Transfert de données personnelles de l'UE vers le Maroc : RGPD, loi 09-08 et conformité transfrontalière

Deux régimes, un seul flux de données

Toute entreprise européenne qui partage des données personnelles avec un bureau, une filiale, un centre d’appels ou un prestataire de services au Maroc est confrontée simultanément à deux cadres juridiques distincts. Du côté de l’exportation, le Règlement général sur la protection des données de l’UE (Regulation (EU) 2016/679, « RGPD ») régit les conditions dans lesquelles les données personnelles peuvent quitter l’Espace économique européen. Du côté de l’importation, la loi marocaine n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, accompagnée de son décret d’application n° 2-09-165 et de l’autorité de contrôle qu’elle a créée — la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) — impose au destinataire marocain des données des obligations indépendantes en matière d’enregistrement, d’autorisation et de sécurité.

La conformité exige de satisfaire aux deux régimes. Un transfert licite au regard du RGPD mais qui ignore la CNDP, ou inversement, demeure non conforme. Cet article se concentre spécifiquement sur la question du transfert transfrontalier. Pour une vue d’ensemble plus large des obligations marocaines en matière de protection des données, consultez notre guide complémentaire sur la conformité à la loi 09-08.

Le Maroc bénéficie-t-il d’une décision d’adéquation au titre de l’article 45 du RGPD ?

Le Maroc ne figure pas sur la liste des pays bénéficiant d’une décision d’adéquation au titre de l’article 45 du RGPD. La Commission européenne a adopté des décisions d’adéquation pour 17 juridictions et cadres — notamment le Japon, le Royaume-Uni, la Corée du Sud, l’Argentine, le Canada (organisations commerciales), Israël, la Nouvelle-Zélande, la Suisse, l’Uruguay et les États-Unis (dans le cadre du EU-U.S. Data Privacy Framework) — mais le Maroc n’en fait pas partie.

Le Maroc a soumis une demande d’évaluation d’adéquation à la Commission européenne dès 2009. Cette demande reste en instance ; aucune décision d’adéquation n’a été adoptée. La conséquence pratique est claire : l’article 45 du RGPD ne s’applique pas, et tout transfert de données personnelles de l’UE ou de l’EEE vers le Maroc doit s’appuyer sur les mécanismes de transfert alternatifs prévus aux articles 46 à 49 du RGPD.

Mécanismes de transfert RGPD pour l’exportateur européen

Clauses contractuelles types (CCT 2021)

L’outil le plus largement utilisé est le jeu de clauses contractuelles types (CCT) adopté par la Commission Implementing Decision (EU) 2021/914 of 4 June 2021. Celui-ci a remplacé les anciens jeux de CCT de 2001/2004/2010 ; les clauses antérieures à 2021 ne sont plus valables pour aucun transfert. Les CCT 2021 utilisent une structure modulaire : Module 1 (responsable du traitement vers responsable du traitement), Module 2 (responsable du traitement vers sous-traitant), Module 3 (sous-traitant vers sous-traitant) et Module 4 (sous-traitant vers responsable du traitement). L’exportateur européen doit sélectionner le module correspondant à sa relation avec l’importateur marocain — le plus souvent le Module 2 pour l’externalisation et le BPO, ou le Module 1 pour les scénarios d’accès partagé entre entités d’un même groupe agissant chacune en qualité de responsable du traitement.

Analyse d’impact du transfert (AIT)

La clause 14 des CCT 2021 impose aux parties, avant la conclusion des clauses, d’évaluer si les lois et pratiques du pays de destination — en l’occurrence, le Maroc — pourraient empêcher l’importateur de données de remplir ses obligations au titre des CCT. Cette obligation découle directement de l’arrêt de la Cour de justice dans l’affaire Schrems II (CJEU Case C-311/18, 16 July 2020). L’exportateur doit documenter cette analyse d’impact du transfert (AIT), identifier les mesures supplémentaires (techniques, organisationnelles ou contractuelles) nécessaires pour garantir un niveau de protection essentiellement équivalent, et mettre l’évaluation à la disposition de son autorité de contrôle sur demande. Pour le Maroc, l’AIT devrait porter sur les pouvoirs de la CNDP, les dispositions relatives à l’accès gouvernemental prévues par le droit marocain et l’applicabilité effective des droits des personnes concernées.

