La loi 43-20 : services de confiance et signature électronique au Maroc.

La loi n° 43-20 relative aux services de confiance pour les transactions électroniques donne une valeur légale à la signature électronique, au cachet électronique et à l'horodatage au Maroc. Elle a été promulguée par le dahir n° 1-20-100 du 31 décembre 2020, puis publiée au Bulletin Officiel le 18 mars 2021. Elle est entrée en vigueur le 13 juillet 2023.

Elle abroge et remplace la loi 53-05 de 2007 sur l'échange électronique de données juridiques. Le changement n'est pas que cosmétique : la loi 43-20 ajoute un niveau de signature « avancé », introduit de nouveaux services de confiance, et transfère l'autorité de certification de l'ANRT vers la DGSSI.

La question à laquelle répond la loi 43-20 est simple : à quelles conditions un document signé électroniquement a-t-il la même force qu'un document signé à la main ? C'est cette équivalence juridique qui rend possibles le contrat en ligne, le marché public dématérialisé et, depuis 2026, la facture électronique.

La loi 43-20 encadre cinq services de confiance : la signature électronique, le cachet électronique, l'horodatage électronique, l'envoi recommandé électronique et l'authentification de site web. Chacun peut exister en version « qualifiée », la seule à bénéficier d'une présomption légale de fiabilité.

La signature électronique engage une personne physique. Le cachet électronique en est l'équivalent pour les personnes morales : une entreprise scelle un document en son nom propre. L'horodatage qualifié, lui, relie une date et une heure à des données de façon infalsifiable, grâce à une horloge synchronisée sur le temps universel.

L'envoi recommandé électronique transpose le recommandé postal au numérique, avec preuve d'envoi et de réception. L'authentification de site web garantit l'identité d'un domaine. La loi organise aussi la validation et la conservation dans le temps des signatures et cachets, pour qu'ils restent vérifiables des années après leur création.

La loi 43-20 reconnaît trois niveaux de signature électronique — simple, avancée et qualifiée — qui se distinguent par leurs exigences techniques et leur valeur probante. Seule la signature qualifiée bénéficie d'une présomption de fiabilité, c'est-à-dire d'une équivalence directe avec la signature manuscrite.

La nouveauté par rapport à la loi 53-05 est le niveau « avancé » intermédiaire, inspiré du règlement européen eIDAS. Il offre une reconnaissance juridique renforcée sans imposer toutes les contraintes du niveau qualifié. C'est un compromis utile pour de nombreux usages internes.

Le bon niveau dépend du risque juridique de l'acte. Un échange interne se contente d'une signature simple ; un contrat engageant ou une facture soumise à l'administration fiscale exigent le niveau qualifié. Pour la mécanique précise de la signature qualifiée — QSCD, XAdES, choix du prestataire — notre guide dédié entre dans le détail.

Au Maroc, une signature électronique qualifiée a la même valeur juridique qu'une signature manuscrite. Elle bénéficie d'une présomption de fiabilité : en cas de litige, la charge de la preuve s'inverse au profit de celui qui la produit. Les signatures simple et avancée restent recevables, mais sans cette présomption automatique.

La loi 43-20 pose aussi un principe de non-discrimination : l'effet juridique d'une signature ne peut être refusé au seul motif qu'elle est électronique ou qu'elle n'atteint pas le niveau qualifié. Le juge en apprécie alors la fiabilité au cas par cas, à partir des éléments techniques disponibles.

Pour les personnes morales, le cachet électronique qualifié joue un rôle équivalent : il établit l'origine et l'intégrité d'un document émis par l'entreprise. C'est un point déterminant pour la facture électronique, qui est émise au nom d'une société et non d'un individu.

L'autorité nationale chargée des services de confiance est la DGSSI (Direction Générale de la Sécurité des Systèmes d'Information). Elle fixe les référentiels d'exigences, agrée les prestataires de services de confiance (PSCo), publie la liste officielle des prestataires agréés et peut auditer leur conformité.

Le décret n° 2-22-687 du 16 novembre 2022 précise le cadre d'application : composition du dossier d'agrément, obligations des prestataires, données que doivent contenir les certificats qualifiés. Il a été publié au Bulletin Officiel le 19 janvier 2023. Seul un PSCo agréé peut délivrer un certificat qualifié ouvrant droit à la présomption de fiabilité.

Africtrust a été annoncé comme premier prestataire agréé par la DGSSI ; la liste officielle, mise à jour au fil des agréments, est publiée sur le site de la DGSSI. Le coût d'un certificat de signature qualifiée s'établit autour de 1 200 DH par an.

La loi 43-20 est le socle juridique de la facturation électronique obligatoire. Le modèle de clearance de l'article 145-IX du Code Général des Impôts impose que chaque facture soit signée électroniquement, puis validée en temps réel par la plateforme de la DGI. Or cette signature tire toute sa valeur légale de la loi 43-20.

Concrètement, une facture conforme est un document structuré (UBL 2.1 ou CII) revêtu d'une signature électronique qualifiée, transmis à la plateforme de la DGI qui lui attribue un identifiant unique. Sans signature qualifiée valide, la facture n'a aucune valeur légale, même si elle a été émise et envoyée.

Loi 43-20 et article 145-IX fonctionnent donc ensemble : la première définit ce qu'est une signature de confiance, la seconde l'impose au cœur du processus de facturation. Comprendre l'une éclaire l'autre.

Se conformer à la loi 43-20 consiste à utiliser le bon niveau de signature pour chaque usage et à recourir à un prestataire agréé par la DGSSI lorsque le niveau qualifié est requis. Pour la facturation électronique, ce niveau qualifié n'est pas optionnel : c'est le seul admis par la plateforme nationale.

La démarche tient en quelques étapes : recenser les actes à signer et leur niveau de risque, choisir un PSCo agréé pour le service voulu, obtenir un certificat qualifié pour chaque signataire habilité, puis intégrer la signature aux outils métier — ERP, logiciel comptable ou plateforme de facturation.

Pour la plupart des PME, l'enjeu n'est pas de maîtriser la cryptographie, mais de s'appuyer sur une solution qui gère la signature qualifiée et la soumission à la DGI de façon transparente. La loi fixe le cadre ; l'outil l'applique.