Signature électronique loi 43-20 sur un rapport d'essai

En bref

Au Maroc, un rapport d'essai signé électroniquement a, depuis 2007, la même valeur juridique qu'un rapport signé à la main, à condition de respecter le cadre fixé par la loi 53-05 et, depuis 2020, par la loi 43-20 sur les services de confiance. Trois niveaux de signature coexistent. Cet article explique lequel choisir pour un laboratoire, et pourquoi le sujet est devenu pivot pour la dématérialisation.

La question revient à chaque audit, à chaque renégociation de contrat, à chaque demande client : "vos rapports signés électroniquement ont-ils la même valeur que les rapports papier ?". La réponse est oui, depuis l'entrée en vigueur de la loi n° 53-05 relative à l'échange électronique de données juridiques, et précisée depuis la loi n° 43-20 relative aux services de confiance pour les transactions électroniques. Mais la réponse complète mérite quelques précisions, parce que les trois niveaux de signature prévus par le cadre marocain n'ont pas la même portée.

Le cadre légal en deux temps

Le droit marocain a posé l'équivalence entre signature manuscrite et signature électronique dès 2007 :

  • Loi 53-05 (2007) a inscrit dans le Code des obligations et contrats que l'écrit sous forme électronique est admis comme preuve au même titre que l'écrit sur support papier, à condition que l'auteur puisse être identifié et que l'intégrité du document soit garantie. C'est le texte fondateur.
  • Loi 43-20 (2020) a refondu le volet "services de confiance" : signature électronique, cachet électronique, horodatage, envoi recommandé électronique, authentification de sites. Elle introduit la notion de prestataire de services de confiance et organise leur supervision par la Direction Générale de la Sécurité des Systèmes d'Information (DGSSI).

L'ensemble s'inspire, et s'aligne dans sa logique générale, sur le règlement européen eIDAS (n° 910/2014). Cet alignement n'est pas anodin pour les laboratoires marocains qui exportent : un rapport signé selon la loi 43-20 a une crédibilité immédiate vis-à-vis d'un destinataire européen habitué à eIDAS.

Trois niveaux de signature électronique

La loi 43-20, à l'instar d'eIDAS, distingue trois niveaux d'exigence croissante. Connaître la distinction est la base pour choisir lequel utiliser sur un rapport d'essai.

Niveau Caractéristiques Cas d'usage typique
Signature simple Toute donnée électronique associée à un acte signé. Identification de l'auteur faible, contrôle d'intégrité limité. Documents internes, échanges informels, accusés de réception.
Signature avancée Liée de manière unique au signataire, sous son contrôle exclusif, garantissant l'intégrité du document. Repose typiquement sur un certificat numérique nominatif. Rapports d'essai, bulletins d'analyse, contrats clients courants. Le bon niveau par défaut pour un laboratoire.
Signature qualifiée Signature avancée délivrée par un prestataire de services de confiance qualifié agréé, avec un dispositif de création répondant à des exigences techniques fortes (carte à puce, HSM, etc.). Documents à fort enjeu probatoire, soumissions à l'export, actes officiels.
Pour un rapport d'essai courant, la signature avancée suffit largement et présente le meilleur compromis effort/valeur probante. La signature qualifiée se justifie pour les documents à fort enjeu juridique, pas pour le quotidien.

Ce que doit faire un laboratoire concrètement

Pour qu'un rapport d'essai signé électroniquement tienne devant un client exigeant ou un auditeur SEMAC, quatre conditions doivent être réunies. Aucune n'est insurmontable, mais aucune n'est négociable :

  1. Identification fiable du signataire. Le système doit garantir que la personne nommée sur le rapport est bien celle qui a signé. En pratique : double authentification, certificat nominatif, journal d'audit horodaté.
  2. Intégrité du document après signature. Toute modification du PDF après signature doit être détectée. C'est ce que garantit l'empreinte cryptographique apposée par la signature.
  3. Horodatage opposable. La date et l'heure de signature doivent provenir d'une source fiable, pas de l'horloge du poste de travail. La loi 43-20 prévoit des services d'horodatage électronique qualifié à cette fin.
  4. Conservation longue durée. Le rapport et son enveloppe signée (certificats, jetons d'horodatage) doivent être conservés sur la durée d'archivage requise, ce qui suppose un format pérenne (PDF/A-3 typiquement) et un coffre-fort numérique cohérent.

