Signature électronique qualifiée au Maroc — le guide loi 43-20.

Une signature électronique est un mécanisme cryptographique qui lie un document à l'identité de son auteur, en garantissant que (a) le document n'a pas été modifié depuis la signature, (b) c'est bien le titulaire de la clé qui a signé, et (c) celui-ci ne peut pas crédiblement nier l'avoir fait. Trois éléments combinés : intégrité, authenticité, non-répudiation.

La loi 43-20 reconnaît trois niveaux de signature électronique : simple, avancée et qualifiée. La signature qualifiée est le niveau le plus élevé : elle s'appuie sur un certificat délivré par un prestataire de services de confiance agréé par la DGSSI, et la clé privée doit être créée et utilisée dans un dispositif matériel qualifié (QSCD).

L'effet juridique de la signature qualifiée est, sous le régime marocain, équivalent à celui d'une signature manuscrite : elle vaut consentement et engagement de son auteur, et elle est opposable en justice sans qu'il soit nécessaire d'en démontrer la fiabilité au cas par cas.

La loi n° 43-20 relative aux services de confiance pour les transactions électroniques a été promulguée par le dahir n° 1-20-100 du 31 décembre 2020 et publiée au Bulletin Officiel n° 6970 du 18 mars 2021. Elle abroge et remplace la loi 53-05 sur l'échange électronique de données juridiques, dont le régime appliqué jusqu'alors plaçait l'ANRT comme autorité de certification.

Le décret n° 2-22-687 du 21 rabii II 1444 (16 novembre 2022), pris pour l'application de la loi 43-20, a été publié au Bulletin Officiel n° 7162 du 19 janvier 2023. Il fixe les règles applicables à chaque service de confiance, le régime d'agrément et de déclaration des prestataires, et la liste des données que doivent contenir les certificats qualifiés.

Sous ce nouveau régime, c'est la DGSSI (Direction Générale de la Sécurité des Systèmes d'Information) qui est désignée comme autorité nationale pour les services de confiance. C'est elle qui établit les référentiels d'exigences, agrée les prestataires, publie la liste des PSCo agréés (article 53 de la loi), et peut auditer leur conformité (article 55).

Le niveau simple correspond à toute signature électronique liée à un signataire identifiable, créée à l'aide de données dont le signataire conserve le contrôle, et liée au document de telle sorte que toute modification ultérieure soit détectable. Recevable comme preuve, mais sans force probante particulière.

Le niveau avancé ajoute des exigences techniques : la signature doit être créée avec des moyens que le signataire peut garder sous son contrôle exclusif, reposer sur un certificat cryptographique, et être liée aux données signées de manière à détecter toute altération. C'est l'équivalent du niveau « advanced electronic signature » du règlement européen eIDAS, dont la loi 43-20 s'inspire largement.

Le niveau qualifié exige en plus l'usage d'un dispositif qualifié (QSCD) et d'un certificat qualifié émis par un prestataire agréé par la DGSSI. Il est le seul à bénéficier de l'effet juridique présumé équivalent à une signature manuscrite. Pour la facture électronique au sens de l'article 145-IX du CGI, c'est ce niveau qui est requis : aucun autre n'est admis par la plateforme nationale.

La DGSSI joue le rôle d'autorité nationale. Elle publie les référentiels d'exigences applicables aux PSCo (référentiel général Ref_PSCo_AG, référentiel de délivrance de certificats qualifiés Ref_Deliv_Cert_Qual, référentiel des dispositifs QSCD Ref_QSCD, référentiel de validation Ref_Valid_Qual, référentiel de l'envoi recommandé Ref_Env_reco_Qual). Elle instruit les demandes d'agrément et publie la liste des PSCo agréés.

Un PSCo (Prestataire de Services de Confiance) est une entité — typiquement privée, spécialisée — qui obtient l'agrément de la DGSSI pour délivrer des services de confiance qualifiés. À la date de ce guide, Africtrust a été annoncé comme premier PSCo agréé par la DGSSI. La liste officielle, mise à jour au fil des agréments, est publiée sur le site de la DGSSI.

