المصادقة الإلكترونية كآلية لتعزيز الثقة الرقمية -دراسة على ضوء القانون رقم 43.20- الباحث : يحيى المنصوري
المصادقة الإلكترونية كآلية لتعزيز الثقة الرقمية -دراسة على ضوء القانون رقم 43.20- |
الباحث : يحيى المنصوري
طالب باحث بسلك الدكتوراة مركز دراسات الدكتوراة في العلوم القانونية الاقتصادية الاجتماعية والتدبير كلية العلوم القانونية والسياسية-جامعة ابن طفيل. القنيطرة |
المصادقة الإلكترونية كآلية لتعزيز الثقة الرقمية -دراسة على ضوء القانون رقم 43.20-
“Electronic authentication as a mechanism to enhance digital trust -A study in light of law no 43.20”
الباحث : يحيى المنصوري
طالب باحث بسلك الدكتوراة
مركز دراسات الدكتوراة في العلوم القانونية الاقتصادية الاجتماعية والتدبير
كلية العلوم القانونية والسياسية-جامعة ابن طفيل. القنيطرة
ملخص
يعد التحول الرقمي إحدى أهم الأوراش الاستراتيجية التي تعمل بلادنا على بلورتها وتنزيلها، وتعكس البرامج التي أطلقتها بلادنا تحت القيادة الحكيمة للملك محمد السادس هذه الرغبة القوية في اللحاق بركب الثورة التكنولوجية التي يشهدها العالم، والتي من شأنها المساهمة في تحقيق مختلف المشاريع التنموية، خاصة تلك التي جاء بها النموذج التنموي الجديد، وكذا تحقيق رؤية المغرب الرقمي 2030.
وفي هذا الإطار، وتنفيذا للتعليمات الملكية السامية، عملت إدارة الدفاع الوطني على إعداد القانون رقم 43.20 ومرسومه التطبيقي رقم 2.22.687، واللذان يرى فيهما الوسيلة التي من شأنها تعزيز ثقة الأفراد في المعاملات الرقمية. ومما جاء به القانون السالف الذكر في هذا الإطار، نجد خدمات الثقة والتي تعتبر المصادقة الإلكترونية جزءا منها.
الكلمات المفتاحية
المصادقة الإلكترونية – خدمات الثقة – الثقة الرقمية – السلطة الوطنية
Abstract
The digital transformation is one of the most important strategic priorities that our country is crystallizing and implementing. It reflects the strong desire, under the wise leadership of King Mohammed VI, to keep pace with the technological revolution sweeping the world. The programs launched by our country contribute significantly to achieving various development projects, especially those outlined in the new development model, as well as realizing the Vision of Digital Morocco 2030.
In this context, and in accordance with Royal directives, the National Defense Administration has worked on drafting Law No. 43.20 and its implementing decree No. 2.22.687. These instruments are seen as crucial for enhancing confidence in digital transactions. The aforementioned law includes provisions for trust services, with electronic authentication being a key component thereof.
Key words
Electronic authentication – Trust services – Digital trust – National authority
مقدمة
يعيش عالمنا منذ العشرية الأخيرة من القرن الماضي وإلى غاية يومنا هذا ثورة كبيرة في مجالات التكنولوجيا والمعلوميات والاتصالات، حيث أضحت المجتمعات تعتمد في حياتها اليومية على الأجهزة الإلكترونية ذات التكنولوجيا الحديثة. ومن عوامل انتشار هذه الثورة، شبكة الانترنت التي استطاعت خرق كل الحدود وجعلت من العالم قرية صغيرة وأزالت مجموعة من العوائق التي تواجه البشرية في حياتها اليومية.
وتأثير التكنولوجيا الحديثة على المجتمعات شملت مختلف المجالات، من بينها المجالين الاقتصادي والقانوني، حيث استغنى الأفراد في معاملاتهم عن الوسائل التقليدية ذات الطابع المادي، وأضحو يعتمدون عن الوسائل الحديثة في المعاملات لما توفره من السرعة والجهد، وهو ما أفرز لنا مصطلح “المعاملات الإلكترونية”.
