بBurhan

Legal guides · IA, données & CNDP

Outils cloud clients: cadrer les données avant déploiement

Comment encadrer les outils cloud qui traitent des données clients, salariés ou prospects au Maroc.

Back to guides
These guides are currently available in French. English versions are being prepared.

Un CRM ou un SaaS cloud concentre souvent les informations les plus sensibles d’une entreprise: prospects, clients, historiques commerciaux, tickets support, contrats, parfois données RH. Le risque juridique apparaît lorsque l’outil est adopté comme une commodité technique sans analyse des flux de données.

Ce guide propose une approche opérationnelle pour décider quoi vérifier, quelles pièces préparer et quand solliciter une validation juridique. Il ne reprend pas un modèle standard: il sert de grille de lecture pour adapter la réponse au contexte concret de l’entreprise.

Comprendre l’enjeu

L’entreprise doit savoir où les données sont hébergées, qui y accède, quels sous-traitants interviennent et si des transferts internationaux sont déclenchés. Cette analyse conditionne la conformité CNDP et la rédaction des clauses avec le fournisseur.

Points de contrôle

Un bon outil mal administré devient une source de risque: comptes partagés, anciens salariés actifs, droits trop larges, exports non contrôlés. Les accès doivent suivre les rôles réels de l’entreprise.

Avant d’agir, l’équipe doit clarifier les responsabilités internes, le niveau d’urgence, les preuves disponibles et les conséquences financières ou réputationnelles possibles.

Erreurs à éviter

Les erreurs les plus fréquentes consistent à traiter le sujet trop tard, à signer ou notifier sans dossier complet, à utiliser un modèle non adapté ou à oublier les preuves nécessaires en cas de contestation.

Une décision juridiquement correcte peut devenir fragile si elle n’est pas expliquée, datée et conservée dans un dossier cohérent.

Réflexe Burhan

Avant de déployer un SaaS, construire une fiche outil: finalité, données, hébergement, sous-traitants, durée de conservation, sécurité, journalisation et propriétaire interne.

Concrètement, il faut au minimum :

  • revoir le contrat SaaS et le DPA;
  • contrôler les exports et intégrations API;
  • désigner un administrateur métier;
  • prévoir une procédure de sortie et restitution des données;
  • conserver une synthèse courte de la décision et de ses motifs.

Checklist rapide

  • Les faits sont-ils établis par écrit ?
  • Le bon régime juridique a-t-il été identifié ?
  • Les délais et formalités ont-ils été vérifiés ?
  • Les personnes habilitées ont-elles validé la décision ?
  • Les risques de contestation ont-ils été anticipés ?
  • Les pièces seraient-elles lisibles par un juge, un auditeur ou un tiers ?

Conclusion

CRM, SaaS et cloud: les points CNDP à verrouiller doit être traité avec méthode. La règle de droit compte, mais la qualité du dossier compte tout autant: faits, preuves, cohérence des décisions et traçabilité des validations.

Une entreprise qui structure ces éléments en amont réduit le risque de litige, négocie mieux et agit plus vite lorsque la situation devient sensible.