Expertise technical

RGPD vs loi 09-08 (CNDP) : les vraies différences pour les entreprises qui envoient des SMS au Maroc

Rgpd vs cndp sms maroc : ce que dit vraiment la réglementation marocaine, expliqué simplement.

sms marocapi smsotp maroc
RGPD vs loi 09-08 (CNDP) : les vraies différences pour les entreprises qui envoient des SMS au Maroc

Lorsque l'on parle de "Conformité des données" aux développeurs ou aux agences de communication au Maroc, un mot revient en boucle : le RGPD (Règlement Général sur la Protection des Données).

Pourtant, la loi en vigueur sur le territoire national n'est pas le RGPD européen, mais la **Loi 09-08**, contrôlée par la **CNDP**. De nombreuses startups marocaines ou filiales de groupes étrangers s'y perdent. Pensant être conformes au RGPD en utilisant des plateformes américaines ou européennes, elles se retrouvent en infraction au Maroc. Voici comment démêler ces deux cadres juridiques pour vos envois d'[API SMS](/fr/api/).

Qui est concerné par quel texte ?

C'est la règle de territorialité. - **Si vous êtes une entreprise marocaine qui envoie des SMS à des citoyens marocains :** Vous êtes soumis *exclusivement* à la Loi 09-08 de la CNDP. Le RGPD ne s'applique pas à vous directement. - **Si vous êtes une entreprise marocaine qui cible la diaspora en Europe, ou une plateforme de tourisme ciblant des numéros français (+33) / espagnols (+34) :** Vous êtes soumis à la loi marocaine (Loi 09-08) **ET** au RGPD européen (en tant que sous-traitant ou responsable de traitement ciblant des résidents de l'UE). - **Si vous êtes une entreprise française qui ouvre une succursale au Maroc :** Vous devez appliquer les règles strictes de la CNDP marocaine sur vos bases de données locales, et non simplement dupliquer les mentions légales de votre maison-mère.

Les différences clés dans la gestion des bases de données SMS

Bien que la Loi 09-08 s'inspire largement des directives européennes pré-RGPD (notamment la loi Informatique et Libertés française), il existe des nuances pratiques. **1. L'obligation de déclaration préalable (Le fardeau administratif)** C'est la différence la plus marquante pour les DSI (Directions des Systèmes d'Information) : - **RGPD :** Il n'y a plus de "déclaration préalable" à faire à la CNIL pour créer un fichier client. C'est le principe de la *responsabilisation* (accountability) : vous tenez un registre interne. - **CNDP (Loi 09-08) :** L'approche est différente. Avant de créer une base de données de numéros de téléphone pour de la prospection, vous **devez déposer une déclaration (ou une demande d'autorisation)** auprès de la CNDP. Il y a un formalisme administratif strict au Maroc. **2. Le Transfert des données hors des frontières (Data Residency)** C'est le point de friction majeur pour le choix d'un [fournisseur SMS (Twilio, Vonage vs EnvoiSMS)](/fr/blog/envoisms-vs-twilio-au-maroc-comparatif-complet-pour-les/). - **RGPD :** Le transfert de données vers les États-Unis est très compliqué politiquement (Privacy Shield invalidé), mais très fluide au sein de l'Union Européenne. - **CNDP :** Transférer un numéro de téléphone marocain (+212) vers une API dont les serveurs sont à Paris ou en Californie nécessite une **autorisation préalable spécifique de transfert à l'étranger** par la CNDP, qui évalue si le pays de destination offre un niveau de protection adéquat. *Conséquence pratique :* Pour s'éviter des mois de paperasse juridique et de risque de rejet, les banques et grandes entreprises marocaines utilisent des [passerelles SMS hébergées au Maroc](/fr/blog/panorama-des-fournisseurs-sms-au-maroc-en-2026-qui-fait-quoi-sur/) pour que la donnée reste sur le territoire national.

Le Consentement (Opt-in) : Une rigueur partagée

Sur le front du marketing, le RGPD et la CNDP sont sur la même longueur d'onde. L'[Opt-in explicite](/fr/blog/comment-collecter-un-consentement-sms-explicite-et-legal-au-maroc/) (la case à cocher non pré-cochée) et le [droit de désabonnement (STOP SMS)](/fr/blog/mention-stop-et-desabonnement-sms-ce-que-dit-vraiment-la-loi/) sont des principes universels aux deux textes. L'envoi de SMS B2C non sollicité (Spam) est illégal des deux côtés de la Méditerranée.

Faut-il se conformer aux deux par sécurité ?

Si vous développez une plateforme SaaS au Maroc avec des ambitions internationales, la meilleure approche (Security by Design) est de **viser le standard d'exigence le plus élevé (le RGPD) sur l'architecture logicielle** (chiffrement, traçabilité du consentement, droit à l'oubli), tout en **respectant le formalisme administratif de la CNDP** (hébergement local, déclarations préalables). L'utilisation d'une [API SMS purement locale et souveraine](/fr/legal/privacy) pour vos flux marocains vous enlève une immense épine du pied lors de vos audits de conformité, en garantissant que le nœud de télécommunication (la donnée transitant vers l'opérateur) respecte nativement la juridiction de la Loi 09-08.

💡 Pourquoi choisir EnvoiSMS pour votre entreprise ?

Délivrabilité Critique

Moins de 4 secondes pour vos OTP via des canaux directs opérateurs IAM, Inwi et Orange Maroc.

💰

Optimisation du Budget

WhatsApp Business API à 0,13 MAD seulement par session. Le meilleur ROI conversationnel.

🛡️

Données Souveraines (CNDP)

Hébergement conforme aux réglementations de protection des données personnelles locales.