Caissa
Discuter
Conformité12 mai 2026 11 min de lecture

Données de pharmacies au Maroc 2026 : l'alerte CRPOS du 29 avril, ce que dit la Loi 09-08, et comment vérifier votre logiciel

Le 29 avril 2026, le Conseil régional des pharmaciens d'officine du Sud (CRPOS) a dénoncé l'exploitation commerciale illégale des données de plus de 5 000 pharmacies marocaines. Que dit exactement Dr Saadia Motaouakkil, quelles sanctions prévoit la Loi 09-08, et comment vérifier la conformité de votre logiciel d'officine actuel.

C
Caissa MENA · Oasis Techno Cloud
par Oasis Techno Cloud · Rabat
Catégorie · Conformité
Le 29 avril 2026, le Conseil régional des pharmaciens d'officine du Sud (CRPOS) a dénoncé l'exploitation commerciale illégale des données de plus de 5 000 pharmacies marocaines.…

Le 29 avril 2026, le Conseil régional des pharmaciens d'officine du Sud (CRPOS), présidé par le Dr Saadia Motaouakkil, a publié une alerte publique sans précédent. Selon le conseil, les données commerciales et de santé de plus de 5 000 pharmacies marocaines sont collectées en continu par certaines plateformes numériques de gestion d'officine, agrégées, puis revendues à des laboratoires pharmaceutiques pour évaluer la performance des délégués médicaux et alimenter des programmes de rémunération.

Les sommes en jeu, selon le Dr Motaouakkil, atteignent « plusieurs centaines de millions de dirhams ». L'hébergement, lui, se ferait « parfois à l'étranger », hors de portée du contrôle de la Commission nationale de protection des données personnelles (CNDP).

Cet article fait le point sans complaisance : ce que dit exactement le CRPOS, ce que prévoit la Loi 09-08 (en vigueur depuis 2009 mais activement appliquée depuis février 2025), et la check-list pratique que tout pharmacien titulaire devrait passer sur son logiciel actuel cette semaine.

L'essentiel en 30 secondes :

  • L'alerte CRPOS du 29 avril 2026 vise « certaines plateformes numériques » non nommées qui collectent les ventes et données patients de 5 000+ pharmacies marocaines, sans consentement explicite des pharmaciens.
  • La Loi 09-08 sanctionne le transfert non autorisé de données sensibles (les données santé en font partie) jusqu'à 300 000 MAD d'amende et un an d'emprisonnement pour le responsable du traitement.
  • La CNDP a lancé en février 2025 sa première vague de contrôles sectoriels sur l'industrie pharmaceutique. Le secteur est officiellement dans le viseur.
  • Que faire concrètement : demander à votre éditeur où sont hébergées vos données, exiger une clause anti-revente dans les CGU, vérifier votre droit d'export complet, et, si la réponse ne satisfait pas, regarder les alternatives souveraines hébergées au Maroc.

1. Ce qu'a dit le CRPOS exactement

L'alerte a été reprise par quatre médias économiques marocains en 24 heures : L'Économiste / Le360 (article du 29 avril 2026), Médias24 (article de Kenza Khatla du 30 avril 2026), Le Desk (article du 29 avril 2026), et Consonews (article du 30 avril 2026).

Le contenu du communiqué CRPOS, repris dans ces articles, se résume à quatre constats.

Constat 1. Plus de 5 000 pharmacies marocaines utilisent des plateformes numériques de gestion d'officine. Ces plateformes s'appuient sur des « réseaux étendus de points de vente » pour collecter, en quasi-continu, des informations sur les ventes et le comportement des consommateurs.

Constat 2. Les données ainsi collectées sont « agrégées et réutilisées dans des analyses et rapports à finalité économique ou commerciale », notamment pour des laboratoires qui suivent la performance de leurs délégués médicaux et organisent des programmes de fidélisation des pharmaciens.

Constat 3. Cette exploitation se fait « sans le consentement explicite des pharmaciens », et souvent « sans qu'ils en aient connaissance ». Les sommes en jeu, selon le Dr Motaouakkil, atteignent « plusieurs centaines de millions de dirhams ».

Constat 4. L'hébergement des données se fait « parfois à l'étranger », ce qui « complique le contrôle des pharmaciens et de l'autorité publique ».

Dans une déclaration directe au quotidien LesEco (source), Dr Motaouakkil va plus loin et demande la mise en place d'« un mécanisme d'homologation et de contrôle » des logiciels de gestion d'officine au Maroc, citant le fait que « les fonctionnalités dépassent le simple cadre administratif » — référence aux algorithmes de suggestion thérapeutique liés à des marques commerciales spécifiques.