Règles d’entreprise contraignantes (REC)

Les groupes de sociétés qui transfèrent régulièrement des données personnelles à une filiale marocaine peuvent demander l’approbation de règles d’entreprise contraignantes (REC) au titre de l’article 47 du RGPD. Les REC nécessitent l’approbation d’une autorité de contrôle chef de file dans l’UE et établissent des normes de protection des données applicables à l’ensemble du groupe. Bien que plus exigeantes à obtenir que les CCT, les REC offrent un cadre durable et applicable à l’ensemble de l’entreprise pour les transferts intragroupe, sans nécessité d’exécuter des CCT individuelles par entité.

Dérogations de l’article 49

L’article 49 du RGPD prévoit des dérogations limitées — consentement explicite, nécessité pour l’exécution d’un contrat, motifs importants d’intérêt public, constatation, exercice ou défense de droits en justice, et intérêts vitaux — qui permettent des transferts en l’absence d’adéquation ou de garanties appropriées. Ces dérogations sont interprétées de manière restrictive et ne conviennent pas aux transferts systématiques, répétitifs ou à grande échelle tels que les opérations de BPO en cours, le traitement régulier de la paie ou l’accès continu au CRM. Elles peuvent s’appliquer à des transferts ponctuels et occasionnels (par exemple, un dossier de mobilité individuel d’un salarié envoyé avec consentement explicite).

Le volet marocain : obligations au titre de la loi 09-08 pour l’importateur de données

Déclaration ou autorisation CNDP

En vertu de la loi 09-08, tout traitement de données à caractère personnel effectué au Maroc — ou utilisant des moyens situés au Maroc — doit faire l’objet d’une déclaration préalable ou d’une autorisation préalable auprès de la CNDP, sous peine de sanctions pénales. Les opérations de traitement ordinaires nécessitent une déclaration (notification). Les traitements portant sur des données sensibles (santé, données biométriques, casier judiciaire) ou les transferts internationaux de données personnelles vers des pays ne disposant pas d’une protection adéquate nécessitent une autorisation préalable de la CNDP.

Autorisation CNDP pour les transferts transfrontaliers

La loi 09-08 exige par ailleurs une autorisation de la CNDP pour les transferts de données personnelles hors du Maroc vers des pays n’offrant pas un niveau de protection adéquat. Cela est pertinent lorsque l’entité marocaine elle-même ré-transfère des données ou lorsque des données hébergées au Maroc sont accédées depuis un pays tiers. L’autorisation de transfert de la CNDP constitue une étape réglementaire distincte des CCT côté UE ; elle doit être obtenue de manière indépendante et préalable.

Droits des personnes concernées et sécurité

La loi 09-08 confère aux personnes concernées des droits d’accès, de rectification et d’opposition. Le responsable du traitement ou le sous-traitant marocain doit également mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès non autorisé, toute altération ou destruction. La CNDP peut imposer des mesures administratives, notamment des avertissements formels, la suspension du traitement, le retrait de déclarations ou d’autorisations et le renvoi au ministère public.

