Sécurité des données RH : conformité RGPD et loi 09-08 au Maroc

Publié le 1 avril 2026 · 6 min de lecture

La gestion des données RH implique le traitement d'informations personnelles sensibles : identité, salaires, évaluations, données médicales. En France comme au Maroc, des réglementations strictes encadrent cette gestion. Voici ce que vous devez savoir.

Le RGPD en France et en Europe

Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, s'applique à toute organisation traitant des données personnelles de résidents européens. En matière de RH, cela concerne :

• Les dossiers collaborateurs (identité, coordonnées, situation familiale)
• Les données de paie et de rémunération
• Les évaluations de performance et entretiens
• Les données de temps de travail et d'activité (CRA)
• Les CV et dossiers de compétences

Les obligations clés du RGPD pour les RH

• Base légale : chaque traitement doit reposer sur une base légale (contrat de travail, obligation légale, intérêt légitime)
• Minimisation : ne collecter que les données strictement nécessaires
• Droit d'accès : les collaborateurs peuvent consulter leurs données
• Droit à l'effacement : suppression des données après le départ (sauf obligations légales de conservation)
• Sécurité : mesures techniques et organisationnelles pour protéger les données
• Registre des traitements : documenter tous les traitements RH

La loi 09-08 au Maroc

La loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel est le cadre légal marocain. Supervisée par la CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel), elle impose :

• Déclaration préalable : tout traitement de données personnelles doit être déclaré à la CNDP
• Consentement : information claire des personnes concernées
• Finalité : les données ne peuvent être utilisées que pour la finalité déclarée
• Transfert international : les transferts hors du Maroc sont encadrés et nécessitent des garanties
• Sécurité : obligation de sécuriser les données contre les accès non autorisés

Comment choisir un logiciel RH conforme

Lors du choix d'un logiciel de gestion RH, vérifiez ces points :

1. Hébergement des données

Où sont stockées les données ? Pour une conformité optimale, privilégiez un hébergement en Europe (pour le RGPD) avec des garanties de localisation.

2. Chiffrement

Les données doivent être chiffrées en transit (HTTPS/TLS) et au repos. Vérifiez les standards de chiffrement utilisés.

3. Cloisonnement des accès

Chaque utilisateur ne doit voir que les données qui le concernent. Un système de rôles et de permissions granulaires est indispensable, surtout dans un contexte multi-tenant (prestataire + client).

4. Droit d'accès et portabilité

Le logiciel doit permettre d'exporter les données d'un collaborateur sur demande et de les supprimer après la fin du contrat.

5. Journalisation

Toutes les actions sur les données sensibles doivent être tracées (qui a accédé à quoi, quand, depuis où).

OrcaFlow et la conformité

OrcaFlow a été conçu dès l'origine pour respecter les exigences du RGPD et de la loi marocaine 09-08 :

• Architecture multi-tenant cloisonnée : chaque entité (prestataire, client) a un espace strictement séparé
• Rôles et permissions granulaires : contrôle fin des accès par profil
• Chiffrement des données en transit et au repos
• Double conformité : RGPD (France, Belgique) + loi 09-08 (Maroc)
• Export et suppression des données sur demande