Le communiqué se conclut par un appel direct aux pharmaciens du Sud : exercer « la plus grande vigilance » dans l'usage des outils numériques, vérifier la finalité réelle du traitement des données, et ne permettre « aucun accès aux données professionnelles hors d'un cadre juridique clair et correctement régulé ».

2. Pourquoi c'est sérieux : la Loi 09-08 en pratique

La Loi 09-08, votée en 2009, encadre au Maroc le traitement des données personnelles. Elle a été longtemps perçue comme une loi « dormante » — la CNDP existait, mais les contrôles étaient rares et les sanctions exceptionnelles. Cela a changé en février 2025, quand la CNDP a lancé sa première campagne de contrôles sectoriels, ciblée précisément sur le secteur pharmaceutique (source : void.ma — guide CNDP 2025).

Ce qui s'applique aux données pharmacie

Trois articles de la Loi 09-08 cadrent directement le cas des données collectées par les logiciels d'officine.

Article 8. Les données « relatives à la santé » sont qualifiées de « sensibles ». Leur traitement nécessite soit le consentement explicite et écrit de la personne concernée, soit une autorisation préalable de la CNDP. Une déclaration ordinaire ne suffit pas.

Article 43. Le transfert de données personnelles vers un pays étranger nécessite que ce pays « assure un niveau de protection suffisant ». À défaut, l'autorisation préalable de la CNDP est requise. Le Maroc n'a pas reconnu officiellement la plupart des pays hébergeant les clouds publics étrangers.

Article 51. Toute personne traitant des données personnelles doit pouvoir justifier de la finalité, de la base légale, du consentement le cas échéant, et de la sécurité des transferts. La preuve incombe au responsable de traitement, pas à la personne concernée.

Les sanctions

Selon les barèmes officiels CNDP (source consolidée : LafroujiAvocats — Protection des données Maroc 2025 et DPO Consulting — Loi 09-08 guide 2026) :

Infraction Amende Peine
Défaut de déclaration ou d'autorisation 10 000 à 100 000 MAD
Manquement à l'obligation d'information 10 000 à 100 000 MAD
Collecte illicite de données sensibles 100 000 à 300 000 MAD
Transfert illicite vers l'étranger 100 000 à 300 000 MAD 1 an d'emprisonnement possible
Refus de coopération avec la CNDP 100 000 à 300 000 MAD

Ces sanctions s'appliquent au responsable du traitement — c'est-à-dire, dans la chaîne logiciel d'officine, à l'éditeur de la plateforme et potentiellement au pharmacien titulaire qui n'a pas vérifié la conformité. La jurisprudence CNDP 2025 montre que les sanctions cumulatives sont possibles.

Le cas particulier des données santé

Les données de ventes de médicaments, surtout celles liées à une ordonnance ou à un patient identifié (numéro CIN scanné, CNOPS/CNSS, dossier patient), tombent sous la qualification de données santé sensibles au sens de l'article 8 de la Loi 09-08. Cela signifie deux choses concrètes :

  1. Le consentement nécessaire est explicite, écrit, libre, informé et spécifique. Une case pré-cochée dans des CGU générales ne tient pas devant la CNDP.
  2. L'hébergement étranger nécessite soit un pays reconnu par la CNDP comme assurant un niveau de protection suffisant, soit une autorisation préalable. La plupart des clouds publics étrangers (AWS, Azure, GCP zone US/EU) ne sont pas dans la liste des pays reconnus à mai 2026.

Le guide TabibDoc sur les données médicales et la Loi 09-08 (source) confirme que les données de prescription, identité patient, ALD/ALC, et historique médicamenteux entrent toutes dans la catégorie sensible.

3. Comment fonctionne techniquement l'exfiltration de données

Sans nommer aucun acteur — l'alerte CRPOS ne nomme personne, et la presse non plus — voici le schéma générique que tout pharmacien titulaire devrait comprendre.

Étape 1 — La caisse SaaS. Le pharmacien achète un logiciel cloud qui gère ventes, stocks, ordonnances, tiers payant. Le logiciel synchronise quotidiennement ou en temps réel les données vers un serveur central, généralement hébergé chez un cloud public.

Étape 2 — L'agrégation. L'éditeur du logiciel agrège les données de toutes ses pharmacies clientes. Il dispose donc d'une vision complète, marque par marque, molécule par molécule, ville par ville, du sell-out pharmaceutique marocain. C'est une donnée stratégiquement précieuse.

