Loi n° 43-20 : pour améliorer l’encadrement juridique de la confiance numérique
Par Mehdi Kettani
Avocat au Barreau de Casablanca
Dans un monde en mutation, et à l’aune du déploiement du réseau mobile en ultra haut débit dit «5G», la digitalisation et la dématérialisation des échanges, des transactions et des documents constituent l’un des enjeux majeurs pour les économies et les entreprises, en constante recherche d’optimisation de leurs coûts et temps de travail. Les nombreuses restrictions sanitaires mises en place par les gouvernements pour faire face à la pandémie de Covid-19 ont accéléré cette tendance. Télétravail, vente de produits et services en ligne, échanges dématérialisés, ouverture de comptes bancaires en ligne, dépôt de déclarations fiscales et demandes de documents administratifs en ligne sont autant d’opérations que les professionnels – comme les particuliers – ont entrepris de réaliser via le canal digital. Des investissements importants ont été réalisés par les entreprises et administrations publiques pour pouvoir accompagner ce besoin et utiliser ces outils et, alors que la crise n’a pas apporté de solutions digitales nouvelles, elle a surtout permis de prendre conscience de l’utilité des solutions numériques pouvant être au service de nos besoins.
Le cadre règlementaire actuel
Durant les vingt dernières années, plusieurs lois ont été promulguées afin d’assurer une relative sécurité juridique aux échanges électroniques. Parmi elles, nous retrouvons principalement la loi n°53-05 relative à l’échange électronique des données juridiques, qui fixe le régime applicable aux données juridiques échangées par voie électronique et à la signature électronique. Nous retrouvons également la loi n°07-03 qui réglemente les infractions relatives aux systèmes de traitement automatisé des données. Le législateur a également prévu des dispositions applicables au e-commerce dans la loi n°31-08 édictant des mesures de protection des consommateurs. Pour renforcer les droits de ces derniers et assurer la protection de leurs données à caractère personnel, le législateur a adopté la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Enfin, le législateur a prévu des dispositions qui permettent de lutter contre le piratage informatique, notamment en incriminant le «cracking» et la contrefaçon informatique, dans le cadre de la loi n° 02-00 relative aux droits d’auteurs et droits voisins.
La réforme
L’arsenal législatif existant, bien qu’ayant mis en place les fondements d’une certaine sécurité juridique, afin de permettre un décollage de l’activité numérique au Maroc au milieu des années 2000, se trouve aujourd’hui dépassé par les avancées technologiques. Il a donc fallu réformer la législation applicable pour la rendre conforme aux standards internationaux. C’est dans ce cadre que s’inscrit la loi n°43-20 relative aux services de confiance portant sur les transactions électroniques, qui a été promulguée le 31 décembre 2020. Cette loi constitue une réforme globale et un tournant important pour les opérateurs, dans la mesure où l’encadrement d’un grand nombre de prestations de service liées aux transactions électroniques permettra l’émergence d’un nombre important d’opportunités. Elle abroge et remplace, ainsi, certaines dispositions de la loi n°53-05 relative à l’échange électronique des données juridiques et modifie et complète le Dahir des obligations et des contrats. La loi n°43-20 prévoit la désignation d’une Autorité nationale chargée des services de confiance portant sur les transactions électroniques. Cette autorité sera chargée de la régulation des services de confiance, de l’élaboration de guides de bonnes pratiques et du contrôle des prestataires de services de confiance et l’application de la règlementation. La loi n°43-20 permet également de mieux encadrer les services de signature électroniques et introduit un cadre légal spécifique aux services de cachet électronique, d’envoi recommandé électronique et d’authentification de site Internet.