ومع الانتشار الواسع لهذه المعاملات الإلكترونية، طفت إلى السطح مجموعة من الإشكالات، حيث يستغل بعض الناس جهل بعض الأفراد بهذه التقنيات الحديثة ويقومون بتحريف أو تعديل هذه المعاملات، مما يؤدي إلى ضياع حقوقهم، كما يصعب عليهم إثبات هذه الحقوق، خاصة وأن القوانين الجارية لا تتضمن أي حماية لهؤلاء الأفراد؛
وفي ظل هذا الوضع سعت مختلف التشريعات إلى سن قوانين تهدف من جهة إلى منح المعاملات الإلكترونية نفس القوة الثبوتية التي تتمتع بها المعاملات التي تتم بطريقة تقليدية، ومن جهة أخرى إلى حماية المتعاملين إلكترونيا. وكان المشرع المغربي من بين هذه التشريعات، حيث وضع أول إطار قانوني سنة 2007، ويتعلق الأمر بالقانون رقم 53.05 بشأن التبادل الإلكتروني للمعطيات القانونية[1].
وجاء القانون رقم 53.05 بمجموعة من المقتضيات التي تبين من جهة صحة المحررات المعدة بشكل إلكتروني، ومن جهة أخرى تساوي بينها وبين المحرر الورقي[2].
ومعلوم أن ما يمنح الأفراد الثقة تجاه المحررات الورقية هو تذييلها بالتوقيع والمصادقة على هذا التوقيع من الجهات المختصة بذلك[3]، وهذا ما سار إليه المشرع وحاول إعماله حتى بالنسبة للمحررات الإلكترونية، حيث كان المشرع المغربي قد خصص القسم الثاني من القانون رقم 53.05 للنظام القانوني المطبق على التوقيع الإلكتروني المؤمن والتشفير والمصادقة الإلكترونية.
فالمصادقة الإلكترونية تعتبر عنصرا رئيسيا في الثقة الرقمية[4]، وبالرغم مما جاء في القانون رقم 53.05، إلا أن النتائج المحققة تعكس عدم تطور المصادقة الإلكترونية وعدم تلبيتها لتوقعات واحتياجات المواطنين والفاعلين الاقتصاديين أو الإدارات. والواقع أن المقتضيات التي جاء بها القانون رقم 53.05 لم تكن مرنة لتشجيع وتطوير هذه المصادقة الإلكترونية[5].
وبناء على هذه النتائج، تم تطوير مشروع القانون رقم 43.20 بعد الموافقة الملكية السامية، عقب دراسة أجرتها إدارة الدفاع الوطني لتحديد خارطة طريق بشأن تطور عروض المصادقة الإلكترونية ببلادنا[6]، وتمت المصادقة بالإجماع على هذا المشروع من قبل مجلسي البرلمان في دجنبر 2020، قبل أن يتم نشره بالجريدة الرسمية في يناير 2021[7].
فهل استطاع المشرع المغربي من خلال مقتضيات القانون رقم 43.20 المتعلقة بالمصادقة الإلكترونية تجاوز هفوات القانون رقم 53.05 وبالتالي تعزيز الثقة الرقمية؟ أم أن مسألة الثقة في المعاملات الإلكترونية لا تتعلق بتعديل أو سن قوانين جديدة؟
ستكون الإجابة على التساؤلات المطروحة من خلال اعتماد التصميم الآتي:
المحور الأول: الأحكام العامة للمصادقة الإلكترونية
المحور الأول: خدمة المصادقة الإلكترونية وآثارها القانونية
المحور الأول: الأحكام العامة للمصادقة الإلكترونية
جرت العادة في البحوث القانونية أن يتم تخصيص جزء منها لاستعراض ماهية موضوع البحث، وهكذا ارتأينا التطرق بداية لمفهوم المصادقة الإلكترونية (الفقرة الأولى)، على أن نمر بعدها للحديث عن الجهات الساهرة على خدمة المصادقة الإلكترونية (الفقرة الثانية).
الفقرة الأولى: مفهوم المصادقة الإلكترونية
يعتبر مفهوم المصادقة الإلكترونية أحد المفاهيم التي ظهرت مع انتشار استخدام الوسائل التكنولوجية الحديثة في المعاملات اليومية بين الأفراد، خاصة المعاملات القانونية، حيث يقابلها في المعاملات التي تتم بطريقة تقليدية مفهومي “الإشهاد على صحة الإمضاء” و”الإشهاد على مطابقة نسخ الوثائق لأصولها”، والذي يتم من قبل الجماعات والمقاطعات[8].
