ASPECTS JURIDIQUES DE LA
CONFIANCE NUMÉRIQUE
Client brief rédigé par Mehdi Kettani, Associé, DLA Piper Casablanca
Les transactions commerciales électroniques
(“e-commerce”) sont en constante évolution et les
consommateurs marocains sont aujourd’hui plus que
jamais friands de ce mode de consommation.
Les acteurs économiques ont de plus en plus recours
à l’outil numérique et de moins en moins recours au
support papier pour entrer en contact et pour conclure
des transactions commerciales.
L’administration, dans un souci de modernisation et
de simplification des procédures, a mis en place le
programme “e-gov” qui vise à offrir aux citoyens et aux
entreprises des services administratifs plus efficaces et
efficients grâce aux technologies de l’information et de la
communication.
Dans ce contexte, il a fallu créer un climat de « confiance
numérique » pour encourager les citoyens et les
opérateurs économiques à continuer à utiliser les
technologies de l’information sans avoir le sentiment
d’une menace qui pèse sur les données qu’ils conservent,
confient ou échangent et sur la validité de leurs actes
juridiques qui transitent par l’outil numérique.
Le Gouvernement a mené deux compagnes de lutte
contre la cybercriminalité dont la première en mai 2014
et la seconde entre le 21 janvier et le 5 juin 2015.
I. FONDAMENTAUX DE LA
CONFIANCE NUMÉRIQUE
A. CONFIANCE NUMÉRIQUE ET
CYBERCRIMINALITÉ
1.  Définition
La cybercriminalité est une notion large qui regroupe
toutes les infractions pénales qui sont commises sur
ou au moyen d’un système informatique. Ainsi, l’outil
informatique peut être soit lui-même la cible de l’attaque,
soit un simple moyen pour commettre le forfait.
2.  Mise en place d’un dispositif pénal adéquat
Conscient du développement de l’usage des technologies
de l’information et soucieux d’instaurer un climat de
confiance numérique, le législateur marocain a modifié
et complété le Code pénal en adoptant la loi n° 07-03,
promulguée par le dahir n° 1-03-197 du 16 ramadan
1424 (11 nov. 2003. – BORM n° 5184, 5 févr. 2004)
qui réglemente les infractions relatives aux systèmes
detraitement automatisé des données.
En outre, la loi n°2-00 relative aux droits d’auteurs
et droits voisins telle que modifiée par la loi n°34-05
contient des dispositions qui permettent de lutter contre
le piratage informatique, notamment en incriminant le
"cracking" et la contrefaçon informatique.
3.  Faits incriminés
Le chapitre X, nouvellement introduit par la loi n° 07-03
contient neuf articles qui incriminent les faits suivants :
■■ le fait d’accéder frauduleusement à tout ou partie d’un
système de traitement automatisé de données,
■■ le fait d’entraver ou de fausser intentionnellement
le fonctionnement d’un système de traitement
automatisé de données,
■■ le fait d’introduire frauduleusement des données dans
un système de traitement automatisé des données
ou de détériorer ou de supprimer ou de modifier
frauduleusement les données qu’il contient, leur mode
de traitement ou de transmission,
■■ le faux ou la falsification de documents informatisés.
Par ailleurs, la tentative et la complicité concernant les
actes susmentionnés sont passibles des mêmes peines
que la commission des actes eux-mêmes.
Enfin, les actes tels que la fabrication, la détention,
ou la mise à disposition d’équipements ou programmes
informatiques permettant de commettre les infractions
mentionnées dans le chapitre X, sont incriminés et punis
de sévères amendes et peines privatives de liberté.
4.  Peines encourues
Les peines prévues pour ce type d’infractions varient
entre un mois et cinq ans de d’emprisonnement et/ou
une amende de 2 000 à 200 000 dirhams selon la gravité
du fait incriminé. Le législateur marocain a voulu punir
lourdement les personnes qui portent atteinte à la vie
privée des individus et aux intérêts financiers des acteurs
économiques en passant par les nouvelles technologies.
Ainsi, les usagers des systèmes d’information savent qu’il
existe un dispositif répressif sévère et sont (relativement)
rassurés lorsqu’ils font usage de leur ordinateur.
5.  Illustration
Un ordinateur personnel contient des informations
personnelles et peut faire l’objet d’un accès frauduleux de
la part d’un « délinquant informatique ». Celui-ci pourra
alors être condamné pour le fait délictueux qu’il aura
commis si sa culpabilité est établie. Ainsi, le “hacker” qui
« subtilise » le numéro de carte de crédit du propriétaire
de l’ordinateur et qui l’utilise pour faire des achats sur
Internet est punissable conformément aux dispositions
de la loi n° 03-07.