•La signature électronique
La signature électronique permet d’identifier le signataire, de manifester son consentement aux obligations qui découlent de l’acte signé et de garantir l’intégrité des données signées. Elle permet ainsi de matérialiser le consentement des parties et d’utiliser des documents électroniques comme preuve. La signature électronique est réglementée par les articles 4 et suivants de la loi n°43-20, qui prévoient trois niveaux de sécurité, à savoir la signature électronique simple, avancée et qualifiée. La signature électronique simple est définie comme une signature qui consiste en l’utilisation d’une méthode fiable d’identification électronique, qui garantit que la signature est liée au document auquel elle se rapporte et qui exprime le consentement du signataire. La signature électronique avancée est soumise à des exigences plus strictes. En effet, elle doit être liée au signataire de manière univoque et doit permettre de l’identifier. Elle doit être créée à l’aide de données de création de signature électronique que le signataire peut, utiliser sous son contrôle exclusif, avec un niveau de confiance élevé, à déterminer par l’Autorité Nationale. Elle doit également reposer sur un certificat électronique ou sur tout moyen considéré comme équivalant à celui-ci, à déterminer par un texte réglementaire. Enfin, elle doit être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable. La signature électronique qualifiée doit être créée à l’aide d’un dispositif de création de signature électronique qualifié, et reposer sur un certificat qualifié de signature électronique. Le cas échéant, la signature électronique qualifiée bénéficie d’une présomption de fiabilité. À ce titre, la loi n°43-20 introduit un apport important, en vertu duquel l’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne réponde pas aux exigences de la signature électronique qualifiée. Autrement dit, la signature électronique simple et la signature électronique avancée sont recevables en tant que preuve du consentement du signataire. Cet apport répond à un besoin pratique exprimé par un ensemble d’acteurs, qui peuvent désormais bénéficier d’une meilleure sécurité juridique, sous réserve de respecter les exigences légales applicables.
•Le cachet électronique
Le cachet électronique est l’équivalent numérique et plus élaboré d’un cachet d’entreprise. Il permet ainsi aux entreprises de garantir l’authenticité, l’intégrité et l’origine de tout type de fichier numérique. Le service de cachet électronique, qui est réglementé par les articles 13 et suivants, est un service équivalent de la signature électronique et qui est destiné aux personnes morales. Comme pour la signature électronique, le cachet électronique peut être simple, avancé ou qualifié. Comme pour la signature électronique, le cachet électronique a une valeur probatoire certaine dans la mesure où il ne peut être refusé au seul motif qu’il se présente sous une forme électronique.
•L’horodatage électronique
La loi n°43-20 encadre également le service d’horodatage électronique (articles 22 et suivants). L’horodatage électronique consiste à apposer à un acte une date fiable sous forme d’un jeton d’horodatage, qui garantit l’existence de l’acte à une date donnée et l’intégrité du document.
•L’envoi recommandé électronique
Les articles 26 et suivants introduisent pour leur part le service d’envoi recommandé électronique. Ce service permet de transmettre des données entre des tiers par voie électronique et fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception. Il protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.
•L’authentification d’un site Internet
Le service d’authentification d’un site Internet permet d’authentifier un site internet et associe celui-ci à une personne physique ou morale, par le biais d’un certificat qui lui est délivré. Ce service permet de certifier aux utilisateurs la fiabilité du site Internet authentifié et d’éviter le hameçonnage. L’authentification peut être simple ou qualifiée, conformément aux articles 30 et suivants.
•Les prestataires de services de confiance
Les services de confiance susvisés doivent être fournis par un prestataire de services de confiance. Les services de confiance qualifiés ne peuvent être fournis que par des prestataires de services de confiance agréés par l’autorité nationale, sur la base des conditions légales prévues à cet effet. Les services de confiance non qualifiés peuvent être fournis par des prestataires de services de confiance non agréés, et qui sont soumis à une obligation de déclaration préalable à l’exercice de l’activité auprès de l’autorité nationale.
•La cryptologie
La cryptologie consiste en la transformation, à l’aide de conventions secrètes d’informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l’opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet. La cryptologie a essentiellement pour objet d’assurer la sécurité de l’échange de données, leur confidentialité et authenticité et le contrôle de leur intégrité. À ce titre, la loi n°43-20 limite le contrôle sur la cryptologie à ce qui est susceptible de nuire à la préservation des intérêts de la défense et la sécurité de l’État. À ce jour, et bien que la loi n°43-20 ait été promulguée, elle n’entrera en vigueur qu’à compter de la publication des textes règlementaires prévus par le législateur. Son entrée en vigueur est très attendue dans la mesure où elle permettrait d’améliorer la confiance des utilisateurs lors de l’utilisation de services numériques, que ce soit à titre de visiteurs de sites Internet, lorsque ces derniers sont authentifiés, ou pour la réalisation de transactions grâce à la signature électronique ou aux échanges au moyen de courriers électroniques recommandés. Elle règlemente également l’activité de prestataire de services de confiance numérique censée permettre une utilisation plus «grand public» des outils digitaux. Enfin, elle pose le principe de désignation d’une autorité de contrôle devant jouer le rôle de gendarme du digital pour veiller à la conformité de prestataires de services de confiance avec la règlementation en vigueur, à l’application des guides de bonnes pratiques qu’elle élabore et à la mise à jour des dispositions règlementaires applicables.