Expertise technical

Déclarer un traitement de données pour vos campagnes SMS à la CNDP : guide pratique

Declarer traitement donnees sms cndp : ce que dit vraiment la réglementation marocaine, expliqué simplement.

sms marocapi smsotp maroc
Déclarer un traitement de données pour vos campagnes SMS à la CNDP : guide pratique

La plus grande phobie des entreprises marocaines face à la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) est la complexité administrative.

Pourtant, la "Déclaration de traitement de données" (le fait de dire à l'État : "Oui, je collecte des numéros de téléphone pour envoyer des [campagnes SMS promotionnelles](/fr/cas-usage/marketing)") n'est plus un parcours du combattant sur papier. La CNDP a digitalisé ses processus. Voici un mode d'emploi démythifié et étape par étape pour mettre votre [API SMS](/fr/api/) dans la légalité.

Étape 1 : Faut-il une simple déclaration ou une demande d'autorisation ?

La loi marocaine (09-08) distingue deux niveaux de formalités. Pour la création d'une base de données clients classiques (Nom, Prénom, Numéro de téléphone) destinée à l'envoi de SMS (marketing ou [OTP transactionnel](/fr/guides/otp-authentication-maroc/)), vous relevez généralement du régime de la **Déclaration Préalable** (plus simple et plus rapide). Cependant, si votre base contient des données "Sensibles" (ex: des cliniques envoyant des SMS liés à la santé d'un patient) ou si vous transférez physiquement votre base de données en dehors du Maroc (vers une plateforme de routage cloud étrangère), vous passez sous le régime de **l'Autorisation Préalable** (beaucoup plus lourd à justifier). *Astuce technique :* L'utilisation d'une infrastructure SMS [exclusivement hébergée et routée au Maroc](/fr/blog/panorama-des-fournisseurs-sms-au-maroc-en-2026-qui-fait-quoi-sur/) (comme EnvoiSMS) permet très souvent de rester dans le régime de la simple déclaration.

Étape 2 : Préparer les informations techniques

La CNDP va vous poser des questions sur votre architecture technique. Votre DSI (Directeur Informatique) ou votre hébergeur doit vous fournir ces réponses avant de commencer : - **Finalité du traitement :** (Ex: "Gestion de la relation client et prospection commerciale par SMS"). - **Catégories de données collectées :** (Numéro mobile, Nom). - **Durée de conservation :** L'État veut savoir quand vous supprimerez les données. Précisez votre politique de purge, par exemple [3 ans après la fin de la relation commerciale](/fr/blog/duree-de-conservation-des-numeros-de-telephone-ce-que-dit-la/). - **Le consentement :** Fournissez la preuve du mode de collecte (ex: Capture d'écran de votre site web montrant [la case à cocher vide de l'Opt-in](/fr/blog/comment-collecter-un-consentement-sms-explicite-et-legal-au-maroc/)). - **Mesures de sécurité :** Précisez que vos bases (MySQL, etc.) sont sécurisées par mots de passe, et que les appels à l'API SMS se font obligatoirement via des connexions cryptées HTTPS/TLS.

Étape 3 : La procédure sur le portail en ligne

L'administration a mis en place un portail dédié : 1. Rendez-vous sur le site officiel de la CNDP (cndp.ma) dans la rubrique "Déclarer un fichier". 2. Créez le compte de votre société (ou authentifiez-vous). 3. Remplissez le formulaire en ligne correspondant à "Gestion de la clientèle / Prospection". 4. Chargez les pièces jointes nécessaires (Modèle d'information, capture d'écran de votre page de collecte, engagement de sécurité). 5. Soumettez le dossier.

Étape 4 : Ce qui se passe après le dépôt (Le Récépissé)

Une fois le dossier complet validé électroniquement par l'agent de la CNDP, vous recevrez un **Récépissé de Déclaration**. Attention, un récépissé de déclaration *n'est pas* une validation que tout ce que vous faites est parfait pour l'éternité. Il atteste que vous avez effectué la démarche légale de transparence. Dès réception du récépissé, vous êtes formellement autorisé à continuer (ou démarrer) la collecte et l'exploitation de votre base de données pour l'envoi de vos campagnes SMS ou l'intégration de votre système [d'alertes opérationnelles automatisées](/fr/cas-usage/notifications/). *Important : Ce guide est une vulgarisation technique. Il ne remplace en aucun cas un conseil juridique spécialisé ou la consultation d'un cabinet d'avocats pour auditer la conformité globale de votre entreprise à la Loi 09-08.*

💡 Pourquoi choisir EnvoiSMS pour votre entreprise ?

Délivrabilité Critique

Moins de 4 secondes pour vos OTP via des canaux directs opérateurs IAM, Inwi et Orange Maroc.

💰

Optimisation du Budget

WhatsApp Business API à 0,13 MAD seulement par session. Le meilleur ROI conversationnel.

🛡️

Données Souveraines (CNDP)

Hébergement conforme aux réglementations de protection des données personnelles locales.