6.  La protection des systèmes d’information
sensibles des infrastructures d’importance
vitale
La Direction Générale de la Sécurité des Systèmes
d’Information (DGSSI), qui dépend de l’Administration
de la Défense Nationale, a élaboré un décret fixant le
dispositif de protection des systèmes d’information
sensibles des infrastructures d’importance vitale
(Décret n°2-15-712 du 22 mars 2016 – BORM. n°6458,
21 avril 2016). Ce décret permet indubitablement
d’accroître la confiance des citoyens en l’outil
numérique , en ce sens qu’ils prennent conscience
que l’Etat prend toutes les mesures pour assurer
l’invulnérabilité des systèmes d’information d’importance
majeure dans notre pays.
Ainsi, les secteurs d’activités d’importance vitale
concernent la sécurité publique, le secteur financier,
l’industrie, les réseaux des transports, la production et la
02  |  Aspects juridiques de la confiance numérique
distribution de l’énergie et les mines, l’approvisionnement
et la distribution d’eau, les télécommunications et les
services postaux, l’audiovisuel et la communication,
la santé et la justice.
A ces secteurs est associée la notion d’infrastructures
d’importance vitale disposant de systèmes d’informations
sensibles. Cette notion recouvre toutes les installations,
ouvrages et systèmes qui sont indispensables au maintien
des fonctions vitales de la société, de la santé, de la
sûreté, de la sécurité et du bien-être économique ou
social, et dont le dommage ou l’indisponibilité ou la
destruction aurait un impact induisant la défaillance de ces
fonctions.
Le décret prévoit notamment la mise en place de moyens
de supervision et de détection des cyberattaques et
la remontée au Centre de Veille, de Détection et de
Réaction aux attaques informatiques relevant de la
DGSSI, des informations relatives aux incidents affectant
la sécurité ou le fonctionnement de leurs systèmes
d’information sensibles.
Ce décret prévoit également la préparation des plans de
continuité et de reprise d’activités pour neutraliser les
interruptions des activités, protéger les processus métier
cruciaux des effets causés par les principales défaillances
des systèmes d’information ou par des sinistres et garantir
une reprise de ces processus dans les meilleurs délais.
B. CONFIANCE NUMÉRIQUE ET PROTECTION
DES DONNÉES PERSONNELLES
(Voir, pour plus de détails sur le sujet, notre client brief relatif
à la protection des données à caractère personnel)
7.  Mise en place de la protection et institution
d’une commission
Dans le cadre de l’instauration de la confiance
numérique, le législateur national a adopté la loi n° 09- 08
qui a été promulguée par le dahir n°1-09-15 du 18 février
2009 22 safar 1430 (18 févr. 2009. – BORM n°5714,
5 mars 2009) et qui se rapporte à la protection des
personnes physiques à l’égard du traitement des données
à caractère personnel. Cette loi édicte les règles relatives
à la protection des données personnelles et institue une
Commission nationale de contrôle de la protection des
données à caractère personnel (CNDP).
1° Grands principes de protection des données
personnelles
8.  Contexte
Lorsque les personnes physiques communiquent des
données qui leurs sont personnelles à des tiers au moyen
d’un système numérique, elles doivent être rassurées
quant à l’usage qui va en être fait par ces tiers.
a) Consentement de la personne concernée
9.  Nécessité de recueillir le consentement
L’article 4 de la loi n° 09-08 prévoit que le traitement
des données à caractère personnel ne peut être effectué
que si la personne concernée a indubitablement donné
son consentement à l’opération ou à l’ensemble des
opérations envisagées par le responsable du traitement.
10.  Illustration
Ainsi, par exemple, à l’occasion d’une opération d’achat
en ligne, le vendeur doit requérir le consentement de
l’acheteur pour traiter les données personnelles qui lui
sont confiées.
b) Finalité du traitement
11.  Obligation d’une détermination claire de la
finalité
Pour protéger les personnes physiques, la loi n° 09-08 a
imposé aux responsables de traitement de déterminer
clairement les finalités pour lesquelles les données sont
collectées et leur a interdit d’opérer sur ces données des
traitements qui seraient incompatibles avec ces finalités.
