II. Autorité nationale d'agrément et de
surveillance de la certification électronique (ANASCE)
1) Missions de l'ANASCE
De l'A15 à l'A19 de la loi n° 53-0531
réglementant l'échange électronique de données
juridiques, sont définies les missions de l'ANASCE pour
l'agrément de création des certificats électronique aux
services demandeurs de cet agrément, et aussi missions de
contrôles aux dites services. Ainsi, l'Autorité nationale
d'agrément et de surveillance de la certification électronique, a
pour mission :
- de proposer au gouvernement les normes du système
d'agrément et de prendre les mesures nécessaires à sa mise
en oeuvre ;
- d'agréer les prestataires de services de
certification électronique et de publier un extrait de la
décision d'agrément, ainsi que le registre des prestataires de
services de certification électronique agréés au <<
Bulletin officiel » ;
- de s'assurer du respect, par les prestataires de services
de certification électronique délivrant des certificats
électroniques sécurisés, des engagements prévus par
les dispositions de la présente loi et des textes pris pour son
application ;
- de vérifier ,soit d'office, soit à la demande
de toute personne intéressée, ou faire vérifier la
conformité des activités d'un prestataire de services de
certification électronique délivrant des certificats
électroniques sécurisés aux dispositions de la
présente loi ou des textes pris pour son application. Elle peut avoir
recours à des experts pour la réalisation de ses missions de
contrôle ;
- et dans l'accomplissement de leur mission de
vérification, les agents de l'autorité nationale, ainsi que les
experts désignés par elle ont, sur justification de leurs
qualités, le droit d'accéder à tout établissement
et de prendre connaissance de tous mécanismes et moyens techniques
relatifs aux services de certification électronique
sécurisée qu'ils estimeront utiles ou nécessaires à
l'accomplissement de leur mission.
A l'heure actuelle, et à défaut de manque de
l'expertise professionnelle dans le domaine du certificat électronique,
le gouvernement n'a pu encore définie l'autorité nationale
responsable de la création d'argument pour les prestataires des
certificats électroniques. Seuls des rumeurs qui laissent propager
l'idée que probablement l'ANRT qui se chargera de l'ANASCE ! Ce qui sera
à découvrir d'ici à l'avenir prochain.
2) Les prestataires de services de certification
électronique
Toujours dans la même loi régissant les
échanges électronique, l'A 20 stipule que << Seuls
les
prestataires de service de certification électronique
agréés dans les conditions fixées par la
31 Dahir n° 1-07-129 du 30 novembre 2007 portant
promulgation de la loi n° 53-05 relative à l'échange
électronique de données juridiques.
présente loi et les textes pris pour son application
peuvent émettre et délivrer les certificats électroniques
sécurisés et gérer les services qui y sont
afférents. »
Alors que l'A21, fixe les conditions d'être
agréé en qualité de prestataire de services de
certification électronique, dont le demandeur de l'agrément doit
être constitué sous forme de société ayant son
siège social sur le territoire du Royaume :
- 1 - remplir des conditions techniques garantissant :
a - la fiabilité des services de certification
électronique qu'il fournit, notamment la sécurité
technique et cryptographique des fonctions qu'assurent les systèmes et
les moyens cryptographiques qu'il propose ;
b - la confidentialité des données de
création de signature électronique qu'il fournit au signataire
;
c - la disponibilité d'un personnel ayant les
qualifications nécessaires à la fourniture de services de
certification électronique ;
d - la possibilité, pour la personne à qui le
certificat électronique a été délivré, de
révoquer, sans délai et avec certitude, ce certificat ;
e - la détermination, avec précision, de la date et
l'heure de délivrance et de révocation d'un certificat
électronique ;
f - l'existence d'un système de sécurité
propre à prévenir la falsification des certificats
électroniques et à s'assurer que les données de
création de la signature électronique correspondent aux
données de sa vérification lorsque sont fournies à la fois
des données de création et des données de
vérification de la signature électronique.
- 2 - être en mesure de conserver,
éventuellement sous forme électronique, toutes les informations
relatives au certificat électronique qui pourraient s'avérer
nécessaires pour faire la preuve en justice de la certification
électronique, sous réserve que les systèmes de
conservation des certificats électronique garantissent que :
a - l'introduction et la modification des données sont
réservées aux seules personnes autorisées à cet
effet par le prestataire ;
b - l'accès du public à un certificat
électronique ne peut avoir lieu sans le consentement préalable du
titulaire du certificat ;
c - toute modification de nature à compromettre la
sécurité du système peut être détectée
;
- 3 - s'engager à :
- 3-1 : vérifier, d'une part, l'identité de la
personne à laquelle un certificat électronique est
délivré, en exigeant d'elle la présentation d'un document
officiel d'identité pour
s'assurer que la personne à la capacité
légale de s'engager, d'autre part, la qualité dont cette personne
se prévaut et conserver les caractéristiques et
références des documents présentés pour justifier
de cette identité et de cette qualité ;
- 3-2 - s'assurer au moment de la délivrance du certificat
électronique :
a) que les informations qu'il contient sont exactes ;
b) que le signataire qui y est identifié
détient les données de création de signature
électronique correspondant aux données de vérification de
signature électronique contenues dans le certificat ;
- 3-3 - informer, par écrit, la personne demandant la
délivrance d'un certificat électronique préalablement
à la conclusion d'un contrat de prestation de services de certification
électronique :
a) des modalités et des conditions d'utilisation du
certificat ;
b) des modalités de contestation et de règlement
des litiges ;
- 3-4 - fournir aux personnes qui se fondent sur un certificat
électronique les éléments de l'information prévue
au point précédent qui leur sont utiles ;
- 3-5 - informer les titulaires du certificat
sécurisé au moins soixante (60) jours avant la date d'expiration
de la validité de leur certificat, de l'échéance de
celui-ci et les inviter à le renouveler ou à demander sa
révocation ;
- 3-6 - souscrire une assurance afin de couvrir les dommages
résultant de leurs fautes professionnelles ;
- 3-7 - révoquer un certificat électronique,
lorsque :
a) il s'avère qu'il a été
délivré sur la base d'informations erronées ou
falsifiées, que les informations contenues dans ledit certificat ne sont
plus conformes à la réalité ou que la
confidentialité des données afférentes à la
création de signature a été violée ;
b) les autorités judiciaires lui enjoignent d'informer
immédiatement les titulaires des certificats sécurisés
délivrés par lui de leur non conformité aux dispositions
de la présente loi et des textes pris pour son application.
Enfin, pour la cessation de ses activités, l'A23
stipule que « Le prestataire de services de certification de signature
électronique qui émet, délivre et gère les
certificats électroniques informe l'administration à l'avance,
dans un délai maximum de deux mois, de sa volonté de mettre fin
à ses activités.
Auquel cas, il doit s'assurer de la reprise de celles-ci par
un prestataire de service de certification électronique garantissant un
même niveau de qualité et de sécurité ou, à
défaut, révoque les certificats dans un délai maximum de
deux mois après en avoir averti les titulaires.
Il informe également l'autorité nationale, sans
délai, de l'arrêt de ses activités en cas de liquidation
judiciaire. »
| 