Étape 3 — La revente, version sell-out report. L'éditeur vend à des laboratoires pharmaceutiques un produit séparé : un tableau de bord montrant la performance de chaque molécule par zone géographique. Les délégués médicaux des labos utilisent ce tableau pour cibler les pharmacies à visiter, mesurer leur propre performance, et calibrer les programmes de fidélisation.

Étape 4 — La revente, version délégué tracking. Quand un délégué médical visite une pharmacie, l'application de l'éditeur peut tracer si, dans les jours suivants, les ventes de la marque du délégué augmentent dans cette pharmacie. C'est ce qu'on appelle un programme « sell-out lié à la visite délégué ». Le pharmacien, lui, ne voit rien de cette mécanique côté éditeur — seulement ses propres ventes.

Étape 5 — La rémunération. Une part de la revente est éventuellement redistribuée au pharmacien sous forme de remises commerciales, programmes de fidélité, ou « pack SMS gratuit ». Le pharmacien voit un cadeau, mais le cadeau est financé par la valeur de ses propres données.

Ce schéma n'est pas illégal en soi — il est illégal sans le consentement explicite, écrit, spécifique et libre du pharmacien, et illégal s'il implique un transfert de données santé sensibles vers un pays non reconnu par la CNDP sans autorisation préalable. C'est exactement le grief que pointe le CRPOS.

4. Pourquoi le Maroc est particulièrement vulnérable en 2026

Trois éléments de contexte rendent le secteur pharmaceutique marocain particulièrement exposé en 2026.

L'AMMPS en crise. L'Agence marocaine des médicaments et des produits de santé, créée par la Loi 10-22, devait reprendre les missions de l'ancienne Direction du médicament et de la pharmacie. Selon Le Matin du 31 octobre 2025 (source), 80 % du personnel a demandé sa réintégration vers l'ancien ministère. Cette agence est aujourd'hui en vacance opérationnelle. Le contrôle sectoriel pharmaceutique se fait donc principalement via la CNDP et les conseils de l'ordre régionaux.

Le Conseil de l'Ordre national paralysé. Les dernières élections de l'Ordre national des pharmaciens du Maroc datent de 2015. Le secteur est dépourvu de représentation effective depuis dix ans. Les conseils régionaux (CRPOS pour le Sud, CROPSC pour le Centre-Sud Casablanca-Settat) prennent le relais. C'est précisément le CRPOS qui a lancé l'alerte du 29 avril 2026.

La marge écrasée. Selon Médias24 (dossier 2023 sur la crise des pharmacies), la marge nette moyenne d'une pharmacie marocaine est de 8 %, plus de 3 000 officines sur 12 000 sont au bord de la faillite, et 30 % des revenus pharmaceutiques fuiraient vers la vente illégale en ligne sur Instagram, TikTok, et Facebook (source : Le Quotidien du Pharmacien). Le pharmacien titulaire moyen gagne environ 80 000 MAD/an. Dans ce contexte, un éditeur qui propose un logiciel « gratuit » ou « subventionné par les labos » trouve preneur — sans que le pharmacien comprenne toujours le modèle économique réel.

5. Check-list : comment vérifier votre logiciel actuel cette semaine

Si vous êtes pharmacien titulaire, voici les six questions à poser à votre éditeur, par écrit, et à conserver dans votre dossier de conformité CNDP. Ne demandez pas « êtes-vous conforme RGPD » — c'est l'européen, ça ne s'applique pas. Demandez la conformité Loi 09-08 et CNDP.

Question 1. Où sont physiquement hébergées les données de mes ventes, mes ordonnances, mes patients ? Pays, ville, opérateur cloud. Si la réponse est vague (« cloud international ») ou si on vous oriente vers une page CGU générale, c'est un signal d'alerte.

Question 2. Avez-vous une autorisation préalable de la CNDP pour traiter des données santé, ou seulement une déclaration normale ? La différence est juridique mais elle est lourde. Une déclaration normale (type D-GC-XXX/AAAA) ne couvre pas le traitement de données sensibles. Demandez le numéro et la nature de la déclaration.

Question 3. Mes données de ventes sont-elles agrégées et revendues, sous quelque forme que ce soit, à des tiers — laboratoires, instituts d'étude, plateformes de benchmarking ? Si oui, j'exige une copie de la convention type, le nom des destinataires, et la possibilité de m'en exclure sans pénalité.

