Les services de confiance pour les transactions électroniques à la

lumière de la loi n° 43-20

Dans un monde où la digitalisation et la dématérialisation des échanges représentent un enjeu majeur pour le développement
économique et social d’un pays, le Maroc n’avait pas de choix que de s’inscrire dans un processus de promotion et d’amélioration
de la confiance numérique en vue de bénéficier des opportunités offertes par l’espace virtuel en matière d’échanges.

Il a ainsi adopté, en vue d’encadrer et d’accompagner juridiquement ce choix stratégique, plusieurs lois relatives à la
réglementation numérique durant les vingt dernières années.

Il s’agit notamment de la loi n° 07.03 complétant le code pénal en matière d’infractions relatives aux systèmes de traitement
automatisé des données, la loi 53- 05 relative à l’échange électronique de données juridiques fixant le régime applicable aux
données juridiques échangées par voie électronique, la loi 09-08 relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel, et la loi n°2-00 relative aux droits d’auteurs et droits voisins telle que modifiée par la
loi n°34-05 contenant des dispositions qui permettent de lutter contre le piratage informatique, notamment en incriminant le «
cracking » et la contrefaçon informatique. Le législateur a également prévu des dispositions applicables au commerce électronique
dans la loi n°31- 08 édictant des mesures de protection des consommateurs.

Cet arsenal législatif s’est vu renforcé par la loi n°43-20 relative aux services de confiance pour les transactions électroniques,
promulguée par le Dahir n° 1-20-100 du 16 Joumada I 1442 (31 décembre 2020) et publiée au Bulletin officiel n°6951 du 11
janvier 2020. Cette loi qui a abroge´ le chapitre préliminaire et le titre II de la loi 53.05 relative a` l’échange électronique de
données juridiques vise à assurer une sécurité juridique aux échanges électroniques, protéger les usagers qui interviennent dans ce
processus, favoriser un climat de confiance numérique et encourager les acteurs économiques, les administrations, les organismes
publics et les particuliers à effectuer de plus en plus d’opérations en ligne. Ceci est d’autant plus vrai que la pandémie du Covid-19
a mis en relief la nécessité du recours à la dématérialisation, notamment le télétravail, la vente de produits et services en ligne, le
dépôt de déclarations et demandes de documents administratifs en ligne, etc.…

Dans cette logique, la loi 43-20 relative aux services de confiance portant sur les transactions électroniques constitue un cadre
juridique approprié pour lever les insuffisances techniques constatées dans les dispositifs précédents tout en luttant efficacement
contre la cybercriminalité. A ce titre, cette nouvelle loi vise à garantir à toute personne physique ou morale, la fiabilité et la
sécurité de toute transaction électronique à laquelle elle participe.

Dans ce cadre, elle a expressément défini dans son article 2 la transaction électronique comme étant « Tout échange,
correspondance, contrat, acte ou toute autre transaction conclue ou exécutée, en tout ou en partie, par voie électronique ». Elle
a aussi fixé la consistance des services de confiance destinés à l’exécution de cette transaction et ce, à travers l’encadrement des
services de signature électronique (1), du cachet électronique (2), de l’horodatage électronique (3), de la transmission électronique
sécurisée (4) et de l’authentification de site Internet (5).

1. La signature électronique

La signature, indispensable à la concrétisation d’un acte juridique, identifie celui qui l’appose. Elle manifeste le consentement des
parties aux obligations qui découlent de cet acte. Lorsqu’elle est électronique simple, l’article 2 de la loi n°43-20 la définit comme
étant l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache et exprimant ainsi le
consentement du signataire.

Ce procédé doit donc identifier le signataire et garantir le lien entre l’acte et la personne dont il émane. Il permet de matérialiser le
consentement des parties et de présenter des documents électroniques comme preuve. Il reste que la signature électronique simple,
qui correspond au niveau minime de la sécurité, est certes juridiquement recevable mais elle n'est pas très fiable. Ainsi dans le but de
renforcer davantage la sécurité liée à la signature électronique, le législateur marocain a, aux termes de l’article 4 de la loi précitée,
encadré davantage les niveaux de sécurité de la signature électronique en prévoyant en plus de la signature simple, la signature
avancée ou qualifiée.
En effet, si en vue d’un usage simplifié, la signature électronique simple ne nécessite pas d’exigences techniques ou fonctionnelles
particulières et que la charge de sa preuve revient au défendeur, la signature électronique avancée est une signature électronique
avancée mais qui reste soumise à des exigences plus strictes.