12.  Illustration
En reprenant l’exemple ci-dessus, la finalité du traitement
est l’opération d’achat en elle-même. Le vendeur ne peut
utiliser les données récoltées à des fins promotionnelles
(à moins d’avoir recueilli le consentement préalable de la
personne concernée).
c) Principe de proportionnalité
13.  Notion
Selon l’article 3 de la loi n° 09-08, les données collectées
doivent être « adéquates, pertinentes et non excessives
au regard des finalités pour lesquelles elles sont traitées
ultérieurement. ».
14.  Illustration
Par exemple, lorsqu’une personne souhaite souscrire
un abonnement téléphonique auprès d’un opérateur,
il ne nous paraît pas nécessaire que celui-ci demande
au futur client sa situation matrimoniale. Une telle
demande serait, à notre sens, excessive. En revanche,
si la personne souhaite souscrire une assurance-vie,
la demande nous paraît légitime, adéquate et pertinente
eu égard à l’opération envisagée.
2° P
 rincipaux droits des personnes physiques
protégées
15.  Droit d’accès
Ce droit est reconnu par l’article 7 de la loi n° 09-08.
Il permet à toute personne d’accéder aux informations
la concernant pour s’assurer de leur exactitude.
16.  Droit de rectification
Complétant le droit d’accès, ce droit permet aux
personnes concernées d’exiger la rectification des
informations la concernant, notamment lorsqu’elles sont
inexactes ou incomplètes. Ce droit s’exerce au travers
d’une requête adressée au responsable du traitement
qui est tenu d’y répondre dans un délai de 10 jours,
sans imposer de frais.
3° Principales obligations des responsables du
traitement
17.  Déclaration préalable
Sauf pour certains cas nécessitant une autorisation
préalable, le traitement de données à caractère
personnel doit faire l’objet d’une déclaration préalable
auprès de la CNDP. Cette déclaration préalable permet
à celle-ci, de contrôler la protection des données à
caractère personnel et de veiller au respect, par le
responsable du traitement, des dispositions de la loi
n° 09-08.
18.  Autorisation préalable
Certains traitements, en raison de leur spécificité,
requièrent des responsables du traitement non pas une
déclaration préalable, mais une autorisation préalable qui
leur est délivrée par la CNDP.
Tel est le cas notamment pour le traitement des données
sensibles, les traitements de données personnelles à
d’autres fins que celles pour lesquelles elles ont été
collectées, le traitement des données portant sur les
infractions, condamnations ou mesures de sûreté ainsi
que celui des données comportant le numéro de la carte
d’identité nationale de la personne concernée.
www.dlapiper.com | 03
19.  Obligations de confidentialité, de sécurité des
traitements et de secret professionnel
En vertu des dispositions de l’article 23 de la loi
n° 09-08, le responsable du traitement est tenu de
mettre en œuvre toutes les mesures techniques et
organisationnelles pour protéger les données à caractère
personnel, afin d’empêcher qu’elles soient endommagées,
modifiées ou utilisées par un tiers non autorisé à y
accéder. Ces mesures doivent être renforcées lorsqu’il
s’agit de données sensibles ou de données relatives à
la santé conformément aux dispositions de l’article 24.
Elles s’appliquent non seulement au responsable du
traitement mais aussi à tout sous-traitant qui se verrait
déléguer les tâches du responsable.
En outre, l’article 26 soumet le responsable du
traitement de données à caractère personnel ainsi que
les personnes qui, dans l’exercice de leurs fonctions,
ont connaissance de données à caractère personnel,
à une obligation de respect du secret professionnel.
4° Principales infractions et sanctions
a) Infractions
20.  Faits constituant des infractions
Le Chapitre VII de la loi n° 09-08 énonce les faits qui
constituent des infractions. Nous pouvons les résumer
comme suit :
■■ tout traitement portant atteinte à l’ordre public, à la
sureté, à la morale et aux bonnes mœurs,
■■ la mise en œuvre d’un traitement sans l’autorisation
ou la déclaration exigée,
■■ le refus du droit d’accès, de rectification ou
d’opposition,
■■ toute incompatibilité avec la finalité déclarée,
■■ le non-respect de la durée de conservation des
données – le non-respect des mesures de sécurité
des traitements,
■■ le non-respect du consentement de la personne
concernée, notamment lorsqu’il s’agit de prospection
directe à des fins commerciales, avec aggravation des
sanctions lorsqu’il s’agit de données sensibles,
■■ tout transfert de données personnelles vers un pays
n’étant pas reconnu comme assurant une protection
adéquate,
■■ toute entrave à l’exercice des missions de contrôle de
la CNDP,
■■ tout refus d’application des décisions de la CNDP.
