Toute entreprise européenne qui partage des données personnelles avec un bureau, une filiale, un centre d’appels ou un prestataire de services au Maroc est confrontée simultanément à deux cadres juridiques distincts. Du côté de l’exportation, le Règlement général sur la protection des données de l’UE (Regulation (EU) 2016/679, « RGPD ») régit les conditions dans lesquelles les données personnelles peuvent quitter l’Espace économique européen. Du côté de l’importation, la loi marocaine n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, accompagnée de son décret d’application n° 2-09-165 et de l’autorité de contrôle qu’elle a créée — la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) — impose au destinataire marocain des données des obligations indépendantes en matière d’enregistrement, d’autorisation et de sécurité.
La conformité exige de satisfaire aux deux régimes. Un transfert licite au regard du RGPD mais qui ignore la CNDP, ou inversement, demeure non conforme. Cet article se concentre spécifiquement sur la question du transfert transfrontalier. Pour une vue d’ensemble plus large des obligations marocaines en matière de protection des données, consultez notre guide complémentaire sur la conformité à la loi 09-08.
Le Maroc ne figure pas sur la liste des pays bénéficiant d’une décision d’adéquation au titre de l’article 45 du RGPD. La Commission européenne a adopté des décisions d’adéquation pour 17 juridictions et cadres — notamment le Japon, le Royaume-Uni, la Corée du Sud, l’Argentine, le Canada (organisations commerciales), Israël, la Nouvelle-Zélande, la Suisse, l’Uruguay et les États-Unis (dans le cadre du EU-U.S. Data Privacy Framework) — mais le Maroc n’en fait pas partie.
Le Maroc a soumis une demande d’évaluation d’adéquation à la Commission européenne dès 2009. Cette demande reste en instance ; aucune décision d’adéquation n’a été adoptée. La conséquence pratique est claire : l’article 45 du RGPD ne s’applique pas, et tout transfert de données personnelles de l’UE ou de l’EEE vers le Maroc doit s’appuyer sur les mécanismes de transfert alternatifs prévus aux articles 46 à 49 du RGPD.
L’outil le plus largement utilisé est le jeu de clauses contractuelles types (CCT) adopté par la Commission Implementing Decision (EU) 2021/914 of 4 June 2021. Celui-ci a remplacé les anciens jeux de CCT de 2001/2004/2010 ; les clauses antérieures à 2021 ne sont plus valables pour aucun transfert. Les CCT 2021 utilisent une structure modulaire : Module 1 (responsable du traitement vers responsable du traitement), Module 2 (responsable du traitement vers sous-traitant), Module 3 (sous-traitant vers sous-traitant) et Module 4 (sous-traitant vers responsable du traitement). L’exportateur européen doit sélectionner le module correspondant à sa relation avec l’importateur marocain — le plus souvent le Module 2 pour l’externalisation et le BPO, ou le Module 1 pour les scénarios d’accès partagé entre entités d’un même groupe agissant chacune en qualité de responsable du traitement.
La clause 14 des CCT 2021 impose aux parties, avant la conclusion des clauses, d’évaluer si les lois et pratiques du pays de destination — en l’occurrence, le Maroc — pourraient empêcher l’importateur de données de remplir ses obligations au titre des CCT. Cette obligation découle directement de l’arrêt de la Cour de justice dans l’affaire Schrems II (CJEU Case C-311/18, 16 July 2020). L’exportateur doit documenter cette analyse d’impact du transfert (AIT), identifier les mesures supplémentaires (techniques, organisationnelles ou contractuelles) nécessaires pour garantir un niveau de protection essentiellement équivalent, et mettre l’évaluation à la disposition de son autorité de contrôle sur demande. Pour le Maroc, l’AIT devrait porter sur les pouvoirs de la CNDP, les dispositions relatives à l’accès gouvernemental prévues par le droit marocain et l’applicabilité effective des droits des personnes concernées.