Ainsi, en vertu des dispositions de l’article 5 de la loi n°43-20, cette signature doit être propre au signataire de manière univoque
et doit permettre de l’identifier. Elle doit être créée à l’aide de données de création de signature électronique que le signataire peut
utiliser sous son contrôle exclusif, avec un niveau de confiance élevé. Elle doit être créée à l’aide de données de création que le
signataire peut exclusivement utiliser avec un niveau de confiance élevé. La signature doit également être basée sur un certificat
électronique et doit être liée aux données associées de manière à ce que toute modification ultérieure soit détectable. Il ressort donc
que la signature électronique avancée offre de meilleures garanties que la signature simple en matière de sécurité et de fiabilité.

La signature électronique qualifiée, quant à elle, est une signature électronique avancée créée à l’aide d’un dispositif de création de
signature électronique qualifié, qui repose sur un certificat qualifié délivré par un prestataire de services de confiance agrée´, et ce
en application des articles 6 et 9 de la loi précitée. Ce dispositif de création, atteste´ par un certificat de conformité, doit, en vertu
de l’article 8, assurer que d’une part, grâce à des procédés techniques adaptées, les données de création ne puissent être
découvertes et, que d’autre part la confidentialité et la protection de la signature contre toute falsification ou utilisation par des
tiers soient assurées.

Ledit article poursuit en notant que ce dispositif de création, qui doit être confié a` un prestataire de services de confiance agrée´,
ne doit provoquer aucune altération ou modification du contenu du document électronique a` signer et doit permettre au signataire
d’en avoir une exacte connaissance avant de le signer. L’ensemble de ces exigences montre le niveau de fiabilité très élevé de cette
forme de signature.

Ainsi, la signature électronique englobe une grande variété de procédés avec lesquels une forme de signature est créée et
conservée par un moyen électronique. De ce fait, la signature manuscrite, numérisée ou apposée, sur un support électronique ainsi
que les noms saisis au clavier sont certes des signatures numériques mais ne sont pas considérées comme des signatures
électroniques.

Il ressort donc que compte tenu des procédés techniques utilisés pour sa mise en place la signature électronique est un instrument
efficace pour vérifier l’authenticité et l’intégrité d’un écrit électronique et garantir sa confidentialité. Elle garantit le lien entre
l’acte et le signataire, tout en permettant de détecter toute modification ultérieure.

Par ailleurs, il est utile de préciser que le législateur a introduit une mention importante aux termes de laquelle l’effet juridique et
la recevabilité d’une signature électronique simple ou avancée comme preuve en justice ne peuvent être refusés au seul motif que
cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique
qualifiée.

Ainsi, en vertu des dispositions de l’article 7 de la loi 43-20 les deux formes de signatures précitées sont recevables en tant que
preuve du consentement du signataire, à condition de respecter le dispositif légal applicable. Ainsi la signature électronique ne
peut être contestée devant les tribunaux pour la simple raison qu'elle ne soit pas manuscrite. En d’autres termes, un acte contenant
une signature électronique simple ou avancée produit des effets juridiques et reste recevable comme preuve devant la justice
marocaine, ce qui encourage l’utilisation de ce type de signature dans le cadre des contrats internationaux, d’autant plus que la
Directive Européenne 1999/93/CE sur la signature électronique du 13 décembre 1999 a officialisé la reconnaissance de la
signature électronique et lui a attribué la même valeur que la signature manuscrite.

Ce souci du législateur de soumettre la signature électronique à plusieurs contraintes légales s’explique par le fait que dans un
monde des affaires de plus en plus dématérialisé, ce type de signature offre des avantages certains pour couvrir une multitude de
transactions et pour répondre aux besoins d’une société commerciale à grande échelle notamment en matière d’opérations d’envoi
de courriers, des commandes et des factures électroniques. Ce procédé est aussi utile pour établir des conventions ou répondre aux
appels d’offres ou encore pour organiser d’une manière sécurisée l’archivage électronique.

2. Le cachet électronique

La loi 43.20 dans ses articles 13 et suivants a eu le privilège d’encadrer pour la première fois en droit marocain, le cachet
électronique qui permet aux entités juridiques de signer des documents par voie électronique. Cette technique garantit en plus de la
facilite´ et de la sécurisation des transactions conclues a` distance, l’authenticité, l’intégrité et l’origine de tout type de fichier
numérique. Ce procédé particulier de signature contribue à la sécurité juridique et à la confiance numérique dans la mesure où il
peut servir à prouver qu’un document électronique n’a pas e´te´ modifie´ et a été délivré par une personne morale identifiée.