Scénarios pratiques courants

  • Centre d’appels ou BPO au Maroc : une entreprise européenne engage un prestataire de services marocain pour traiter les demandes de clients européens. Le responsable du traitement européen conclut des CCT Module 2 (responsable du traitement vers sous-traitant) avec le sous-traitant marocain, réalise une AIT et conclut un accord de sous-traitance au sens de l’article 28 du RGPD. Le sous-traitant marocain dépose sa déclaration auprès de la CNDP (ou demande une autorisation, selon les catégories de données).
  • Données RH pour une filiale marocaine : une société mère européenne partage des données de salariés avec sa filiale marocaine pour l’administration locale de la paie et du personnel. Les CCT Module 1 (responsable du traitement vers responsable du traitement) ou Module 2 (si la filiale traite strictement sur instruction) s’appliquent. La filiale enregistre le traitement auprès de la CNDP.
  • CRM partagé accessible depuis le Maroc : des bureaux européens et marocains accèdent à un CRM hébergé de manière centralisée. Même si les données sont hébergées dans l’UE, l’accès depuis le Maroc constitue un transfert. Des CCT et une AIT sont nécessaires ; l’entité marocaine doit déclarer son traitement auprès de la CNDP.
  • Hébergement cloud avec accès marocain : lorsqu’un fournisseur ou une filiale marocaine peut accéder à des données personnelles hébergées dans l’UE à des fins de support ou de maintenance, cet accès constitue un transfert restreint au sens du RGPD et nécessite des garanties appropriées.
  • Fournisseur marocain en qualité de sous-traitant au sens de l’article 28 du RGPD : l’accord de sous-traitance au titre de l’article 28 régit la relation de traitement mais n’autorise pas en soi le transfert international. Les CCT doivent être conclues en complément de l’accord de sous-traitance.

Recommandations pratiques

  • La conformité exige une action simultanée des deux côtés : CCT et AIT du côté de l’exportation UE, et déclaration ou autorisation CNDP du côté de l’importation marocaine. Aucun des deux ne suffit seul.
  • Cartographiez d’abord les flux de données. Avant de sélectionner un outil de transfert, documentez quelles données personnelles sont transférées, les catégories de personnes concernées, quels systèmes sont impliqués et qui au Maroc accède aux données.
  • L’accord de sous-traitance au titre de l’article 28 du RGPD doit être couplé aux CCT, et non traité comme un substitut. L’accord de sous-traitance régit les instructions de traitement ; les CCT autorisent le transfert transfrontalier.
  • L’autorisation de transfert de la CNDP est une exigence distincte. Même lorsque des CCT valides sont en place côté UE, l’entité marocaine doit indépendamment obtenir l’autorisation de la CNDP pour tout transfert ultérieur vers des pays ne disposant pas d’une protection adéquate.
  • Documentez tout en vue de l’audit : l’AIT et les mesures supplémentaires éventuelles, les CCT signées, les confirmations de dépôt auprès de la CNDP, ainsi que les registres des flux de données cartographiés au point 2 ci-dessus.

Questions fréquemment posées

Le Maroc bénéficie-t-il d’une décision d’adéquation au titre du RGPD ?

Non. Le Maroc ne figure pas sur la liste d’adéquation de la Commission européenne et ne bénéficie d’aucune décision d’adéquation en vigueur. Tout transfert de données personnelles de l’UE vers le Maroc nécessite un mécanisme de transfert au titre des articles 46 à 49 du RGPD.

Faut-il à la fois des CCT et une autorisation de la CNDP ?

Oui, le cas échéant. Les CCT satisfont l’exigence d’exportation du RGPD. La déclaration ou l’autorisation de la CNDP satisfait l’exigence d’importation du droit marocain. Elles répondent à des obligations juridiques différentes relevant de systèmes juridiques distincts et ne sont pas interchangeables.

Que se passe-t-il si nous signons des CCT mais ne procédons jamais à l’enregistrement auprès de la CNDP ?

Le transfert peut être licite du point de vue du RGPD, mais l’importateur marocain est en infraction avec la loi 09-08, qui exige une déclaration ou une autorisation préalable. La CNDP peut imposer des sanctions administratives, et le défaut d’enregistrement expose l’entité marocaine — et potentiellement le groupe — à une responsabilité pénale en vertu du droit marocain.

Un transfert intragroupe vers notre propre filiale marocaine nécessite-t-il quand même un outil de transfert ?

Oui. Le RGPD n’exempte pas les transferts intragroupe des exigences du Chapitre V. Un transfert vers une filiale détenue à 100 % au Maroc nécessite des CCT (ou des REC) et une AIT, exactement comme un transfert vers un tiers non lié.

Comment Korte Amereller peut vous accompagner

Guides connexes

Auteur : Zakaria Korte — Avocat à la Cour (Barreau de Paris) et Rechtsanwalt (Barreau allemand), représentant national du BVMW pour le Maroc. En association avec le réseau AMERELLER. Bureaux à Rabat, Casablanca, Berlin et Paris.