La valeur probante et la validité juridique d’un document électronique découlent de la signature qui l’accompagne. Dans le cadre d’un document électronique, cette signature ne peut être qu’électronique. La validité de cette dernière dépend de son authenticité et de sa conformité aux exigences légales pour être reconnue comme une signature électronique qualifiée. Bien que les législations diffèrent dans la dénomination de cette signature, elles s’accordent presque toutes sur les conditions nécessaires à sa validité.

Il convient de souligner que l’ancienne appellation « signature électronique sécurisée », ainsi que les dispositions de l’article 417-3 du Code des obligations et contrats (Dahir des obligations et des contrats – D.O.C.), sont inspirées de l’article 1316-4 (avant sa modification et son transfert à l’article 1367) du Code civil français. De plus, les conditions de signature stipulées à l’article 6 (abrogé) de la loi 53-05 sont une traduction de l’article 1 (également abrogé) du décret n° 272-2001 du 30 mars 2001 relatif à l’application de l’article 1316-4 du Code civil français concernant la signature électronique.

Le législateur marocain a stipulé, à l’article 6 de la loi 43-20, que la signature électronique qualifiée est une signature électronique avancée – c’est-à-dire conforme aux conditions d’une signature électronique avancée – et produite à l’aide d’un dispositif de création de signature électronique qualifiée. Ce dernier élément constitue la différence principale avec la signature électronique avancée. Nous allons donc aborder les conditions énoncées à l’article 5 de la loi 43-20, ainsi que la cinquième condition qui distingue la signature électronique qualifiée :

Première condition : Elle doit être propre au signataire

Cette condition implique que la signature électronique soit liée au signataire de manière à permettre de l’identifier. L’article 2 de la loi 43-20 définit le signataire comme « toute personne physique qui crée une signature électronique ». À noter que l’article 7 (abrogé) de la loi 53-05 définissait le signataire comme suit : « Le signataire mentionné à l’article 6 ci-dessus est la personne physique agissant pour son propre compte ou pour celui de la personne physique ou morale qu’elle représente et utilisant un dispositif de création de signature électronique. » Contrairement à cette définition plus détaillée, l’article 2 de la loi 43-20 se contente de définir le signataire comme une personne physique sans préciser si la signature est faite pour son propre compte ou pour celui d’une personne morale, ce qui est un choix judicieux du législateur. Le but de ce texte est de définir les conditions et modalités de la signature électronique, et non l’intention derrière sa création.

Deuxième condition : Elle doit permettre d’identifier le signataire

Cette condition impose que la signature électronique permette de distinguer le signataire et de révéler son identité. Bien que cette exigence n’apparaisse pas explicitement dans les dispositions antérieures (article 6 de la loi 53-05), elle est évoquée dans l’article 4 de la même loi qui modifiait le paragraphe 2 de l’article 417-3 du D.O.C. Le législateur a rectifié cet oubli en intégrant cette condition, parmi d’autres, à l’article 5 de la loi 43-20.

Ces deux conditions visent à garantir que le signataire dispose du pouvoir d’engager un acte juridique et qu’il accepte le contenu de l’acte. Les procédés de validation par signature électronique et les services de certification permettent de vérifier l’identité du signataire, de manière tangible, tout comme une signature manuscrite. L’identité du signataire électronique peut être vérifiée par des procédés d’identification électronique, en se basant sur les données d’identification associées au dispositif de création de la signature électronique.

Troisième condition : Elle doit être créée par des moyens contrôlés exclusivement par le signataire

Cette condition signifie que le signataire doit avoir le contrôle exclusif de sa signature et que nul autre ne doit pouvoir décoder ou manipuler les moyens utilisés pour créer cette signature, car ces derniers sont conçus exclusivement pour lui. Par exemple, une clé privée de signature numérique doit être propre au signataire afin de garantir que la signature soit unique. Un exemple de clé de signature numérique privée est la clé USB fournie par le service « Barid eSign » du Maroc. L’article 41 de la loi 43-20 stipule que « Le titulaire du certificat électronique qualifié est seul responsable de la confidentialité et de l’intégrité des données associées à la création de la signature électronique qualifiée ou du sceau électronique qualifié. Tout usage de ces données est présumé être de son fait, sauf preuve du contraire ». De cette lecture, il ressort que la conservation des moyens de création de la signature est une obligation pesant sur le titulaire du certificat électronique, qui en est responsable sauf preuve du contraire. L’article 43 de la même loi précise également que « Le titulaire du certificat doit le révoquer immédiatement en cas de doute quant à la confidentialité des données relatives à la création de la signature ou du sceau électronique, ou si les informations contenues dans le certificat ne sont plus exactes ».

Quatrième condition : Elle doit garantir un lien avec les données et permettre de détecter toute modification ultérieure

Cette condition exige que le document électronique soit rédigé et signé à l’aide de systèmes ou de moyens garantissant son intégrité, permettant ainsi de détecter toute modification ou altération des données du document signé électroniquement. Ce principe est appelé « intégrité » et toutes les méthodes de signature électronique visent à garantir l’intégrité des documents.

En outre, l’article 33 de la loi 43-20 exige que le prestataire de services de confiance soit en mesure de détecter toute modification susceptible de compromettre l’intégrité des données, ce qui est également une condition pour la signature électronique avancée.

Cinquième condition : Elle doit être apposée par un dispositif de création de signature électronique qualifiée

Avant d’aborder les dispositifs de création de signatures électroniques qualifiées, il est nécessaire de définir ce qu’est un dispositif de création de signature électronique. L’article 3, paragraphe 22, du règlement européen « eIDAS » sur l’identification électronique et les services de confiance définit un tel dispositif comme un « dispositif matériel et logiciel conçu pour créer une signature électronique ». Ce dispositif peut être un support physique tel qu’une clé USB ou un stylo électronique, avec un logiciel intégré permettant la création de la signature électronique.

L’article 6 de la loi 43-20 renvoie à l’article 8 pour les exigences relatives aux dispositifs de création de signature électronique qualifiée, et à l’article 9 pour le certificat qualifié. Ces dispositifs doivent garantir que les données de création de signature électronique ne puissent être utilisées qu’une seule fois, que leur confidentialité soit assurée, et que tout usage non autorisé soit impossible.

En conclusion, le législateur marocain a encadré légalement la signature électronique et les services de certification à travers la loi 53-05 et la loi 43-20, leur accordant une protection juridique et pénale.