هذا وقد اعتمد المشرع المغربي في القانون رقم 43.20 مفهوم “إثبات الصحة”، والذي عرفه في المادة الثانية من القانون السالف الذكر بأنه سلسلة من عمليات التحقق أو التأكد من صحة توقيع إلكتروني أو خاتم إلكتروني.
ويعرف التصديق الإلكتروني بأنه وسيلة فنية للتحقق من صحة التوقيع أو المحرر، حيث يتم نسبته إلى شخص أو كيان معين عبر جهة موثوق بها أو طرف محايد يطلق عليه مقدم خدمات التصديق أو مورد خدمات التصديق[9].
ويسمح التصديق الإلكتروني بضمان الصلة بين المنظومة العمومية للتشفير وصاحبها، بحيث يتأكد الطرف المقابل بأن الإمضاء المعين يتعلق بهوية شخص معين دون آخر، والتصديق على التوقيع الإلكتروني من أهم مراحل إبرام العقد الإلكتروني لدوره في إثبات انعقاد العقد والتأكد من صحة ما ورد به من بيانات[10].
وهذا ما يتميز به “إثبات الصحة” أو المصادقة الإلكترونية، على المصادقة التقليدية على التوقيعات، ذلك أنه في الحالة الأولى يستتبع عملية المصادقة إصدار “شهادة التوقيع الإلكتروني”، والتي عرفها المشرع المغربي في المادة الثانية من القانون رقم 43.20 بأنها شهادة إلكترونية تربط معطيات إثبات صحة التوقيع الإلكتروني بشخص ذاتي، والتي تؤكد على الأقل اسم الشخص المذكور، أو اسمه المستعار عند الاقتضاء.
ونص على هذه الشهادة أيضا المشرع المصري في القانون المتعلق بتنظيم التوقيع الإلكتروني وبإنشاء هيئة تنمية صناعة تكنولوجيا المعلومات[11]، وذلك تحت مسمى “شهادة التصديق الإلكتروني”، وعرفها في المادة الأولى من هذا القانون بأنها “الشهادة التي تصدر من الجهة المرخص لها بالتصديق وتثبت الارتباط بين الموقع وبيانات إنشاء التوقيع”.
أما المشرع الفرنسي فقد ميز من خلال المادة الأولى من المرسوم رقم 2001-272[12]، بين الشهادة الإلكترونية والتي عرفها بأنها وثيقة في شكل إلكتروني تشهد على الارتباط بين بيانات التحقق من التوقيع الإلكتروني والموقع[13]، وبين الشهادة الإلكترونية المؤهلة أو المؤمنة والتي اشترط فيها ضرورة استيفاء البيانات الواردة في المادة السادسة من نفس المرسوم[14].
واشار القانون النموذجي بشأن التوقيعات الإلكترونية الذي وضعته لجنة الأمم المتحدة للقانون التجاري الدولي (ألأونسيترال) لسنة 2001 بدوره لهذه الشهادة، وعرفها في المادة الثانية منه بأنها تعني رسالة بيانات أو سجلا آخر يؤكدان الارتباط بين الموقع وبيانات إنشاء التوقيع.
الفقرة الثانية: جهات المصادقة الإلكترونية
إن تقديم خدمة المصادقة الإلكترونية تختلف عن خدمة المصادقة التقليدية، حيث يشترط في مقدم هذه الخدمة مجموعة من الشروط ويتعين عليه اتباع مجموعة من الإجراءات حتى يصبح قادرا على تقديم هذه الخدمة (أولا)، كما أنه يخضع والخدمة التي يقدمها للرقابة من طرف سلطة وطنية تعتبر الجهاز الوصي والساهر على مختلف المعاملات الإلكترونية (ثانيا).
أولا: مقدمو خدمة المصادقة الإلكترونية
تعرف المادة الثانية من القانون النموذجي بشأن التوقيعات الإلكترونية الذي وضعته لجنة الأمم المتحدة للقانون التجاري الدولي (ألأونسيترال) لسنة 2001، مقدم خدمات التصديق الإلكتروني بأنه الشخص الذي يصدر الشهادات ويجوز أن يقدم خدمات أخرى ذات صلة بالتوقيعات الإلكترونية.
ويستعمل المشرع المغربي في ظل القانون رقم 43.20 عبارة “خدمات ثقة” عوض المصادقة الإلكترونية، وهكذا يعرف مقدم خدمات ثقة بأنه كل شخص اعتباري يقدم خدمة أو أكثر من خدمات الثقة ويمكن أن يكون معتمدا أو غير معتمد.