En effet, l’article 2 de la loi précitée définit le cachet électronique simple comme des données sous forme électronique, créées par
une personne morale, qui sont jointes ou associées logiquement a` d’autres données électroniques pour garantir l’origine et
l’intégrité de ces dernières. De ce fait, le cachet électronique est utilisé exclusivement par des personnes morales en vue de leur
permettre d’apposer une signature technique. Ainsi, comme la signature électronique, le cachet électronique peut être simple,
avancé ou qualifié. D’ailleurs les définitions relatives aux cachets, citées dans les articles 14 et 15 de la loi 43-20, sont quasiment
identiques à
celles relatives aux signatures électroniques et le cachet électronique qualifie´ bénéficie aussi d’une présomption de l’intégrité des
données et de l’exactitude de l’origine des données auxquelles il est lie´e.

Il en va de même pour les dispositions concernant les exigences applicables au dispositif de création de cachet électronique, de
son certificat de qualification, ainsi que celles applicables aux effets juridiques qu’il produit. Cette équivalence montre la porosité
de la frontière qui est établie entre la signature juridique (signature électronique) et la signature technique (cachet électronique), au
moins sur le plan technique et de sécurité. Ainsi, cette nouvelle loi élargit le cadre juridique instauré par la loi 53-05 relative à
l’échange électronique des données juridiques, à travers lequel seule la signature sécurisée était reconnue, en mettant en place trois
formes de signatures et de cachets électroniques.

3. L’horodatage électronique

Si la signature électronique consiste à apposer un nom sur un document numérique, l’horodatage électronique, qui se fonde sur des
procédés cryptographiques, consiste à apposer à un fichier une heure ou une date de référence infalsifiable. Il vise à
garantir l’intégrité, la non modification, l’authenticité du document ainsi que la traçabilité des actions attachées à son cycle de vie.
C’est pour cette raison que l’horodatage est utilisé par exemple pour dater une signature électronique, afin de mieux la sécuriser et
garantir sa valeur juridique, ou pour valider l’heure de réception d’un pli sous forme électronique, pour certifier des transactions
bancaires, ou pour apposer une date d’émission sur une facture électronique, etc.

Il est utile de préciser que la date simplement fixée par un ordinateur ne remplit pas la fonction d’horodatage puisqu’il est très
facile de changer les heures et les dates des messages ainsi que l’horloge du système. C’est pour cette raison que la date apposée
sur un fichier informatique ou sur un message doit être fixe de sorte que toute manipulation de la datation devienne impossible.

Ainsi, en raison de l’importance capitale qu’occupe la date de l’acte électronique dans le commerce électronique, le législateur
marocain a encadré le service d’horodatage électronique en précisant que ce dernier peut être simple ou qualifie´. En effet, aux
termes des articles 23 et 24 de la loi 43-20, l’horodatage électronique simple consiste en des données sous forme électronique
associant d’autres données sous forme électronique a` un instant précis et prouvant que ces dernières données existaient audit instant.

Par ailleurs, l’horodatage électronique simple est réputé qualifié s’il lie avec exactitude la date et l’heure aux données de manière
a` exclure toute possibilité de modification indétectable des données. Il doit être également basé sur une horloge exacte liée au
temps universel et être signe´ au moyen d’une signature électronique avancée ou cacheté au moyen d’un cachet électronique
avance´ d’un prestataire de services de confiance agrée´.

L’article 25 de la même loi maintient le régime probatoire appliqué au signature électronique et consacre donc le principe de non-
discrimination à l’encontre de la forme électronique en établissant au profit de l’horodatage électronique qualifié une présomption
d’exactitude de la date et de l’heure qu’il mentionne et de l’intégrité des données se rapportant à cette date et cette heure. Ainsi, ce
procédé permet de certifier avec un haut niveau de sécurité que la date et l’heure indiquées sont exactes et n’ont pas été falsifiées.

4. Le service d’envoi recommandé électronique

L’envoi recommandé électronique est l’équivalent électronique d’une lettre recommandée avec avis de réception en format papier.
Ainsi, la version dématérialisée peut être utilisée dans les mêmes situations que celles en version papier sous réserve de respecter
certaines conditions légales. Ceci est d’autant plus vrai que ce type de transmission a vocation à se substituer graduellement aux
flux de courriers papier, qu’ils soient simples ou recommandés, tout en gardant la même valeur juridique. Ce service, qui se
caractérise par sa fiabilité et son aspect pratique et sécurisé, commence à intéresser les particuliers, les entreprises, les professions
réglementées et les autorités administratives, vu son impact sur le développement de la confiance numérique.