04  |  Aspects juridiques de la confiance numérique
b) Sanctions
21.  Sanctions contre les personnes physiques
À l’encontre des personnes physiques responsables du
traitement des données personnelles, et sans préjudice
de leur responsabilité civile à l’égard des personnes ayant
subi des dommages du fait de l’infraction, les sanctions
varient selon la gravité des faits incriminés, pour ce qui
est de l’emprisonnement entre trois mois et deux ans de
prison, et pour ce qui est des amendes entre 10 000 et
300 000 dirhams. Ces sanctions peuvent être portées au
double en cas de récidive.
22.  Sanctions contre les personnes morales
Lorsque l’auteur de l’infraction est une personne morale,
et sans préjudice des peines qui peuvent être appliquées
à ses dirigeants, les peines d’amende sont portées
au double. La personne morale peut voir ses biens
confisqués et ses établissements fermés.
23.  Objectifs des sanctions
On constate que le législateur a voulu faire preuve de
sévérité quant aux sanctions prévues dans le cadre de la
loi n° 09-08. Dans un premier temps, l’objectif évident
est de dissuader les personnes qui manipulent des
données personnelles de contrevenir aux dispositions
légales et de les inciter à faire preuve d’une vigilance
extrême lors des traitements effectués. Dans un second
temps, l’objectif est d’appliquer des peines exemplaires
à l’encontre des contrevenants pour qu’ils évitent de
porter atteinte à nouveau aux droits des citoyens.
c) Recours en cas d’infraction
24.  Recours des « victimes »
Les personnes physiques qui se considèrent « victimes »
d’une atteinte à leurs données personnelles peuvent
adresser leurs plaintes à la police judiciaire ou aux
agents de la CNDP qui sont habilités à rechercher et
à constater les infractions. Les procès-verbaux qu’ils
rédigent à ce titre sont transmis, dans les cinq jours
suivant les opérations de recherche et de constatation,
au procureur du Roi. Les victimes peuvent également
adresser leurs plaintes à ce dernier.
25.  Recours dans l’intérêt de l’ordre public ou de
la loi
Les agents de la police judiciaire et ceux de la CNDP ont
également pour mission de rechercher et de constater
les atteintes à l’ordre public ou aux dispositions de la
loi n° 09-08. Dans ce cas également, ils transmettent
leurs procès-verbaux au procureur du Roi qui étudie
l’opportunité d’engager des poursuites contre le
contrevenant.
5° Commission nationale de contrôle de la
protection des données à caractère personnel
26.  Principales missions
La CNDP a pour missions principales :
■■ de donner son avis aux autorités gouvernementales
ou législatives sur les projets ou propositions de loi ou
de règlement se rapportant aux données à caractère
personnel ;
■■ de donner son avis aux autorités compétentes sur les
projets de règlements créant des fichiers relatifs aux
données à caractère personnel recueillies et traitées
à des fins de prévention et de répression de crimes et
de délits ;
■■ de recevoir les déclarations et demandes
d’autorisations relatives aux traitements de données
personnelles, mentionnées au paragraphe relatif aux
obligations du responsable du traitement ;
■■ d’informer en permanence le public sur les droits et
obligations légales et réglementaires relatives aux
données à caractère personnel ;
■■ de mener des investigations afin de contrôler la
bonne application des dispositions légales par les
responsables du traitement ;
■■ d’instruire les plaintes dont elle est saisie et ordonner
que lui soient communiquées à cet effet toutes les
informations nécessaires pour qu’elle puisse mener à
bien cette mission ;
■■ d’ordonner le verrouillage, l’effacement, ou la
destruction des données, en cas de contravention aux
dispositions légales.
27.  Accomplissement de la mission d’information
et sensibilisation
Au niveau national, la CNDP a œuvré, depuis sa mise en
place, à jouer son rôle de sensibilisation et d’information en :
■■ organisant des réunions de travail avec les autorités
de contrôle et de régulation comme Bank Al
Maghrib et l’Agence nationale de réglementation des
télécommunications ;
■■ instituant des comités de travail avec les fédérations
sectorielles comme le Groupement professionnel des
banques du Maroc et la Fédération des technologies
de l’information, des télécommunications et de l’
“offshoring” ;
■■ fournissant des réponses personnalisées aux questions
qui lui sont adressées par les personnes physiques et
les personnes morales intéressées par le traitement
des données à caractère personnel.
