depannageinformatique.ma
Demander un Devis
Ouvrir le menu
4 min de lecture

Pourquoi la conformité CNDP est obligatoire pour la sauvegarde Cloud de votre entreprise

Cadre légal CNDP 2026 sur le stockage Cloud des données personnelles au Maroc : obligations, déclarations préalables, hébergement local et clauses sous-traitance.

CNDPsauvegarde CloudconformitéMaroc

Auteur vérifié

Directeur Technique — Cisco CCNP Enterprise & Fortinet NSE 4

12 ans d'expérience en infogérance PME et cybersécurité au Maroc, ex-responsable infrastructure d'une PME 100 postes à Casablanca. Spécialiste des architectures Fortinet et de la résilience face aux ransomwares.

Voir l'équipe technique Profil LinkedIn

Synthèse exécutive. Au Maroc, la loi 09-08 et les décrets d’application imposent une déclaration préalable des traitements de données personnelles à la CNDP, y compris pour les sauvegardes Cloud. En 2026, l’externalisation Cloud d’une PME marocaine exige un hébergement de préférence local, un contrat de sous-traitance conforme et une cartographie écrite des transferts internationaux. La sanction d’un manquement peut atteindre des montants significatifs et grever la réputation.

La sauvegarde Cloud est devenue un standard opérationnel pour toute PME marocaine sérieuse. Elle apporte la résilience face au ransomware, la rapidité de reprise après sinistre et la maîtrise des coûts. Mais elle déclenche aussi un ensemble d’obligations CNDP que les directions générales sous-estiment encore largement. Cet article reprend, sans jargon juridique excessif, ce que vous devez vérifier avant de signer un contrat de sauvegarde externalisée.

1. Le cadre légal marocain

1.1 La loi 09-08

La loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel constitue le socle. Elle instaure la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP).

1.2 Décrets et délibérations

Les décrets d’application et les délibérations spécifiques de la CNDP encadrent les transferts internationaux, les transferts vers des sous-traitants, l’usage des données biométriques, la vidéo-surveillance et la prospection commerciale.

1.3 Évolution 2026

La doctrine de la CNDP s’est progressivement durcie sur les transferts hors du Royaume, en particulier vers des juridictions n’offrant pas un niveau de protection adéquat. La traçabilité des décisions et l’analyse d’impact sont désormais des attentes implicites.

2. Sauvegarde Cloud : ce que la CNDP examine

2.1 Nature des données sauvegardées

Une sauvegarde d’un contrôleur Active Directory contient les comptes salariés, leurs adresses email, leurs métadonnées d’utilisation. Une sauvegarde Microsoft 365 contient des emails, des contrats, des fichiers RH. La sauvegarde traite donc des données personnelles, par construction.

2.2 Sous-traitant et lieu d’hébergement

Le prestataire qui héberge les sauvegardes est un sous-traitant au sens CNDP. Son identité, ses garanties techniques, sa localisation et la chaîne de sous-traitance doivent être documentées.

2.3 Transferts internationaux

Si le sous-traitant héberge à l’étranger (Europe, USA, autres), un transfert international s’opère. Il doit être justifié, encadré contractuellement et, dans certains cas, autorisé explicitement par la CNDP.

3. La déclaration préalable

3.1 Procédure

La déclaration s’effectue en ligne sur le portail de la CNDP. Elle décrit la finalité, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité.

3.2 Délais

L’instruction prend habituellement quelques semaines. Toute modification substantielle d’un traitement déclaré (nouveau sous-traitant, nouvelle finalité) déclenche une mise à jour ou une nouvelle déclaration.

3.3 Cas particuliers

Certains traitements (biométrie, scoring, reconnaissance faciale) requièrent une autorisation préalable, pas une simple déclaration.

4. Critères d’un Cloud conforme

4.1 Hébergement local privilégié

Choisir un opérateur disposant de datacenters au Maroc simplifie considérablement la conformité. Plusieurs hébergeurs locaux proposent désormais des offres compatibles Veeam, Acronis et S3-compatible.

4.2 Chiffrement de bout en bout

Le chiffrement AES-256 au repos est un minimum. Le chiffrement côté client (la clé reste chez vous) est l’optimum : il garantit qu’aucun administrateur de l’hébergeur ne peut techniquement accéder aux données.

4.3 Engagements écrits

Le contrat doit mentionner :

  • Lieu(x) d’hébergement précis.
  • Liste exhaustive des sous-traitants.
  • Durée de conservation et procédure de destruction.
  • Procédure de réversibilité et formats de restitution.
  • Notification des incidents de sécurité.
  • Audit autorisé du donneur d’ordre.

5. Cas pratiques fréquemment observés

5.1 Microsoft 365 Backup

Une sauvegarde tierce de Microsoft 365 (Veeam, Acronis, AvePoint) hébergée hors du Royaume implique un transfert. Il convient de l’identifier, de le justifier et de le contractualiser.

5.2 Sauvegarde NAS sur Cloud public

Un Synology synchronisé vers AWS S3 ou Backblaze B2 implique un transfert international. La documentation et la déclaration CNDP sont requises.

5.3 Stockage local + réplication régionale

Une architecture saine 2026 combine : sauvegarde primaire sur NAS local, copie immuable régionale chez un hébergeur marocain, copie hors-ligne mensuelle stockée physiquement à un autre site. Cette pile est facilement justifiable auprès de la CNDP.

6. Sanctions et risques

6.1 Risque administratif

La CNDP peut prononcer des avertissements, des injonctions et, dans les cas graves, transmettre le dossier au procureur pour des sanctions pénales pouvant comporter des peines d’amende et d’emprisonnement.

6.2 Risque réputationnel

Une plainte publique ou une enquête médiatisée peut affecter durablement la confiance des clients. Plusieurs PME marocaines ont vu leur image écornée par défaut de conformité.

6.3 Risque assurantiel

Les polices cyber-assurance excluent fréquemment les sinistres survenant sur un traitement non déclaré. Une déclaration CNDP en règle est désormais une condition implicite de l’indemnisation.

7. Mettre votre dispositif en conformité

7.1 Cartographier vos traitements

Lister : les applications, les sauvegardes, les sous-traitants, les flux. Sans cette cartographie, aucune mise en conformité durable n’est possible.

7.2 Réviser les contrats

Tous les contrats avec sous-traitants Cloud doivent contenir une clause CNDP / sécurité explicite. Si nécessaire, demander un avenant.

7.3 Former les équipes

La conformité ne dépend pas que d’un cabinet juridique : elle exige une discipline opérationnelle quotidienne (gestion des accès, des comptes désactivés, des sorties de salariés).

Conclusion

La conformité CNDP n’est pas un luxe : c’est désormais une exigence d’industrie pour toute PME marocaine externalisant ses sauvegardes. Mieux encadrée, elle devient même un argument commercial et un facteur de robustesse opérationnelle. Pour auditer votre stack actuelle et la sécuriser, écrivez-nous — nous fournissons un livrable formalisé exploitable directement par votre conseil juridique.

Un technicien en ligne ? 💬