit d'accès, de rectification et
d'opposition. Les responsables du traitement sont tenus d'obtenir le consentement explicite des
personnes avant de traiter leurs données et doivent les informer des finalités de ce traitement. De
plus, la loi impose une déclaration préalable auprès de la Commission Nationale de contrôle de la
protection des Données Personnelles (CNDP) pour certains types de traitements. La CNDP, créée par
cette loi, joue un rôle crucial en veillant à l'application des dispositions légales et en protégeant les
droits des citoyens, avec des sanctions dissuasives en cas de non-respect des obligations. En
s'inspirant largement du Règlement Général sur la Protection des Données (RGPD) européen, la loi
favorise une harmonisation avec les normes internationales en matière de protection des données.
Enfin, elle aborde également les défis posés par les nouvelles technologies, soulignant l'importance
d'une adaptation continue du cadre légal face à l'évolution rapide du numérique. En somme, la loi n°
09-08 représente un pas significatif vers la protection des données personnelles au Maroc, tout en
nécessitant une mise à jour régulière pour rester pertinente.
LES LIMITES
Malgré ses points forts, la loi n° 09-08 présente certaines limites qui compromettent son efficacité en
matière de protection des données personnelles. L'une des principales faiblesses réside dans
l'insuffisance des sanctions. Bien que la Commission Nationale de Contrôle de la Protection des
Données Personnelles (CNDP) dispose de pouvoirs de contrôle, les amendes prévues en cas de non-
respect de la loi sont relativement faibles par rapport à celles établies par le Règlement Général sur
la Protection des Données (RGPD) en Europe. Cette lacune dans le système de sanctions pourrait
diminuer l'impact de la loi, notamment en cas de violations graves des données personnelles par des
entreprises ou des organismes publics, rendant ainsi la protection des données moins efficace et
moins dissuasive. De plus La loi 09-08 ne reconnaît pas explicitement le droit à l'oubli, un principe
qui a été largement développé dans le cadre du règlement général sur la protection des données
(RGPD) en Europe. Cela laisse les citoyens marocains dans une situation où leurs données
personnelles peuvent être conservées indéfiniment par certains organismes, même après la fin de
leur utilité ou consentement initial.

Autorités nationales en charge de la protection des

données
La Commission nationale de contrôle de la protection des données à caractère personnel
(CNDP) au Maroc, créée en 2009, est une autorité administrative indépendante responsable de
veiller au respect de la législation en matière de protection des données personnelles. Ses
principales missions incluent la sensibilisation aux droits et obligations relatifs à la protection
des données, la réception et l'instruction des plaintes, ainsi que l’élaboration de
recommandations et de rapports sur des questions spécifiques. Elle coopère également avec
d'autres autorités de contrôle, tant au niveau national qu'international. Cependant, il est
important de noter que la CNDP n’a pas encore pleinement adopté tous les standards
internationaux, notamment en ce qui concerne les mécanismes de recours pour sanctionner les
violations de la loi n° 09-08.

En France, la Commission nationale de l'informatique et des libertés (CNIL), créée en 1978,

remplit des fonctions similaires en veillant à l’application du RGPD ainsi que d’autres
législations françaises sur la protection des données. La CNIL accompagne les responsables
du traitement des données, vérifie la conformité aux lois en vigueur, délivre des autorisations
spécifiques et reçoit les plaintes des citoyens. Elle a aussi le pouvoir d’appliquer des sanctions
administratives ou financières en cas de non-respect des obligations légales. De plus, la CNIL
bénéficie d'une reconnaissance internationale et entretient des collaborations avec d'autres
autorités de protection des données à l'échelle européenne et mondiale.

Bien que la loi 09-08 et le RGPD visent tous deux à protéger les données personnelles, leurs
failles présentent des divergences intéressantes.

Tout d'abord, la portée géographique du RGPD est beaucoup plus étendue que celle de la loi
09-08. Alors que le RGPD s’applique globalement à toutes les entreprises traitant des données
de citoyens européens, la loi 09-08 est limitée au territoire marocain, ce qui crée des zones
d'ombre en matière de régulation des entreprises étrangères.

Ensuite, la mise en œuvre des deux législations présente des défis. Si la CNDP au Maroc
manque de moyens pour exercer un contrôle rigoureux, la CNIL en France, bien que mieux
équipée, peine parfois à appliquer des sanctions dissuasives, en particulier face aux grandes
entreprises.

Enfin, la protection des données sensibles est mieux encadrée par le RGPD, qui impose des
règles strictes pour leur traitement, tandis que la loi 09-08 reste floue sur ce point crucial.

L'une des principales différences entre les deux législations réside dans leur portée et leur niveau
d'exigence. En France, le RGPD impose des obligations beaucoup plus strictes à l'échelle européenne,
telles que l'obligation pour les entreprises de nommer un délégué à la protection des données (DPO),
de réaliser des analyses d'impact sur la protection des données (AIPD) dans certains cas, et de
notifier rapidement toute violation de données. En outre, le RGPD prévoit des sanctions financières
lourdes, pouvant aller jusqu'à 4 % du chiffre d'affaires mondial de l'entité concernée, ce qui en fait un
outil particulièrement contraignant. En revanche, bien que la loi 09-08 au Maroc soit efficace dans
certains domaines, elle reste moins exigeante et ses sanctions sont bien moins sévères.

Conclusion sur la loi 09-08

La loi 09-08, instaurée en 2008 au Maroc, constitue une première étape vers la protection des
données personnelles dans un monde de plus en plus connecté. Toutefois, malgré cette
avancée, elle présente plusieurs lacunes qui limitent son efficacité. La portée géographique
restreinte de la loi, l'insuffisance des moyens de la CNDP pour faire appliquer les règles, ainsi
que la protection insuffisante des données sensibles et l’adaptation lente aux nouvelles
technologies, révèlent les faiblesses du cadre législatif actuel.

Bien que la loi 09-08 ait établi les fondations d’une réglementation de la protection des
données, elle nécessite des révisions pour faire face aux défis technologiques actuels et à la
mondialisation des échanges de données. Il est essentiel que le Maroc renforce ses dispositifs
de contrôle, octroie davantage de pouvoirs à la CNDP et modernise sa législation pour
garantir une protection plus efficace et complète des données personnelles de ses citoyens.