1. La conformité CNDP, un enjeu stratégique pour les projets numériques
Pour les chefs de projets digitaux, cette dimension est trop souvent perçue comme une formalité ou un sujet “juridique” secondaire. En réalité, elle conditionne la mise en ligne, l’exploitation et l’évolutivité du projet. Elle peut aussi, en cas d’oubli ou de négligence, générer des blocages graves.
2. Ce que dit la loi 09-08 : les bases à connaître
3. Quelques exemples de projets concernés
- Une université privée lance une plateforme d’inscription en ligne.
- Les données d’identification des étudiants, leurs pièces jointes (CIN, relevés), sont considérées comme sensibles.
- Une autorisation CNDP est obligatoire avant tout traitement.
- Une marque cosmétique crée un site e-commerce avec des campagnes d’emailing automatisé.
- Le nom, prénom, téléphone, historique d’achat et navigation sont collectés pour des finalités marketing.
- Déclaration du traitement + mentions légales CNDP + politique de cookies sont nécessaires.
- Une collectivité territoriale développe un guichet digital de service aux citoyens.
- Les demandes contiennent des informations personnelles, et les échanges transitent par des prestataires.
- Le projet nécessite un dépôt de dossier complet auprès de la CNDP, avec audit sécurité et clauses contractuelles spécifiques.
4. Les erreurs fréquentes à éviter
Erreur 1 : penser que la CNDP concerne uniquement les données sensibles
Même des formulaires simples (contact, abonnement à une newsletter) impliquent des obligations. Dès qu’on collecte un email nominatif, la loi 09-08 s’applique.
Erreur 2 : traiter la conformité en “fin de projet”
La plupart des non-conformités détectées viennent de choix faits trop tôt : choix d’un cloud étranger non conforme, absence de mentions légales, absence de consentement explicite…
Erreur 3 : confier la conformité uniquement au prestataire
Le prestataire peut accompagner, mais la responsabilité juridique reste côté client. C’est l’organisation qui est redevable en cas de contrôle, pas l’agence web.
5. Les 6 étapes pour intégrer la CNDP dans votre projet digital
1. Cartographier les données traitées
Quelles données seront collectées ? Pour quoi faire ? Où seront-elles stockées ? Qui y accède ?
Ce travail peut se faire via un registre des traitements simplifié.
2. Identifier le fondement légal du traitement
Consentement, obligation légale, exécution d’un contrat… Le traitement doit reposer sur une base claire, justifiée, documentée.
3. Déposer la déclaration ou la demande d’autorisation auprès de la CNDP
Formulaire à remplir, dossier à constituer, délais à anticiper. Certaines demandes sont traitées sous 2 à 4 semaines, d’autres peuvent nécessiter des compléments.
4. Vérifier l’hébergement
La CNDP interdit le transfert de données personnelles hors Maroc sans autorisation explicite. Cela concerne de nombreux hébergeurs cloud (AWS, OVH, Azure, GCP…).
Solutions :
5. Documenter la politique de sécurité
La CNDP peut demander les justificatifs suivants :
6. Mettre en place les mécanismes de droits utilisateurs
Tout utilisateur doit pouvoir :
6. L’importance de la CNDP en phase d’appel d’offres ou de lancement public
Même pour les entreprises privées, les appels d’offres intègrent de plus en plus des clauses du type :
“Le prestataire s’engage à assurer la mise en conformité CNDP du projet, notamment en matière d’hébergement, de documentation, de gestion des droits.”
Ne pas anticiper ces aspects, c’est risquer :
7. Le rôle du chef de projet dans ce dispositif
8. RFC Digital peut vous accompagner sur cette dimension stratégique
Vous portez un projet digital impliquant des données personnelles ?
Parlons-en dès maintenant pour poser les bons jalons.
Une heure de cadrage en amont peut éviter des semaines de reprises en aval.
