بBurhan

Legal guides · IA, données & CNDP

Frontière numérique: choisir ce qui peut sortir

Les réflexes juridiques avant d’envoyer ou d’héberger des données marocaines à l’étranger.

Back to guides
These guides are currently available in French. English versions are being prepared.

Un transfert de données hors Maroc peut être déclenché sans que l’entreprise s’en rende compte: outil cloud, support technique étranger, maison mère, prestataire marketing, solution RH ou stockage documentaire. Le sujet doit être traité avant le déploiement, pas au moment d’un incident.

Ce guide propose une approche opérationnelle pour décider quoi vérifier, quelles pièces préparer et quand solliciter une validation juridique. Il ne reprend pas un modèle standard: il sert de grille de lecture pour adapter la réponse au contexte concret de l’entreprise.

Comprendre l’enjeu

Il faut identifier les données concernées, le pays de destination, le destinataire, la finalité et les garanties proposées. Tous les transferts ne présentent pas le même niveau de risque, mais tous doivent être compris et documentés.

Points de contrôle

La conformité ne repose pas seulement sur une mention dans une politique. Elle nécessite des clauses contractuelles, des contrôles fournisseur et une cohérence avec les obligations CNDP applicables.

Avant d’agir, l’équipe doit clarifier les responsabilités internes, le niveau d’urgence, les preuves disponibles et les conséquences financières ou réputationnelles possibles.

Erreurs à éviter

Les erreurs les plus fréquentes consistent à traiter le sujet trop tard, à signer ou notifier sans dossier complet, à utiliser un modèle non adapté ou à oublier les preuves nécessaires en cas de contestation.

Une décision juridiquement correcte peut devenir fragile si elle n’est pas expliquée, datée et conservée dans un dossier cohérent.

Réflexe Burhan

Créer une matrice des flux internationaux, liée à chaque outil métier. Cette matrice devient la base de discussion avec le DPO, l’IT, les achats et le juridique.

Concrètement, il faut au minimum :

  • cartographier les pays de destination;
  • vérifier sous-traitants et accès support;
  • documenter la base de transfert;
  • mettre à jour les politiques et contrats;
  • conserver une synthèse courte de la décision et de ses motifs.

Checklist rapide

  • Les faits sont-ils établis par écrit ?
  • Le bon régime juridique a-t-il été identifié ?
  • Les délais et formalités ont-ils été vérifiés ?
  • Les personnes habilitées ont-elles validé la décision ?
  • Les risques de contestation ont-ils été anticipés ?
  • Les pièces seraient-elles lisibles par un juge, un auditeur ou un tiers ?

Conclusion

Transferts de données hors Maroc: sécuriser ses flux doit être traité avec méthode. La règle de droit compte, mais la qualité du dossier compte tout autant: faits, preuves, cohérence des décisions et traçabilité des validations.

Une entreprise qui structure ces éléments en amont réduit le risque de litige, négocie mieux et agit plus vite lorsque la situation devient sensible.