28.  Traitement des déclarations
En outre, la CNDP a reçu et traité les déclarations
de traitement et les demandes d’autorisation qu’elle a
reçues des responsables de traitement et qui s’élèvent
aujourd’hui à mille à peu près.
29.  Traitement des plaintes
La CNDP a réceptionné et traité trois plaintes écrites
de citoyens concernant essentiellement des SMS
intempestifs.
II. CONFIANCE NUMÉRIQUE DANS
LE CADRE DES RELATIONS
ÉCONOMIQUES
A. SÉCURITÉ JURIDIQUE DES ÉCHANGES
ÉLECTRONIQUES
30.  Enjeu
L’enjeu principal de la sécurité juridique des échanges
électroniques est de pouvoir utiliser des documents
créés grâce à des procédés numériques comme moyens
de preuve.
1° Équivalence des documents établis sur papier
et sur support électronique
31.  Principe général
La loi n° 53-05 du 6 décembre 2007, promulguée par
le dahir n° 1-07-129 du 19 kaada 1428 (BORM n°5584,
30 nov. 2007) a introduit dans le dahir du 12 août 1913
formant Code des obligations et des contrats (DOC)
un article 2-1 qui prévoit que lorsqu’un écrit est exigé
pour la validité d’un acte juridique, il peut être établi et
conservé sous forme électronique dans les conditions
prévues aux articles 417-1 et 417-2 du DOC.
Il s’agit là d’une admission expresse de l’équivalence du
document papier et du document électronique.
32.  Exceptions
Il est à signaler que ce principe ne s’applique pas aux
actes relatifs à la mise en œuvre des dispositions du
Code de la famille et les actes sous seing privé relatifs à
www.dlapiper.com | 05
des sûretés personnelles ou réelles. En effet, le caractère
formaliste de ce type d’actes dicte le maintien de
l’exigence d’un document papier.
33.  Conditions
Selon l’article 417-1 introduit par la loi n° 53-05,
le principe de l’équivalence du document papier et
du document électronique est soumis aux conditions
suivantes :
■■ la personne dont émane le document doit pouvoir
être dûment identifiée,
■■ le document doit être établi et conservé dans des
conditions qui sont de nature à en garantir l’intégrité.
2° Signature électronique
a) Généralités
34.  Définition
À l’instar de la signature « manuscrite », la signature
électronique permet à la personne qui l’appose sur un
acte de s’identifier et d’exprimer son approbation sur
le contenu de cet acte.
35.  Admission de la signature électronique
L’article 417-2 alinéa 3 du DOC pose le principe de la
validité de la signature par voie électronique, tout en
ajoutant qu’il convient « d’utiliser un procédé fiable
d’identification garantissant son lien avec l’acte auquel
elle s’attache ».
b) Signature électronique « simple »
36.  Fiabilité relative et valeur probante limitée
Contrairement à la signature électronique sécurisée, la
signature électronique simple n’est pas présumée fiable :
il faut que celui qui s’en prévaut en démontre la fiabilité.
Si elle ne regroupe pas toutes les conditions requises par
la loi pour avoir le caractère « sécurisé », le juge peut
user de son pouvoir d’appréciation et/ou recourir à des
experts pour en apprécier la fiabilité. Il peut également
l’utiliser comme un début de preuve qui peut être
corroboré par d’autres éléments probants.
06  |  Aspects juridiques de la confiance numérique
c) Signature électronique « sécurisée »
37.  Fiabilité présumée et valeur probante
renforcée
Conformément à l’article 417-3 du DOC, « une signature
électronique est considérée comme sécurisée lorsqu’elle
est créée, l’identité du signataire assurée et l’intégrité de
l’acte juridique garantie, conformément à la législation et la
réglementation en vigueur en la matière. »
Ce type de signature bénéficie d’une présomption
légale de fiabilité, mais il s’agit d’une présomption simple
susceptible d’être contestée par une preuve contraire.
Pour qu’une signature puisse être considérée comme
sécurisée, elle doit satisfaire aux exigences légales
prévues à l’article 6 de la loi n° 53-05, à savoir :
■■ être propre au signataire ;
■■ être créée par des moyens que le signataire puisse
garder sous son contrôle exclusif ;
■■ garantir avec l’acte auquel elle s’attache un lien tel
que toute modification ultérieure dudit acte soit
détectable.
■■ être produite par un dispositif de création de signature
électronique, attesté par un certificat de conformité.