Aucune de ces conditions n'est triviale. Toutes sont prises en charge nativement par un LIMS conçu pour le contexte marocain.

Le rôle des prestataires de services de confiance

La signature avancée, et a fortiori la signature qualifiée, repose sur un certificat numérique émis par un prestataire de services de confiance (PSC) supervisé par la DGSSI. Au Maroc, Barid Al-Maghrib opère depuis 2011 le service Barid eSign, qui délivre des certificats nominatifs de signature électronique reconnus par l'État marocain et conformes au cadre des lois 53-05 et 43-20. D'autres PSC peuvent émerger au fur et à mesure du déploiement de la loi 43-20.

Pour un laboratoire, le bon réflexe est de doter chaque signataire de rapport (responsable qualité, signataire technique habilité, directeur) d'un certificat nominatif émis par un PSC marocain reconnu. Le LIMS s'intègre ensuite au flux de signature pour produire le rapport finalisé, signé, horodaté, archivé.

Pourquoi le sujet est devenu pivot

Plusieurs évolutions convergentes rendent la signature électronique moins optionnelle qu'auparavant pour un laboratoire :

  • L'attente du client. Les industriels marocains et les autorités acceptent désormais largement les rapports signés numériquement, et certaines plateformes (douanes, plateformes ministérielles, donneurs d'ordre publics) ne reçoivent que du signé électroniquement.
  • L'audit SEMAC. Un rapport signé électroniquement avec journal d'audit immuable est plus facile à défendre devant un auditeur qu'un PDF généré, signé à la main puis scanné.
  • L'export. Pour les laboratoires qui certifient à l'export, l'équivalence loi 43-20 / eIDAS facilite la reconnaissance des rapports en Europe.
  • La logistique. Un rapport signé à la main suppose une présence physique du signataire au moment de la signature. Avec des équipes multi-sites, c'est une contrainte qui ralentit les délais.

Souveraineté : où sont stockés les certificats et les jetons d'horodatage

Comme pour les données d'analyse elles-mêmes, la question "sous quelle juridiction" est légitime pour l'infrastructure cryptographique qui accompagne la signature. Un certificat émis par un PSC marocain et des jetons d'horodatage produits par un service marocain restent sous juridiction marocaine, ce qui simplifie le dossier vis-à-vis de la CNDP et de l'AMSD le cas échéant, et évite d'éventuelles questions à l'audit.

Un LIMS conçu au Maroc s'intègre naturellement à cet écosystème national. Un LIMS étranger oblige souvent à composer avec des fournisseurs de signature également étrangers, et à documenter en sus la conformité du dispositif au cadre marocain.

Comment cela se traduit dans un LIMS

En pratique, dans un LIMS bien intégré comme Prelab, le flux ressemble à ceci :

  1. Le technicien valide ses résultats dans le LIMS.
  2. Le responsable technique relit et "propose à la signature" : la traçabilité de la relecture indépendante (article 7.8 de NM ISO/CEI 17025) est automatique.
  3. Le signataire authentifié appose sa signature électronique via son certificat nominatif. Le PDF/A-3 produit embarque la signature et le jeton d'horodatage.
  4. Le rapport est diffusé au client par le portail (téléchargement avec journal d'accès) ou par email.
  5. L'archive longue durée conserve le document signé et son enveloppe pour la durée requise.

Aucune étape ne suppose une présence physique. Aucune ne suppose une chaîne papier. Et chacune est traçable.

Pour aller plus loin

  • Notre guide ISO/IEC 17025 situe la signature électronique dans la couverture de la norme.
  • L'article Loi 09-08 et CNDP traite des aspects connexes de protection des données.
  • Pour échanger sur l'intégration signature électronique dans votre flux, demandez une démo.

Cet article a une portée informative. Pour le détail des exigences applicables à votre cas, se référer aux textes officiels (loi 53-05, loi 43-20 et leurs décrets) et aux ressources publiées par la DGSSI.

EP
Équipe Prelab
LIMS marocain · Casablanca