وارتباطا بموضوع البحث “المصادقة الإلكترونية”، فسنركز حديثنا على مقدمي خدمات الثقة المعتمدين، على اعتبار أن لهم وحدهم صلاحية تقديم خدمة مؤهلة لإثبات صحة التوقيعات الإلكترونية المؤهلة[15]، وإصدار شهادات إلكترونية مؤهلة وتسليمها وتدبير العمليات المتعلقة بها[16].
والحصول على الاعتماد من أجل مباشرة مهام تقديم خدمات الثقة، يقتضي أولا استيفاء الشروط الواردة في البند الأول من المادة 33 من القانون رقم 43.20[17]، ثم عبر تقديم طلب للسلطة الوطنية يتم إيداعه مقابل وصل بالتسلم، أو إرساله عن طريق البريد المضمون أو الإرسال الإلكتروني المضمون، مشفوعا بملف يتضمن الوثائق المحددة في الملحق رقم 2 من المرسوم 2.22.687[18].
ونعتبر أن المشرع قد يخلق نوعا من النقاش الفقهي بخصوص صفة مقدم خدمة المصادقة الإلكترونية، فمن جهة استلزم فيه أن يكون في شكل شركة، طبقا للفقرة الأولى من المادة 33 من القانون رقم 43.20، غير أنه من جهة أخرى نجده ينص في الفقرة الثالثة من الفصل 417-3 من قانون الالتزامات والعقود كما غيرت بموجب المادة 76 من القانون رقم 43.20 على أنه “تتمتع كل وثيقة مذيلة بتوقيع إلكتروني مؤهل وبختم زمني إلكتروني مؤهل بنفس قوة الإثبات التي تتمتع بها الوثيقة المصادق على صحة توقيعها والمذيلة بتاريخ ثابت”، ومعلوم أن صلاحية المصادقة على صحة التوقيعات لا يتمتع بها إلا موظفو الجماعات والمقاطعات طبقا للمادتين الأولى والثانية من المرسوم رقم 2.22.047 بتحديد كيفيات الإشهاد على صحة الإمضاء من قبل الجماعات والمقاطعات؛
وقد تطرح هذه الفرضية نفسها بقوة إذا ما استحضرنا نص المادة 34 من القانون رقم 43.20 والتي أشار من خلالها المشرع إلى إمكانية اعتماد السلطة الوطنية لأشخاص اعتبارية خاضعة للقانون العام من أجل تقديم خدمات الثقة.
وقد اعتمدت المديرية العامة لأمن نظم المعلومات جهتين فقط كمقدمي خدمات ثقة مؤهلة، ويتعلق الأمر بكل من Barid Al Maghrib وEurafric Information[19].
هذا ويمكن ان يكون مقدم خدمة المصادقة الإلكترونية مستوطنا بالخارج، وتكون الخدمة التي يقدمها بنفس القيمة القانونية التي تتمتع بها الخدمة المقدمة من قبل مقدم خدمة يوجد مقره داخل التراب الوطني، شريطة أن يكون معترفا به أو بخدمته في إطار اتفاق متعدد الأطراف تعتبر المملكة المغربية طرفا فيه أو اعتراف ثنائي يتعلق بالاعتراف المتبادل بين المملكة وبلد إقامة مقدم الخدمة[20].
ثانيا: اعتماد ومراقبة المصادقة الإلكترونية
معلوم أن التوقيع الإلكتروني لا يكون ذا حجية إلا إذا ثبتت صحته، ويكون ذلك عن طريق خدمة الثقة التي تتولاها الجهات السالفة الذكر، غير أن تولي هذه الجهات القيام بتقديم خدمات الثقة يستلزم بالضرورة حصولها على الاعتماد من لدن السلطة الوطنية لخدمات الثقة بشأن المعاملات الإلكترونية[21].
ويراد بالسلطة الوطنية لخدمات الثقة بشأن المعاملات الإلكترونية في مدلول القانون رقم 43.20، المديرية العامة لأمن نظم المعلومات التابعة لإدارة الدفاع الوطني، ويشار إليها في هذا المرسوم بالسلطة الوطنية[22].