Le dispositif de création de signature électronique
consiste en un matériel et/ou un logiciel destiné(s)
à mettre en application les données de création de
signature électronique, comportant les éléments
distinctifs caractérisant le signataire, tels que la clé
cryptographique privée, utilisée par lui pour créer une
signature électronique.
Le certificat de conformité est délivré par l’autorité
nationale d’agrément et de surveillance de la certification
électronique après qu’elle ait vérifié que le dispositif de
création obéit à des conditions strictes (Voir, L. n° 53-05,
art. 9) qui permettent de satisfaire les exigences prévues
à l’article 6 de la loi n° 53-05.
38.  Illustration
Pour illustrer notre propos au sujet de la signature
électronique sécurisée, nous allons prendre l’exemple
d’une déclaration d’un sinistre qui doit être envoyée
par un assuré à son assureur pour obtenir la réparation
du préjudice. Dans cet exemple, nous supposons que
l’assuré est une personne morale représentée par son
Directeur général.
Le Directeur général doit disposer d’une clé
cryptographique (acquise auprès de Barid e-Sign)
accompagnée d’un certificat électronique. La clé
cryptographique permet de garantir l’intégrité du
document et le certificat électronique de conformité
permet l’identification certaine.
Le Directeur général insère sa clé cryptographique dans
son ordinateur et applique le procédé de cryptographie
(chiffrement) au document qu’il souhaite signer.
Comme le message ne doit pouvoir être lu que par
le destinataire, on utilise un procédé de chiffrement
asymétrique : une clé privée et une clé publique.
Le Directeur général récupère la clé publique de
l’assureur et chiffre son message grâce elle. Il envoie ainsi
le document chiffré grâce à sa clé privée dans un message
chiffré grâce à la clé publique du destinataire. Ce dernier,
grâce à sa clé privé, est le seul à pouvoir l’ouvrir.
Puis, grâce au certificat de conformité, il vérifie auprès
de l’autorité de certification que le signataire est bien
titulaire du certificat et ensuite, grâce à la clé publique de
l’émetteur il déchiffre le document.
d) Horodatage
39.  Définition
L’horodatage consiste à associer à la signature
électronique la date et l’heure auxquelles elle a été
apposée.
40.  Intérêt
Conformément à l’article 413-3 alinéa 3 du DOC, un acte
signé électroniquement et horodaté a la même force
probante qu’un acte dont la signature est légalisée et de
date certaine.
e) Utilité de la signature électronique
41.  Applications commerciales
Avec la signature électronique (simple ou sécurisée),
les transactions commerciales peuvent être
dématérialisées. Ainsi par exemple, les bons de
commande et les bons de livraison qui doivent être
signés pour prouver la réalisation d’une opération
commerciale peuvent revêtir le format électronique
en étant accompagnés d’une signature électronique.
De même, les actes qui doivent être signées et légalisées
pour pouvoir faire foi (statuts de sociétés, procès-
verbaux d’assemblées, …) peuvent être établis sous la
forme électronique à condition de recevoir une signature
signée et horodatée.
42.  Applications “e-Gov”
Qu’il s’agisse des déclarations auprès des organismes
sociaux, de l’administration fiscale ou de l’administration
des douanes, leur dématérialisation devient possible
grâce aux procédés de signature électroniques introduits
par la loi n° 53-05.
3° Archivage électronique
43.  Définition
L’archivage électronique peut se définir comme
l’ensemble des actions, outils et méthodes mis en œuvre
pour conserver des données sous forme électronique
dans le but de les exploiter et de les rendre accessibles
dans le temps, que ce soit à titre de preuve (en cas
d’obligations légales notamment ou de litiges) ou à titre
informatif. Le contenu archivé est considéré comme figé
et ne peut donc être modifié.
44.  Intérêt
L’archivage électronique revêt un intérêt juridique
majeur car, selon l’article 417-1 du DOC l’équivalence
du document papier et du document électronique est
soumise à la condition que le document soit « conservé
dans des conditions qui sont de nature à en garantir l’intégrité ».
45.  Cryptographie
L’article 12 de la loi n° 53-05 admet que les moyens
de cryptographie permettent de garantir la sécurité
du stockage (archivage) de données juridiques par
voie électronique « de manière qui permet d’assurer leur
confidentialité, leur authentification et le contrôle de leur
intégrité. »
La cryptographie consiste à transformer des données
lisibles en données illisibles en utilisant des outils
informatiques en recourant ou pas à des conventions
secrètes, afin d’en garantir l’accès à un ou plusieurs
utilisateurs identifiés. Ces derniers utilisent également
des procédés cryptographiques pour déchiffrer les
données.
www.dlapiper.com | 07
B. SÉCURITÉ JURIDIQUE DES OPÉRATIONS
DE “E-COMMERCE”
46.  Définition juridique
Le commerce électronique (ou e-commerce) consiste en
la conclusion de contrats portant sur des biens ou des
services, au moyen de réseaux informatiques.
