Conformité mobile au Maroc : CMI, loi 09-08, ANRT

Vous éditez une app mobile pour le marché marocain. Vous comptez l'envoyer à l'App Store la semaine prochaine. Trois questions vous restent en travers : la CNDP va-t-elle vous tomber dessus, comment encaisser une carte marocaine dans l'app, et faut-il prévenir l'ANRT pour la fonction d'appel intégrée. Ce guide répond aux trois, dans l'ordre dans lequel ces sujets remontent quand on prépare un dossier de mise en production sérieuse en 2026.

Nous publions des apps pour le marché marocain depuis plusieurs années. Les règles ont bougé entre 2023 et 2026, et la CNDP est devenue nettement plus active. Voici ce qu'on applique chez nos clients avant chaque soumission.

TLDR : les 3 conformités non-négociables

Au Maroc, trois textes encadrent ce que peut faire une app mobile :

1. Loi 09-08, supervisée par la CNDP. Elle régit toute collecte de données personnelles, ce qui inclut un simple email d'inscription. Déclaration préalable obligatoire.
2. Contrat CMI avec une banque acquéreur marocaine, dès que l'app encaisse une carte émise au Maroc. Sans cela, vos clients ne peuvent pas payer avec leur Visa marocaine.
3. Autorisation ANRT, requise dès que l'app exerce une fonction qui relève des télécoms : appel voix VoIP, SMS premium, IoT cellulaire, télémédecine connectée.

Le coût de l'ignorance va du retrait des stores au blocage des transactions, en passant par des amendes prononcées et publiées par la CNDP. La bonne nouvelle : aucune de ces trois conformités n'est techniquement complexe quand elle est anticipée. C'est quand elle est traitée à la fin que les coûts explosent.

Loi 09-08 : ce qu'une app doit faire concrètement

La loi 09-08 est l'équivalent marocain du RGPD européen. Elle s'applique à tout traitement de données personnelles concernant des personnes résidant au Maroc, peu importe où vous êtes basés. Une app éditée à Paris mais ciblant le marché marocain est concernée.

Concrètement, votre app doit cocher cinq cases :

• Déclaration préalable à la CNDP via le portail cndp.ma. Pour les traitements ordinaires (compte utilisateur, panier, historique de commande), c'est une déclaration. Pour les traitements sensibles (santé, biométrie, géolocalisation précise), c'est une demande d'autorisation. Délai administratif : 2 à 8 semaines.
• Consentement explicite à la collecte. Pas de case pré-cochée, pas de "en utilisant l'app vous acceptez". Un vrai écran avec accept/refus de poids visuel égal.
• Registre des traitements tenu en interne, qui décrit chaque finalité, chaque donnée, chaque destinataire. C'est ce que la CNDP demande en premier en cas de contrôle.
• Droits utilisateurs accessibles : accès, rectification, effacement, opposition. Une adresse email dédiée et un délai de réponse de 30 jours suffisent à être conforme.
• Politique de confidentialité publiée, accessible avant l'installation et depuis l'app, à jour. Pas un copier-coller d'un template américain qui parle de "California consumers".

Sur les apps que nous mettons en production, la déclaration CNDP est la première brique du dossier de conformité. On la dépose dès que le périmètre fonctionnel est gelé, en parallèle du développement — pas à la fin. Pour le détail des obligations cybersécurité induites par 09-08, voir notre checklist loi 09-08 et cybersécurité.

Intégrer le CMI dans une app mobile

Si votre app encaisse des paiements et cible le Maroc, le CMI n'est pas optionnel. Le Centre Monétique Interbancaire est la passerelle obligatoire pour les cartes bancaires émises par les banques marocaines. Sans contrat CMI via une banque acquéreur, vos clients verront leur paiement refusé ou taxé en frais internationaux dissuasifs.

Le parcours type pour intégrer le CMI dans une app :

1. Ouvrir un compte e-commerce chez une banque acquéreur marocaine (BMCE Bank of Africa, Attijariwafa, Banque Populaire, CIH, Société Générale Maroc). Comptez 4 à 8 semaines, dossier KYC complet, justification de l'activité.
2. Recevoir les identifiants CMI (merchant ID, clés API, environnement de test).
3. Intégrer la passerelle côté backend — c'est un appel server-to-server, pas une SDK in-app. La carte est saisie sur une page hébergée par le CMI (modèle redirect ou WebView), jamais dans votre app directement, pour rester hors du périmètre PCI-DSS contraignant.
4. Activer 3D Secure, obligatoire depuis 2022 sur toutes les transactions e-commerce marocaines. L'utilisateur est redirigé vers l'écran de sa banque pour validation OTP.
5. Recetter avec votre banque sur l'environnement de test, puis demander l'activation production.

Pour les apps qui ciblent à la fois le Maroc et l'international, l'architecture la plus propre est CMI pour les cartes marocaines + Stripe pour le reste, avec un routage automatique selon le BIN de la carte. Nous détaillons cette mise en place dans notre guide intégration CMI et Stripe pour le paiement au Maroc.