Les groupes de sociétés qui transfèrent régulièrement des données personnelles à une filiale marocaine peuvent demander l’approbation de règles d’entreprise contraignantes (REC) au titre de l’article 47 du RGPD. Les REC nécessitent l’approbation d’une autorité de contrôle chef de file dans l’UE et établissent des normes de protection des données applicables à l’ensemble du groupe. Bien que plus exigeantes à obtenir que les CCT, les REC offrent un cadre durable et applicable à l’ensemble de l’entreprise pour les transferts intragroupe, sans nécessité d’exécuter des CCT individuelles par entité.
L’article 49 du RGPD prévoit des dérogations limitées — consentement explicite, nécessité pour l’exécution d’un contrat, motifs importants d’intérêt public, constatation, exercice ou défense de droits en justice, et intérêts vitaux — qui permettent des transferts en l’absence d’adéquation ou de garanties appropriées. Ces dérogations sont interprétées de manière restrictive et ne conviennent pas aux transferts systématiques, répétitifs ou à grande échelle tels que les opérations de BPO en cours, le traitement régulier de la paie ou l’accès continu au CRM. Elles peuvent s’appliquer à des transferts ponctuels et occasionnels (par exemple, un dossier de mobilité individuel d’un salarié envoyé avec consentement explicite).
Le volet marocain : obligations au titre de la loi 09-08 pour l’importateur de données
En vertu de la loi 09-08, tout traitement de données à caractère personnel effectué au Maroc — ou utilisant des moyens situés au Maroc — doit faire l’objet d’une déclaration préalable ou d’une autorisation préalable auprès de la CNDP, sous peine de sanctions pénales. Les opérations de traitement ordinaires nécessitent une déclaration (notification). Les traitements portant sur des données sensibles (santé, données biométriques, casier judiciaire) ou les transferts internationaux de données personnelles vers des pays ne disposant pas d’une protection adéquate nécessitent une autorisation préalable de la CNDP.
La loi 09-08 exige par ailleurs une autorisation de la CNDP pour les transferts de données personnelles hors du Maroc vers des pays n’offrant pas un niveau de protection adéquat. Cela est pertinent lorsque l’entité marocaine elle-même ré-transfère des données ou lorsque des données hébergées au Maroc sont accédées depuis un pays tiers. L’autorisation de transfert de la CNDP constitue une étape réglementaire distincte des CCT côté UE ; elle doit être obtenue de manière indépendante et préalable.
La loi 09-08 confère aux personnes concernées des droits d’accès, de rectification et d’opposition. Le responsable du traitement ou le sous-traitant marocain doit également mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès non autorisé, toute altération ou destruction. La CNDP peut imposer des mesures administratives, notamment des avertissements formels, la suspension du traitement, le retrait de déclarations ou d’autorisations et le renvoi au ministère public.
Non. Le Maroc ne figure pas sur la liste d’adéquation de la Commission européenne et ne bénéficie d’aucune décision d’adéquation en vigueur. Tout transfert de données personnelles de l’UE vers le Maroc nécessite un mécanisme de transfert au titre des articles 46 à 49 du RGPD.
Oui, le cas échéant. Les CCT satisfont l’exigence d’exportation du RGPD. La déclaration ou l’autorisation de la CNDP satisfait l’exigence d’importation du droit marocain. Elles répondent à des obligations juridiques différentes relevant de systèmes juridiques distincts et ne sont pas interchangeables.
Le transfert peut être licite du point de vue du RGPD, mais l’importateur marocain est en infraction avec la loi 09-08, qui exige une déclaration ou une autorisation préalable. La CNDP peut imposer des sanctions administratives, et le défaut d’enregistrement expose l’entité marocaine — et potentiellement le groupe — à une responsabilité pénale en vertu du droit marocain.
Oui. Le RGPD n’exempte pas les transferts intragroupe des exigences du Chapitre V. Un transfert vers une filiale détenue à 100 % au Maroc nécessite des CCT (ou des REC) et une AIT, exactement comme un transfert vers un tiers non lié.