47.  Cadre légal
Outre les dispositions contenues dans la loi n° 53-05,
le commerce électronique, reposant sur des contrats
conclus à distance, est soumis aux dispositions de la
loi n° 31-08 du 18 févr. 2011, édictant des mesures
de protection des consommateurs (BORM n° 5932,
7 avr. 2011).
1° Conditions de validité de l’offre sous forme
électronique
48.  Légalisation de l’offre électronique
La législateur a légalisé la mise à disposition du public,
par voie électronique, d’offres contractuelles ou
d’information sur des biens et des services en vue de la
conclusion d’un contrat (DOC, art. 65-3).
49.  Caractéristiques et contenu de l’offre
contractuelle électronique
Selon l’article 65-4 du DOC (introduit par la loi n° 53-05),
outre le fait que les conditions contractuelles applicables
à une offre électronique doivent être conservables et
reproductibles, l’offre en elle-même doit comporter :
■■ les principales caractéristiques du bien ou du service
proposé ;
■■ les conditions de vente du bien ou du service ;
■■ les différentes étapes à suivre pour conclure le contrat
par voie électronique et notamment les modalités
selon lesquelles les parties se libèrent de leurs
obligations réciproques ;
■■ les moyens techniques permettant au futur utilisateur,
avant la conclusion du contrat, d’identifier les erreurs
commises dans la saisie des données et de les corriger ;
■■ les langues proposées pour la conclusion du contrat ;
■■ les modalités d’archivage du contrat par l’auteur de
l’offre et les conditions d’accès au contrat archivé,
si la nature ou l’objet du contrat le justifie ;
08  |  Aspects juridiques de la confiance numérique
■■ les moyens de consulter, par voie électronique,
les règles professionnelles et commerciales auxquelles
l’auteur de l’offre entend, le cas échéant, se soumettre.
De plus, et dans le but d’assurer une meilleure
protection au « consommateur électronique », la loi
n° 31-08 apporte plus détails quant au contenu de l’offre
électronique. Ainsi doit-elle indiquer :
■■ le nom et la dénomination sociale du fournisseur,
les coordonnées téléphoniques qui permettent de
communiquer effectivement avec lui, son adresse et
s’il s’agit d’une personne morale, son siège social et,
s’il s’agit d’une personne autre que le fournisseur,
l’adresse de l’établissement responsable de l’offre ;
■■ s’il est assujetti à la taxe sur la valeur ajoutée, son
numéro d’identité fiscale ;
■■ si son activité est soumise au régime de la licence,
le numéro de la licence, sa date et l’autorité qui l’a
délivrée ;
■■ s’il appartient à une profession réglementée,
la référence des règles professionnelles applicables,
sa qualité, professionnelle, le pays où il a obtenu cette
qualité ainsi que le nom de l’ordre ou l’organisation
professionnelle où il est inscrit.
■■ le cas échéant, les délais et les frais de livraison ;
■■ l’existence du droit de rétractation prévu à l’article
36, sauf dans les cas où les dispositions du présent
chapitre excluent l’exercice de ce droit ;
■■ les modalités de paiement, de livraison ou d’exécution ;
■■ la durée de la validité de l’offre et du prix ou tarif de
celle-ci ;
■■ le cas échéant, la durée minimale du contrat
proposé, lorsqu’il porte sur la fourniture continue ou
périodique d’un produit, bien ou service.
2° C
 onditions de validité du contrat conclu sous
forme électronique
50.  Possibilité de revoir son ordre et son prix
avant l’acceptation
Pour que le contrat électronique soit valide, il faut que
le destinataire de l’offre ait eu la possibilité de vérifier
le détail de son ordre et son prix total et de corriger
d’éventuelles erreurs, et ce avant de confirmer ledit
ordre pour exprimer son acceptation.
51.  Acceptation de l’offre
Le destinataire de l’offre doit exprimer son acceptation
par tout moyen et l’auteur de l’offre doit accuser
réception de l’acceptation de l’offre.