C’est pour cette raison que, la loi n°43-20 vient encadrer ce service d’autant plus que depuis le 1 er juillet 2016, la règlementation
européenne eIDAS (Electronic Identification And trust Services) a renforcé les normes de sécurité y afférentes. Désormais, ce service
peut prendre deux formes : simple ou qualifie´. Ainsi, en vertu des dispositions de l’article 27 de la loi précitée le service d’envoi
recommande´ électronique simple permet d’envoyer des données par voie électronique, de fournir des preuves concernant le
traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et de protéger ces données des risques de
perte, de vol, d’altération ou de toute modification non autorisée.

L’article 28 de la même loi précise que le service d’envoi recommande´ électronique simple peut être qualifié à condition qu’il
soit fourni par un ou plusieurs prestataires de services de confiance agrées, tout en garantissant l’identification du destinataire et de
l’expéditeur avec un degré de confiance élevé. Il doit être également en mesure de sécuriser l’envoi et la réception de données par
une signature ou un cachet électroniques avancés et au moyen d’un procédé d’horodatage électronique qualifie´, afin d’éviter toute
modification des données. Ainsi, en respectant ces exigences, l’envoi recommande´ électronique se trouve assorti d’importantes
garanties en termes de sécurité.
Et c’est exactement ce niveau de sécurité offert par le service de transmission électronique qualifié qui va permettre aux données
transmises et reçues de bénéficier d’une présomption quant a` l’intégrité, a` l’envoi et à la réception desdites données, ainsi qu’a`
l’exactitude de la date et de l’heure de l’envoi et de la réception indiquées par le service en question. Ainsi, en application de l’article
29 de la loi n°43-20 les données envoyées et reçues via un service d’envoi recommande´ électronique ne peuvent être contestées
devant les tribunaux pour la simple raison qu'elles ne sont pas manuscrites.

5. L’authentification d’un site internet

L’authentification d’un site web est une opération indispensable pour lutter contre les fraudes numériques qui entravent le
développement du commerce électronique. Ce problème peu propice au développement du commerce électronique peut être résolu
par la mise en place de procédés techniques appelés certificats de serveurs. Ainsi, lorsqu'une personne se connecte à un site Web
ou achète un logiciel téléchargeable en ligne, la véritable identité du propriétaire ou du titulaire des droits est révélée
numériquement. Cette identité peut être vérifiée à l'aide d'un certificat électronique délivré par une autorité de certification tierce.

Cette procédure a été consacrée par la loi n°43-20 qui précise dans son article 30 que l’authentification d’un site internet est
assurée a` travers un certificat qualifie´ d’authentification dudit site et attestant sa crédibilité. Ce certificat électronique permet de
s’assurer de la véracité du site internet et de l’associer a` la personne physique ou morale a` laquelle le certificat a été remis.

Le certificat qualifie´ d’authentification, qui ne peut être délivré que par un prestataire de services de confiance agréé, doit,
conformément aux dispositions de l’article 31 de la même loi, fournir des informations fiables concernant le prestataire de services en
question, la personne physique ou morale a` qui le certificat a e´te´ délivré, l’identité des domaines exploités par cette personne, le
code d’identité ainsi que la validité du certificat qualifie´. L’objectif est de s’assurer que l’objet sur lequel a été installé le certificat
en question appartient bien à l’entité titulaire du certificat électronique.

Ainsi, compte tenu des avantages que peut procurer le commerce électronique à l’essor des entreprises nationales, notamment dans
le domaine de l’économie numérique, le Maroc s’est doté de la loi n°43-20 relative aux services de confiance pour les transactions
électroniques. En effet, la confiance numérique, qui se traduit particulièrement par l’usage accru des services de signature
électronique, du cachet électronique, de l’horodatage électronique, des services de transmission électronique sécurisée et de
l’authentification des sites Internet, ne peut être instaurée que par la mise en place d’un cadre juridique moins contraignant, plus
complet et beaucoup plus adapté pour faire évoluer l’offre de ces services en respectant les niveaux de sécurité requis.

C’est pour cette raison que la loi n°43-20 est venue apporter des modifications substantielles à la loi 53- 05 relative à l’échange
électronique de données juridiques en régissant davantage les niveaux non qualifiés du service de confiance, et ce par l’ajout, a`
l’instar de la réglementation européenne, d’un niveau intermédiaire dit « avance´ » qui permet une meilleure reconnaissance juridique
que le niveau simple.