Sur un projet récent , une app de réservation pour un opérateur touristique de Marrakech — nous avons mis trois mois entre la signature du contrat e-commerce avec la banque et la première transaction CMI passée en production. Une partie incompressible (KYC bancaire) plus le développement de la couche de paiement. À budgéter dès le planning du projet.

ANRT : quand a-t-on besoin d'une autorisation

L'ANRT (Agence Nationale de Réglementation des Télécommunications) régule tout ce qui touche aux réseaux et services de télécommunications au Maroc. La plupart des apps n'ont rien à demander à l'ANRT. Mais certaines fonctionnalités déclenchent l'obligation :

• VoIP : appel voix sur IP entrant ou sortant, qu'il soit gratuit (in-app calling) ou payant.
• Envoi de SMS premium ou SMS à partir d'un short code marocain.
• IoT cellulaire : si votre app gère des objets connectés qui utilisent une carte SIM ou un module GSM/LTE.
• Télémédecine connectée quand elle inclut un canal vidéo synchronisé avec un professionnel de santé sur le réseau marocain.
• MVNO ou revente de communications sous quelque forme que ce soit.

La procédure standard : dépôt d'un dossier auprès de l'ANRT décrivant le service, la pile technique, les volumétries cibles, les mesures de sécurité. Délai de 4 à 12 semaines selon la classe de service. Une autorisation, une fois obtenue, est valable plusieurs années et nécessite un reporting périodique.

À noter : héberger un chat ou un messaging texte en data ne déclenche pas l'ANRT. C'est la fonction télécom au sens technique (transport de voix, gestion de numéros, SMS opérateur) qui déclenche l'obligation. Dans le doute, un appel à l'ANRT en amont coûte moins cher qu'une mise en demeure six mois après le lancement.

Stockage des données : Maroc, UE ou hors-UE

La position de la CNDP sur les transferts de données a évolué. En 2026, héberger les données utilisateurs hors du Maroc est autorisé, à trois conditions :

• Le pays d'hébergement offre un niveau de protection "adéquat" — l'UE coche cette case par défaut, les États-Unis non.
• Le transfert est déclaré dans la déclaration CNDP du traitement concerné.
• Le sous-traitant cloud signe des clauses contractuelles types ou un Data Processing Addendum reprenant les obligations de la loi 09-08.

En pratique, voici la matrice de choix qu'on utilise chez nos clients :

Pour une app marocaine grand public, AWS Paris reste le choix par défaut : conformité simple à documenter, latence acceptable depuis Casablanca, écosystème riche. Pour un projet sensible (santé, paiement, secteur régulé), l'hébergement local devient nécessaire — au prix d'une stack moins riche en services managés.

Permissions iOS et Android : ce que la CNDP regarde

Les permissions natives demandées par votre app sont scrutées à deux niveaux : Apple et Google côté store, la CNDP côté loi locale. Les quatre permissions qui posent le plus de questions :

• Géolocalisation : précise vs approximative. Demander la précision sans la justifier métier est rejeté par Apple depuis iOS 14 et flagué par la CNDP. Justification type acceptable : livraison, mise en relation locale, prévention de fraude.
• Microphone : obligatoire de préciser quand et pourquoi, dans le prompt natif. Couper le micro en arrière-plan quand la fonction n'est pas active.
• Caméra : justifier l'usage exact (scan QR code, photo de profil, KYC vidéo). Pas de demande générique.
• Contacts : la plus sensible. La CNDP considère que c'est une collecte de données personnelles de tiers (les amis de l'utilisateur, qui n'ont pas consenti). À éviter ou à entourer de garanties solides.

La règle simple : pour chaque permission demandée, le prompt natif doit être précédé d'un écran applicatif qui explique en français pourquoi la permission est demandée, ce que devient la donnée, et comment la révoquer plus tard. Cette double couche est ce que regardent Apple, Google et la CNDP en cas de revue.

Mentions légales et CGU pour app marocaine

L'app doit porter ses mentions légales et ses CGU, accessibles depuis l'écran de réglages et avant l'inscription. Structure minimale :

• Identité de l'éditeur : raison sociale, ICE, RC, adresse, capital social, représentant légal.
• Hébergeur : nom, adresse, pays.
• Politique de confidentialité distincte des CGU, qui détaille les finalités, les données collectées, la durée de conservation, les destinataires, les droits utilisateurs.
• Droit applicable : droit marocain pour une app éditée par une structure marocaine, juridiction compétente précisée (souvent les tribunaux de Casablanca).
• Médiation consommateur : depuis 2022, le recours à un médiateur agréé doit être mentionné pour les apps B2C.

Côté langues : le français suffit légalement pour la plupart des secteurs. L'arabe devient obligatoire dans les secteurs régulés (banque, assurance, santé) et fortement recommandé sur tout produit grand public ciblant le marché local. Notre conseil pratique : publier au minimum en français et en arabe, l'anglais en option selon la cible.