Question 4. Comment puis-je exporter l'intégralité de mes données — catalogues, ventes, lots, ordonnances, patients, comptes clients — en formats standards (CSV ou Excel), à tout moment, sans frais supplémentaires ? Si la procédure d'export n'est pas documentée publiquement ou si elle nécessite un ticket support payant, c'est un signal de lock-in fort.

Question 5. Que se passe-t-il si je résilie ? Pendant combien de temps mes données sont-elles conservées chez vous, sous quel format, et sous quelles conditions de récupération ? La Loi 09-08 vous donne un droit d'effacement — votre éditeur doit pouvoir l'exécuter en temps borné.

Question 6. Quel est le délai de réponse moyen de votre support technique en cas de bug critique pendant les heures d'ouverture pharmacie ? Demandez le SLA contractuel, pas la promesse marketing.

Si l'éditeur refuse de répondre par écrit ou demande un délai déraisonnable, le silence est une réponse en soi. Le CRPOS a publiquement invité les pharmaciens du Sud à lui transmettre leurs contrats logiciels pour examen (source : Le Desk). C'est un canal de recours collectif réel.

6. L'alternative souveraine : Caissa Pack Pharmacie

Caissa Pack Pharmacie a été conçu en réponse exacte à la problématique posée par l'alerte CRPOS. Sans nous comparer à quiconque par nom, voici nos engagements concrets — vérifiables, contractuels, opposables.

Hébergement 100 % au Maroc. Infrastructure souveraine OVH ou DigitalOcean Casablanca. Aucune sortie de données vers un cloud étranger sans votre consentement explicite et écrit. Notre déclaration CNDP couvre le traitement de données santé au titre de l'article 8.

Zéro revente de données aux laboratoires. Engagement contractuel explicite dans nos conditions générales. Nous ne vendons pas vos données. Nous n'avons pas de produit « Caissa Labs ». Nous n'avons pas de partenariat de sell-out reporting avec des laboratoires. Si un laboratoire veut accéder à des données pharmacie agrégées, il devra passer par chaque pharmacien individuellement et négocier un consentement explicite.

Export complet, à tout moment, en un clic. Vos catalogues produits, votre historique de ventes, vos lots avec dates de péremption, votre base patient, vos dossiers tiers payant CNOPS / CNSS / AMO, votre comptabilité — tout exportable en CSV ou Excel via un seul bouton dans Paramètres. C'est possible parce que Caissa s'appuie sur Odoo CE open source, une base open source utilisée par des millions d'installations dans le monde. Si vous quittez Caissa un jour, vous emportez tout.

DGI 2026 e-facturation incluse. Module de facturation électronique au format UBL/CII, transmission via la plateforme xHub, archive dix ans, sur notre roadmap publique Q3 2026. Inclus sans surcoût dans tous les abonnements existants avant la deadline progressive.

Caissa Pack Pharmacie démarre à 299 MAD/mois HT, sans engagement annuel, éligible à la subvention MOWAKABA jusqu'à 90 % du coût pour les TPE marocaines éligibles. Le détail des fonctions, du tableau de bord péremptions au tiers payant CNOPS/CNSS/AMO/RAMED/FAR en passant par le registre stupéfiants Loi 17-04 article 28 et les interactions médicamenteuses, est sur caissa.ma/pharmacie.

7. FAQ — vos questions sur Loi 09-08, CRPOS et logiciels de pharmacie

Le CRPOS a-t-il nommé une plateforme spécifique ?

Non. Ni le communiqué CRPOS ni les quatre articles qui l'ont relayé (L'Économiste / Le360, Médias24, Le Desk, Consonews) ne nomment d'éditeur. L'alerte vise « certaines plateformes numériques » sans plus de précision. C'est volontaire — le CRPOS positionne sa démarche comme un appel à la régulation collective, pas comme une dénonciation individuelle.

Quelle est la différence entre une déclaration CNDP et une autorisation CNDP ?

Une déclaration normale est une formalité simple : l'éditeur informe la CNDP qu'il traite des données personnelles, dans une finalité X. La CNDP enregistre. Pas d'examen au fond. C'est adapté pour les traitements ordinaires (paie, comptabilité, CRM standard).

Une autorisation préalable est un acte juridique distinct : l'éditeur soumet un dossier complet à la CNDP, qui examine la finalité, la base légale, les mesures de sécurité, et les éventuels transferts internationaux. C'est obligatoire pour le traitement de données sensibles, dont les données santé. Sans autorisation préalable, le traitement est illégal.

Beaucoup d'éditeurs marocains ont une déclaration normale mais pas d'autorisation préalable spécifique aux données santé. Demandez la nature exacte de la déclaration et le numéro CNDP.

