Le projet de loi n°43.20 relatif aux services de confiance pour les transactions électroniques a été adopté à l'unanimité par les deux chambres du Parlement respectivement le 08 et 15 décembre 2020.
Ce projet de loi a pour objectif de mettre en place un nouveau cadre juridique à même de répondre aux besoins des acteurs économiques, publics, privés, administrations publiques et citoyens, à travers l’organisation des signatures électroniques, du cachet électronique, de l’horodatage électronique, des services de transmission électronique sécurisée et de la vérification des sites Web.
Il vise aussi à établir un cadre juridique moins restrictif et plus approprié pour les diverses transactions et à clarifier l’effet juridique de la signature électronique simple et avancée, de sorte que l’effet juridique des deux signatures électroniques ne puisse être rejeté ou non accepté simplement parce qu’elles sont présentées sous forme électronique ou parce qu’elles ne répondent pas aux exigences d’une signature électronique qualifiée.
Il s’agit aussi d’élargir le champ d’application de la loi actuelle pour y inclure les documents émis par les établissements de crédit et organismes assimilés.
Le Maroc a fait le choix stratégique, et ce depuis plusieurs années, de miser sur la transformation digitale comme véritable levier de croissance économique et sociale. Parmi les objectifs de ses stratégies on trouve notamment le développement accéléré de l’économie digitale, le développement humain à travers la réduction de la fracture numérique et enfin la transformation digitale de l’administration marocaine. Cette transformation constitue d'ailleurs l'un des pilliers de mise en oeuvre de la loi 55.19 relative à la réforme de l’administration et la simplification des procédures.
Le développement économique et social escompté par la transformation numérique ne sera possible que si celle-ci bénéficie d’un climat de confiance pour l’ensemble des services digitaux. Les acteurs économiques, les administrations et organismes publics ont besoin d’un environnement juridique rassurant pour lancer de nouveaux services et, de la même manière, les citoyens doivent se sentir juridiquement protégés pour effectuer de plus en plus d’opérations en ligne.
La confiance numérique est naturellement renforcée par une utilisation appropriée de la certification électronique, pratique jusque-là encadrée par la loi 53.05 relative à l’échange électronique de données juridiques. Toutefois, compte tenu de l’évolution des besoins, de la nécessité de définir plusieurs niveaux de confiance adaptés aux différents usages, et de la nécessité de réglementer de nouveaux services de confiance comme le cachet électronique ou l’horodatage électronique, le besoin de refonte de la loi 53.05 s’est fait fortement ressentir.
Un premier cadre réglementaire sur l’utilisation de la certification électronique a été mis en place en 2007 dans notre pays avec la loi 53.05 relative à l’échange électronique de données juridiques. Bien que ce premier cadre règlementaire ait été établi, le constat aujourd’hui est que la certification électronique ne s’est pas développée à la hauteur des attentes et des besoins des citoyens, des acteurs économiques ou des administrations. En effet, la règlementation établie pour cadrer les usages autour de la certification électronique, en cherchant à apporter le plus de sécurité possible aux usagers, n’était pas souple pour favoriser un développement généralisée de la certification électronique.
A cette rigidité, s’ajoute l’absence de projets d’envergure de digitalisation basée sur la certification électronique. Le marché actuel demeure modeste pour permettre d’industrialiser et d’enrichir l’offre actuelle. Cette offre se concentre actuellement sur la signature sécurisée, qui ne peut pas être adoptée pour la majorité des usages en raison de sa complexité. A ce titre, la majorité des certificats sécurisé mis en circulation à ce jour par le prestataire agréé ont principalement été produits dans le cadre de quelques initiatives publiques (Impôts, Douane, Soumission aux marchés publics, ..).
Se basant sur ces constats, il a été établi que la réglementation et l’écosystème de la confiance numérique devait évoluer pour mieux répondre aux attentes des citoyens et des acteurs économiques publics et privés. Vis-à-vis de la réglementation, les alternatives à la signature sécurisée étaient d’un côté peu encadrées pour être perçues comme juridiquement valables et de l’autre côté, la seule signature « sécurisée » s’avérait trop contraignante pour généraliser les usages.
En outre, la loi 53.05 n’apportait pas la clarté souhaitée sur la force probante des certificats électroniques utilisés pour la signature lorsqu’ils ne sont pas « sécurisés » et ne traitait pas de l’ensemble des services de confiance.
Le projet de loi 43.20 a été élaboré suite au Haut Assentiment Royal, à l’issue d’une étude qui a été menée par l’Administration de la Défense Nationale pour définir une feuille de route sur l’évolution de l’offre de certification numérique dans notre pays.
De la collecte des besoins à l’élaboration de cette feuille de route, de nombreux acteurs économiques ont été ainsi rencontrés afin de recenser leurs besoins spécifiques et d’évaluer la maturité des usages numériques et les attentes en matière de confiance numérique. Ils ont été interrogés sur leur vision du développement actuel de la certification électronique au Maroc et les éventuels freins rencontrés, ainsi que leurs besoins futurs en matière de certification électronique.