En réalité, l’acceptation de l’offre se passe en deux étapes :
■■ le cocontractant potentiel de l’auteur de l’offre
accepte celle-ci mais à ce stade le contrat n’est pas
encore valablement conclu ;
■■ ensuite, il reçoit le détail de sa commande et
a la possibilité de vérifier s’il y’a des erreurs et
éventuellement de les corriger, et ce n’est qu’à ce
moment-là qu’il prononce l’acceptation qui l’engage
réellement.
52.  Accusé de réception de l’acceptation de
l’offre
L’auteur de l’offre qui reçoit l’acceptation du destinataire
doit en accuser réception sans délai injustifié et par voie
électronique. Une fois que le destinataire de l’offre a reçu
cet accusé de réception, le contrat est parfait.
■■ Il s’agit là d’une obligation qui découle du droit des
personnes concernées à la protection de leurs
données personnelles et d’un préalable indispensable
à tout traitement envisagé.
3° Droit de rétractation
53.  Mesure encourageante pour la confiance
numérique
Comme pour tous les contrats conclus à distance, les
“e-consommateurs” disposent d’un droit de rétractation
dont le délai d’exercice est de 7 jours. Ce délai peut être
prolongé jusqu’à 30 jours si le “e-commerçant” a failli à
ses obligations d’information.
Cette mesure est de nature à encourager le
développement du “e-commerce” dans la mesure où le
consommateur n’a pas à justifier son choix, qu’il n’a pas
à payer de pénalités et qu’il a le droit d’être remboursé
dans les 15 jours suivant la date à laquelle il a exercé
ce droit.
TEXTES DE RÉFÉRENCE
L.n° 07-03 mod. et com.. Code pén., prom. :
Da. n°1- 03- 197, 16 ram. 1424, modifiant et complétant le
Code pénal (11 nov. 2003. – BORM n° 5184, 5 févr. 2004) ;
L. n° 53-05 relative à l’échange électronique de données
juridiques, prom. : Da. n° 1-07-129, 19 kaa. 1428
(30 nov. 2007 – BORM n°5584, 6 déc. 2007) ;
L. n° 09-08 relative à la protection des personnes
physiques à l’égard du traitement des données à
caractère personnel, prom. : Da. n° 1-09-15, 22 saf.
1430 (18 fév. 2009. – BORM n°5714, 5 mars 2009) ;
L. n° 31-08 édictant des mesures de protection des
consommateurs, prom. : Da. n°1-11-03, 14 rab. 1432
(18 févr. 2011. – BORM n°5932, 7 avr. 2011).
BIBLIOGRAPHIE
Ouvrages
Ouvrage Collectif – Annuaire marocain de la stratégie
dans les relations internationales – (V. l’introduction d’A.
AZZOUZI) : L’Harmattan 2012
Azzouzi, La Cybercriminalité au Maroc, 2010.
Pierre-Beaux, La protection des données personnelles :
Ed. Promoculture
M. –L. Oble-Laffaire – Protection des données à
caractère personnel : Ed. d’Organisation, 2005.
T. Verbiest, Le nouveau droit du commerce électronique :
Ed Larcier, 2005.
M.D. Toumlilt : Le commerce électronique au Maroc,
Aspects juridiques : Ed. Maghrébines, 2008.
Article
La signature électronique, un enjeu de taille pour
la confiance numérique au Maroc. TIC Magazine
(http:// www.ticmagazine.net/redaction/dossier/
la-signature-electronique-un-enjeu-de-taille-pour-la-
confiance-numerique-au-maroc.html)
www.dlapiper.com | 09
CONTACT

Mehdi Kettani
Associé
T  +212 (0) 660 164 456
mehdi.kettani@dlapiper.com
Mehdi a plus de dix ans d’expérience dans le domaine du contentieux,
de l’arbitrage et en matière de questions règlementaires sur des dossiers
commerciaux, bancaires, de droit des sociétés, de droit du travail et de droit des
nouvelles technologies, pour des clients locaux et internationaux.

www.dlapiper.com
DLA Piper is a global law firm operating through various separate and distinct legal entities. Further details of these entities can be found at
www.dlapiper.com.
This publication is intended as a general overview and discussion of the subjects dealt with, and does not create a lawyer-client relationship. It is not
intended to be, and should not be used as, a substitute for taking legal advice in any specific situation. DLA Piper will accept no responsibility for any
actions taken or not taken on the basis of this publication. This may qualify as “Lawyer Advertising” requiring notice in some jurisdictions. Prior results
do not guarantee a similar outcome.
Copyright © 2017 DLA Piper. All rights reserved.  |  MAR17  |  3210804