Pour la rédaction, ne pas copier des templates US ou UE sans relecture. Les références à "California Consumer Privacy Act" ou au RGPD seul sans mention de la loi 09-08 sont des marqueurs de non-conformité que la CNDP repère immédiatement.

Audit de conformité avant publication store

Avant chaque soumission App Store ou Play Store pour un client marocain, nous passons la checklist suivante. Vingt-cinq points, condensés ici en blocs.

Légal et déclaratif

1. Déclaration CNDP déposée, accusé de réception conservé.
2. Mentions légales complètes avec ICE, RC, capital, hébergeur.
3. CGU en français, arabe si requis par le secteur.
4. Politique de confidentialité distincte et à jour.
5. Contrat CMI signé si paiement carte marocaine.
6. Autorisation ANRT obtenue si fonction télécom.

Technique et UX

1. Prompts de permissions précédés d'un écran d'explication métier.
2. Refus de consentement aussi facile qu'acceptation.
3. App Tracking Transparency configuré (iOS) et déclaration Play Store des SDK publicitaires (Android).
4. 3D Secure activé sur toutes les transactions.
5. Logs serveur n'enregistrent pas de données sensibles en clair.
6. Communication serveur en HTTPS / TLS 1.2 minimum.

Données et sous-traitants

1. DPA signé avec chaque sous-traitant cloud, paiement, analytics.
2. Pays d'hébergement déclaré et conforme à la CNDP.
3. Durée de conservation définie pour chaque type de donnée.
4. Procédure de suppression de compte effective et testée.

Stores et conformité éditoriale

1. Fiche store en français au minimum, captures d'écran à jour.
2. Politique de confidentialité accessible depuis la fiche store.
3. Pas de référence à des SDK non déclarés (analytics, attribution, ads).
4. Mécanisme de signalement de contenu illicite pour les apps UGC.

Procédures internes

1. Registre des traitements à jour.
2. DPO ou correspondant CNDP désigné.
3. Procédure de réponse aux demandes d'exercice de droits (30 jours max).
4. Procédure de notification en cas de violation de données.
5. Plan de revue annuelle de la conformité documenté.

Sur cette checklist, les trois points les plus souvent manqués chez les apps que nous reprenons : la déclaration CNDP (oubliée par 7 éditeurs sur 10), la procédure de suppression de compte (refusée par Apple depuis 2022), et le DPA signé avec les sous-traitants analytics (Google Analytics, Firebase, attribution).

Sanctions et incidents récents

Entre 2024 et 2026, la CNDP est passée d'une posture pédagogique à une posture sanctionnatrice. Les décisions publiques relevées :

• Plusieurs amendes prononcées sur la période, dans la fourchette (montant non précisé), principalement pour absence de déclaration ou collecte de données sans consentement éclairé.
• Plusieurs apps retirées du Play Store ou de l'App Store suite à des signalements de la CNDP relayés auprès d'Apple et Google.
• Plusieurs mises en demeure publiques sur des apps de livraison et de mise en relation, qui collectaient géolocalisation et contacts sans base juridique claire.

Les recours existent : opposition à la décision dans les 30 jours, recours contentieux devant les tribunaux administratifs. En pratique, mieux vaut investir une journée dans la déclaration préalable que plusieurs mois à se défendre.

Le risque réputationnel n'est pas négligeable : les décisions de la CNDP sont publiées et reprises par la presse économique. Pour une app qui dépend de l'acquisition organique et de la confiance utilisateur, c'est un coup dur qui dépasse largement le montant de l'amende.

Pour aller plus loin sur l'application de la loi 09-08 hors mobile, voir aussi notre guide email marketing et loi 09-08.

Pour aller plus loin

• Création web et apps au Maroc , guide du silo , la pillar
• Intégration CMI et Stripe pour le paiement au Maroc — le pendant paiement
• Choisir une agence d'application mobile au Maroc — les critères de sélection
• Loi 09-08 et cybersécurité : la checklist — le détail sécurité
• Notre offre développement d'application mobile — la page service

Conclusion

La conformité d'une app mobile marocaine en 2026 tient sur trois axes simples : déclaration CNDP au titre de la loi 09-08, contrat CMI pour les paiements carte marocaine, autorisation ANRT pour les fonctions télécom. Anticipée dès le cadrage, elle coûte quelques jours-homme étalés sur le projet. Traitée à la fin, elle décale la mise en ligne de 4 à 12 semaines et expose à des sanctions évitables.

Notre approche : intégrer le volet conformité dès le kick-off, paralléliser la déclaration CNDP et l'ouverture du compte CMI avec le développement, et faire passer la checklist 25 points avant chaque release majeure. C'est ce qui sépare une app qui passe la revue store du premier coup d'une app qui revient deux fois en correction.

Échangez 20 min avec notre équipe — nous regardons votre périmètre fonctionnel, identifions les points de conformité critiques pour votre cas, et vous indiquons la marche à suivre avant la mise en production.