وحسنا فعل المشرع بجعل منح الاعتماد من أجل تقديم خدمات المصادقة الإلكترونية ومراقبة هذه المصادقة بيد جهاز ذو طابع أمني وعسكري، إذ يمكن أن يساهم هذا الأمر في تعزيز الثقة الرقمية لدى الأفراد ويمنحهم نوعا من الطمأنينة تجاه المعاملات الإلكترونية التي يقومون بها، حيث أن ثقة المواطنين في هذه الأجهزة تكون مرتفعة مقارنة بثقتهم في باقي الأجهزة الإدارية المدنية.
وكان المشرع المغربي يعهد بهذه المهمة في ظل المرسوم التطبيقي الأول للقانون رقم 53.05 لمؤسسة مدنية وهي الوكالة الوطنية لتقنين المواصلات[23]، قبل أن يصدر مرسوم تطبيقي مغير ومتمم ويمنح هذه المهمة إلى إدارة الدفاع الوطني[24].
ومازال المشرعان المصري والفرنسي يعهدان بهذه المهام لمؤسسة مدنية، فبالنسبة للأول يتعلق الأمر بهيئة تنمية صناعة تكنولوجيا المعلومات[25]، والثاني يعهد بهذه المهمة لوزير الصناعة[26]، غير أن مراقبة مقدمي هذه الخدمات بالنسبة للتشريع الفرنسي يعهد بها إلى للوكالة الوطنية لأمن نظم المعلومات[27].
وتتولى السلطة الوطنية دراسة ملف طلب الاعتماد، إذ تعين هيئة تعمل على تقييم الوثائق المرفقة بالطلب وتتأكد من استيفاء الشروط والالتزامات المنصوص عليها في المادة 33 من القانون رقم 43.20 ومن احترام قواعد الأمن المطبقة على خدمة الثقة موضوع الطلب المحددة من لدن السلطة الوطنية في الدلائل المرجعية للمتطلبات[28]؛
وتعد الهيئة المذكورة تقريرا عن عملية التقييم التي أجرتها وتبعث بنسخة منه إلى السلطة الوطنية وكذا إلى صاحب طلب الاعتماد من أجل إتمام ملف طلبه[29]، وعلى أساسه تتخذ السلطة الوطنية إما اعتماد صاحب الطلب كمقدم لخدمات الثقة، أو رفض منح الاعتماد.
وإلى جانب منح الاعتماد من أجل تقديم خدمات الثقة المؤهلة، تتولى هذه السلطة الوطنية أيضا تلقي طلب الحصول على شهادة المطابقة لآلية إنشاء التوقيع الإلكتروني المؤهلة، وتتولى أيضا منح هذه الشهادة، وتجديدها باعتبار هذه الآلية أساس الخدمة التي يتم تقديمها، كما سيأتي معنا لاحقا[30].
المحور الثاني: خدمة المصادقة الإلكترونية وآثارها القانونية
بعد موافقة السلطة الوطنية على منح الاعتماد لطالبه، يباشر هذا الأخير مهام تقديم خدمات الثقة، والتي من بينها إثبات صحة التوقيعات الإلكترونية ومنح الشهادة الإلكترونية، وهي التي سنعبر عنها أدناه بتقديم خدمة المصادقة الإلكترونية (الفقرة الأولى)، ومع ما قد يترتب عن هذه الخدمة من آثار قانونية، فارتأينا دراسة هذا الجانب في (الفقرة الثانية).
الفقرة الأولى: تقديم خدمة المصادقة الإلكترونية
تنص الفقرة الثالثة من الفصل 417-3 من ظهير الالتزامات والعقود على أنه “تتمتع كل وثيقة مذيلة بتوقيع إلكتروني مؤهل… بنفس قوة الإثبات التي تتمتع بها الوثيقة المصادق على صحة توقيعها والمذيلة بتاريخ ثابت”، والمشرع المغربي في ظل القانون رقم 53.05 كان يعتمد عبارة “مؤمن” واستبدلها في ظل القانون رقم 43.20 ب عبارة “مؤهل”[31]، وكان المشرع في ظل هذا الفصل بصيغته القديمة يفرض أن يكون التوقيع يستجمع مجموعة من الشروط حتى يكسب صفة توقيع مؤمن، مع ضرورة صدور شهادة إلكترونية مؤمنة تؤكد الأمر؛
وقد حافظ المشرع على هذه المقتضيات في ظل القانون رقم 43.20، حيث ينص في المادة السادسة منه على أن “التوقيع الإلكتروني المؤهل هو توقيع إلكتروني متقدم يجب إنتاجه بواسطة آلية لإنشاء التوقيع الإلكتروني المؤهلة المنصوص عليها في المادة 8 بعده، والذي يستند إلى شهادة مؤهلة للتوقيع الإلكتروني كما هو منصوص عليه في المادة 9 أدناه”.