A l’issue de ces entretiens, un état des lieux des usages actuels a pu être dressé, permettant d’avoir une vision concrète sur les infrastructures existantes ainsi que sur la volonté de nombreux acteurs de dématérialiser leurs services.
En parallèle aux entretiens sus évoqués, une revue de certains cadres juridiques internationaux et initiatives de pays comme les Etats-Unis, le Canada, la France, la Malaisie, ou encore la Corée du Sud a été menée afin d’enrichir l’étude d’approches et initiatives variées et pragmatiques.
Au regard des évolutions internationales dans le domaine de la confiance numérique, notre pays devait mettre à niveau son cadre juridique pour être cohérent et comparable à celui de ses partenaires économiques. Avec l’émergence des services dématérialisés, les règlementations internationales ont dû évoluer afin de fournir un cadre légal adapté aux usages et garantir la protection des utilisateurs.
Le règlement de l’Union Européenne eIDAS (Electronic Identification And trust Services) qui est devenu applicable le premier juillet 2016, a suscité une confiance accrue dans les transactions électroniques en fournissant un socle commun pour les pays de l’espace européen et plus complet pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques au moyen d’une multitude de services de confiance.
Le nouveau cadre juridique instaure ainsi un régime moins contraignant que le régime actuel afin de permettre la digitalisation de la majorité des usages, souvent à faible ou moyen enjeu (niveau non qualifié), tout en conservant un régime à haut niveau de sécurité, plus strict et bénéficiant d’un effet juridique plus important, pour couvrir certains usages à plus fort enjeu (niveau qualifié pour une sécurité maximale).
Il s’agit en fait d’affirmer un cadre juridique qui permet d’intégrer l’ensemble de ces évolutions, tout en consolidant les acquis et en capitalisant sur les investissements déjà réalisés.
Par ailleurs, la pandémie du Covid-19 a mis en évidence la nécessité de développer rapidement des services publics en ligne afin que les citoyens puissent les utiliser pour s’adresser à distance aux pouvoirs publics et pour permettre à l’administration et aux acteurs économiques publics et privés de développer de nombreux téléservices et de contribuer ainsi à l’accélération de la transformation numérique du Royaume.
En ce sens, la loi 43.20 a permis de lever les différents obstacles juridiques identifiés au développement du marché de la confiance numérique au Maroc. Les modifications apportées par cette nouvelle loi ont permis d’encadrer davantage les niveaux non qualifiés en rajoutant un niveau intermédiaire dit « avancé » à l’instar de la réglementation européenne.
Ce niveau permet aujourd’hui de répondre aux contraintes légales qui incombent à chaque type de transaction, et de couvrir la plupart des besoins afin de garantir son adoption à grande échelle. Il permet également une meilleure reconnaissance juridique que le niveau simple.
A ce titre, trois niveaux de signatures ont été ainsi retenus par la loi 43.20 :
La loi 43.20 permet aussi de mettre à niveau le cadre actuel en encadrant des services de confiance complémentaires pour répondre aux nombreux besoins exprimés par les acteurs économiques, les administrations et aux nouveaux usages du numérique. Ces nouveaux services sont : la validation et la conservation de la signature électronique, le cachet électronique, l’horodatage électronique, les services d’envoi recommandé électronique, et l’authentification de sites Internet. Ces services de confiance complémentaires sont inclus dans la loi 43.20, et seront détaillés dans des textes d’application en faisant référence aux normes internationales pour leur implémentation.
A cet effet, la loi 43.20 établit également des règles applicables aux services de confiance et aux prestataires qui les fournissent. Afin d’accroître la confiance des utilisateurs dans ces services, tous les prestataires de services de confiance seront soumis aux exigences de la nouvelle loi, notamment en matière de sécurité et de responsabilité quant à leurs activités et à leurs services.
Toutefois, eu égard au type de services fournis par les prestataires de services de confiance, il y a lieu de faire une distinction, au niveau de ces exigences, entre, d’une part, les prestataires de services de confiance agréés et, d’autre part, les prestataires de services de confiance non agréés. Pour cela, deux régimes d’encadrement de ces prestataires ont été retenus : un régime bénéficiant d’une confiance accrue mais soumis à des exigences strictes liées à l’obtention d’un agrément, et un régime peu contraignant, sans agrément.
En ce qui concerne le contrôle de la cryptologie, la loi 43.20 a permis d’adopter un cadre législatif qui limite le contrôle sur la cryptologie à ce qui est susceptible de nuire à la préservation des intérêts de la défense et la sécurité de l’Etat.
La loi étend également l’application de ses dispositions aux actes établis par les établissements de crédit et organismes assimilés ainsi que droits réels.
La loi 43.20 inclut également des dispositions transitoires qui permettent de garantir la sécurité juridique aux entités qui utilisent déjà des certificats sécurisés ayant été délivrés, avant l’adoption de cette loi, conformément aux exigences législatives en vigueur relative à l’échange électronique de données juridiques (loi 53.05).
DGSSI2024 All rights reserved