Conformité CNDP Loi 09-08 pour écoles : guide pratique

La Loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel est en vigueur au Maroc depuis 2009. La CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel) en assure le respect.

Votre école traite quotidiennement des données sensibles : identités d'enfants, dossiers santé, photos, communications parents. Voici les 7 obligations clés et comment SIRAJ vous aide à les respecter.

1. Déclaration préalable à la CNDP

Toute école traitant des données personnelles doit déclarer ses traitements à la CNDP. Pour SIRAJ, SBPT (l'éditeur) tient une déclaration à jour — vous bénéficiez d'une protection contractuelle. Vous restez néanmoins responsable pour votre propre traitement (gestion interne, dossiers papier, etc.).

2. Consentement explicite pour les photos

Article 4 : le consentement doit être donné de manière libre, éclairée et spécifique. SIRAJ inclut un système de consentement photo obligatoire par apprenant — le directeur ne peut télécharger une photo qu'après validation du parent.

3. Droit d'accès (Article 7)

Tout parent doit pouvoir consulter les données stockées sur son enfant. SIRAJ fournit un portail parent dédié où chaque parent voit : présence, notes, paiements, communications, photos. En cas de demande formelle, vous pouvez exporter le dossier complet en PDF.

4. Droit de rectification (Article 8)

Le parent peut demander correction d'une donnée erronée. SIRAJ permet d'éditer les fiches en quelques clics. Chaque modification est tracée dans l'audit-log avec horodatage + identifiant utilisateur.

5. Droit d'opposition + d'effacement (Articles 9-11)

Le parent peut s'opposer au traitement de certaines données ou demander leur suppression. SIRAJ inclut une fonction "Archiver" (soft-delete avec rétention 90 jours conforme à la loi) et "Suppression définitive" sur demande écrite via DPO.

6. Sécurité technique (Article 23)

Vous devez mettre en place des mesures techniques pour protéger les données. SIRAJ couvre ce volet :

• Chiffrement TLS 1.3 (transit) + at-rest Postgres (stockage)
• Mots de passe bcrypt hashés (cost 12)
• Authentification multi-facteurs (2FA optionnel)
• Rôles granulaires (least privilege)
• Audit-log immuable append-only
• Sauvegarde quotidienne 30 jours

7. Notification de violation (Article 26)

En cas de fuite de données, vous devez notifier la CNDP sous 72h + informer les personnes concernées. SBPT a un programme de divulgation responsable et notifie ses clients sous 24h en cas de breach détecté côté plateforme.

Le rôle du DPO (Délégué à la Protection des Données)

La nomination d'un DPO n'est pas obligatoire au Maroc (contrairement au RGPD européen), mais elle est fortement recommandée pour les écoles >100 élèves. Le DPO est le point de contact CNDP + parents.

SBPT a son propre DPO joignable à info.siraj@tazaghine.com pour toutes les questions concernant le traitement effectué via la plateforme SIRAJ.

Checklist : votre école est-elle conforme ?

1. Vous avez un règlement intérieur mentionnant le traitement des données
2. Vous obtenez le consentement photo explicite des parents
3. Vos enseignants signent une charte de confidentialité
4. Vos sauvegardes sont chiffrées et hors-site
5. Vous avez désigné un référent données (ou DPO)
6. Vous tenez à jour un registre de traitement
7. Vous notifiez la CNDP en cas d'incident

Pour aller plus loin : consultez notre page /security pour les détails techniques d'architecture, ou écrivez à info.siraj@tazaghine.com pour discuter de votre cas spécifique.