Le QSCD (Qualified Signature Creation Device) est le dispositif matériel qui contient la clé privée. Sa caractéristique fondamentale : la clé privée n'en sort jamais en clair. Plusieurs formes : module HSM hébergé chez un PSCo, carte à puce avec lecteur, jeton USB de signature, ou enclave sécurisée d'un téléphone (Secure Enclave iOS, TEE Android) lorsque le PSCo propose une signature mobile à distance qualifiée.

Vérifiez d'abord que le prestataire est bien agréé par la DGSSI pour le service de confiance dont vous avez besoin. L'agrément n'est pas global : un PSCo peut être agréé pour la délivrance de certificats de signature qualifiée sans l'être pour le cachet électronique, l'horodatage ou l'envoi recommandé. La liste publiée par la DGSSI précise pour chaque PSCo le périmètre de son agrément.

Comparez les modalités de délivrance : certaines PSCo exigent une vérification d'identité en personne (déplacement à un centre d'enregistrement), d'autres acceptent une vérification à distance par visioconférence avec un agent. La signature mobile qualifiée — où la clé est créée dans le secure element de votre téléphone par enrôlement biométrique — réduit la friction utilisateur mais reste tributaire de l'offre du PSCo.

Vérifiez le coût annuel (le certificat individuel s'établit autour de 1 200 DH par an), la durée de validité (généralement 1 à 3 ans), les conditions de renouvellement, et le support technique disponible. Pour un cabinet d'expertise comptable gérant plusieurs dossiers clients, vérifiez la possibilité de certificats organisationnels (cachet électronique de l'entreprise) en plus des certificats individuels des collaborateurs signataires.

Le QSCD constitue la garantie technique que seul son titulaire peut produire une signature avec la clé qui y est stockée. Le principe fondateur : la clé privée est générée à l'intérieur du dispositif, n'en sort jamais, et chaque opération de signature exige une authentification (PIN, biométrie). Sans cela, n'importe quelle copie de la clé permettrait de produire une signature indistinguable de l'original.

Plusieurs formes coexistent. Le HSM (Hardware Security Module) est un appareil dédié, certifié, généralement hébergé chez un PSCo et accessible à distance pour la signature serveur — pratique pour les systèmes émettant beaucoup de factures. La carte à puce avec lecteur USB et le jeton USB de signature sont les formats individuels classiques. L'enclave sécurisée mobile, introduite par les PSCo offrant la signature mobile qualifiée, héberge la clé dans le composant sécurisé de votre smartphone.

Le référentiel Ref_QSCD publié par la DGSSI précise les exigences techniques que doit satisfaire un dispositif pour être reconnu comme qualifié. En pratique, vous n'aurez pas à choisir le QSCD vous-même : votre PSCo vous fournit le dispositif compatible avec son offre.

Pour la facturation électronique au format UBL 2.1, la signature qualifiée est appliquée sur le document XML lui-même via un profil de signature appelé XAdES (XML Advanced Electronic Signatures), normalisé par l'ETSI. Le mécanisme : le document UBL est canonicalisé, son hash est calculé, ce hash est signé avec la clé privée du titulaire, et le résultat (signature + certificat + métadonnées de validation) est intégré dans un nœud XML dédié à l'intérieur du document UBL ou autour de lui.

Plusieurs profils XAdES coexistent : XAdES-B (basique, signature seule), XAdES-T (avec horodatage), XAdES-LT (long-term, embarque les preuves de validation), XAdES-LTA (long-term-archive, avec horodatage d'archive). Le profil exact requis pour la facturation électronique DGI sera précisé par le référentiel technique publié par la DGI ou xHub. À titre d'hypothèse raisonnable, un profil de niveau XAdES-LT ou XAdES-LTA est compatible avec l'exigence d'archivage à 10 ans.

En pratique, votre logiciel de facturation ou votre opérateur de dématérialisation orchestre la signature : il prépare le document UBL, sollicite votre PSCo pour l'opération de signature (en envoyant le hash à signer et en recevant la signature), enveloppe le résultat en XAdES, et transmet à la plateforme DGI. Vous n'écrivez pas de code XAdES vous-même.