Quelles sont les sanctions effectivement appliquées en 2025-2026 ?

La CNDP applique progressivement la grille. La première vague de contrôles sectoriels a démarré en février 2025 sur l'industrie pharmaceutique selon void.ma. Les sanctions effectives publiées ne sont pas systématiquement médiatisées (la CNDP a une politique de discrétion), mais les amendes prononcées s'inscrivent dans la fourchette légale : 10 000 à 300 000 MAD selon gravité, avec possibilité de cumul si plusieurs infractions concurrentes. La peine d'emprisonnement d'un an reste théorique pour les cas les plus graves (transfert illicite à l'étranger).

Le pharmacien titulaire est-il responsable ou seulement l'éditeur ?

Les deux peuvent l'être. La Loi 09-08 distingue le responsable du traitement (qui décide de la finalité — souvent l'éditeur) et le sous-traitant (qui exécute techniquement). En pratique, le pharmacien titulaire est généralement responsable du traitement pour les données de ses propres clients, l'éditeur étant sous-traitant. Mais si l'éditeur revend les données à un tiers à sa propre initiative, l'éditeur devient responsable du traitement de son côté. La jurisprudence CNDP de 2025 a confirmé que la responsabilité peut être cumulative : sanction de l'éditeur et sanction du pharmacien pour défaut de vérification.

Puis-je porter plainte ou simplement résilier ?

Trois voies possibles, non exclusives :

  1. Saisine CNDP directe — formulaire de plainte sur cndp.ma. Procédure gratuite. Délai de traitement variable.
  2. Saisine CRPOS (pour les pharmaciens du Sud) — le CRPOS a invité les pharmaciens à lui transmettre leurs contrats logiciels pour examen collectif. C'est plus rapide qu'une plainte CNDP individuelle.
  3. Résiliation et migration vers un éditeur conforme — c'est la voie la plus opérationnelle, et celle qui change la situation concrètement. Le marché bouge quand les clients bougent.

Et si mon éditeur me dit qu'il est « RGPD-compliant » ?

Le RGPD est européen et ne s'applique pas en droit marocain. Un éditeur peut être RGPD-compliant et néanmoins en infraction avec la Loi 09-08, et inversement. Les deux régimes ont des points communs (consentement, droits d'accès et de portabilité) mais les autorités, les seuils de sanction et les modalités de transfert international diffèrent. Demandez spécifiquement la conformité Loi 09-08 et le numéro de déclaration ou d'autorisation CNDP.

Combien coûte une migration vers un éditeur souverain ?

Pour une pharmacie mono-site sur un logiciel cloud existant, la migration vers Caissa Pack Pharmacie prend 3 à 5 heures de configuration accompagnée par WhatsApp. Import du catalogue produits via CSV ou Excel (la plupart des éditeurs cloud permettent cet export). Paramétrage tiers payant CNOPS / CNSS / AMO. Ouverture du registre stupéfiants. Formation caissier. Coût : 299 MAD/mois HT en abonnement Pro, plus une éventuelle prestation d'accompagnement migration que nous chiffrons sur devis selon volume de données.

Tester Caissa Pack Pharmacie

Notre engagement : votre pharmacie tourne en moins d'une semaine sur infrastructure souveraine marocaine, sans revente de données, avec un support direct WhatsApp basé à Casablanca et un export complet de vos données disponible à tout moment d'un clic.

Discuter votre projet pharmacie sur WhatsApp — réponse sous une heure en heures ouvrées Maroc.

Voir Caissa Pack Pharmacie en détail — FEFO, tiers payant CNOPS/CNSS/AMO, registre stupéfiants Loi 17-04, DGI 2026.

Pour aller plus loin :

Discuter votre cas
Caissa pour votre commerce — devis sous 48 h
WhatsApp
Continuer la lecture

Articles liés

Tous les articles
Conformité

DGI 2027 : check-list complète pour cafés et restaurants au Maroc

8 min · 01 juin 2026
Conformité

Caisse restaurant Maroc 2026 : 8 logiciels comparés (prix réels, DGI 2027, KDS)

9 min · 08 mai 2026
Conformité

DGI 2026-2027 facturation électronique : sanctions, calendrier, checklist 8 étapes

11 min · 08 mai 2026
Essayer Caissa

Décrivez votre cas en 15 minutes.

Réponse + chiffrage sous 48 h. Caissa configuré à distance, formation en ligne incluse.

Discuter sur WhatsAppVoir les cas concrets