وآلية إنشاء التوقيع الإلكتروني المؤهلة، هي كل معدات أو برمجيات، أو هما معا، تتضمن العناصر المميزة الخاصة بصاحب التوقيع والمعدة لتوظيف معطيات إنشاء التوقيع الإلكتروني والمستخدمة في إنشائه[32]، ويتعين أن تكون هذه الآلية مثبتة بشهادة المطابقة المسلمة من لدن السلطة، ويجب أن تستجيب لمجموعة من المتطلبات[33].
ومن مستجدات القانون رقم 43.20 أن المشرع جعل تحديد آليات إنشاء التوقيع الإلكتروني حصرا من صميم مهام السلطة الوطنية[34]، وهو المقتضى الذي لم يكن منصوصا عليه في القانون رقم 53.05.
وبعد أن يتم إنشاء التوقيع الإلكتروني بواسطة الآلية السالفة الذكر، وبعد أن يتم تذييل المحرر الإلكتروني بهذا التوقيع، يسلم مقدم خدمة الثقة المعتمد شهادة التوقيع الإلكتروني المؤهلة، والتي تتضمن المعلومات والمعطيات المحددة بمقتضى المادة الثانية من المرسوم رقم 2.22.687[35].
وباعتماد الإجراءات السالفة الذكر، يصبح التوقيع الإلكتروني المؤهل مشهودا على صحته، وذلك بصريح نص المادة 10 من القانون رقم 43.20[36].
وتبقى آخر عملية يتعين على مقدم خدمات الثقة المؤهل إجراءها، هي حفظ التوقيع الإلكتروني المؤهل المصادق على صحته، وذلك باعتماد مساطر وتكنولوجيات تسمح بتمديد موثوقية التوقيع الإلكتروني المؤهل إلى ما بعد الصلاحية التكنولوجية[37]، وهو الشرط الذي تطلب المشرع توفره حتى تكون الوثيقة المحررة إلكترونيا ذات حجية في الإثبات، حيث نص في الفقرة الثانية من الفصل 417-1 من ظهير الالتزامات والعقود على أنه “تقبل الوثيقة المحررة بشكل إلكتروني للإثبات، …، وأن تكون معدة ومحفوظة وفق شروط من شأنها ضمان تماميتها”.
ومدة الحفظ حسب المادة 18 من المرسوم رقم 2.22.687 يتعين ألا تقل عن مدة سبع (7) سنوات، وهو ما أكده أيضا الدليل المرجعي لمتطلبات المطابقة المتعلقة بخدمات الحفظ المؤهلة للتوقيعات والأختام الإلكترونية المؤهلة[38].
هذا وتعتبر التصرفات المتعلقة بالحقوق العينية من بين المستجدات التي جاء بها القانون رقم 43.20، حيث أضحت من ضمن المعاملات التي يمكن أن تتم بطريقة إلكترونية، ويمكن كذلك أن تثبت صحتها إلكترونيا، وقد نصت المادة 31 من المرسوم رقم 2.22.687 على أنه من أجل تطبيق أحكام هذا القانون –أي القانون رقم 43.20 – على التصرفات المتعلقة بالحقوق العينية يتعين أن يصدر قرار عن وزير العدل يحدد فيه مستويات التوقيع الإلكتروني والختم الزمني الإلكتروني المطبقة عليها، وهو القرار الذي لم يصدر بعد.
الفقرة الثانية: الآثار القانونية لخدمة المصادقة الإلكترونية
بعد أن يقوم مقدم خدمات الثقة المعتمد بإثبات صحة التوقيع الإلكتروني، وبعد تسليم شهادة إلكترونية بذلك، فإنه يلتزم بمجموعة من الالتزامات تجاه أطراف المعاملة الإلكترونية (أولا)، وكل إخلال منه بهذه الالتزامات يرتب مجموعة من الجزاءات (ثانيا).
أولا: التزامات مقدمي خدمة المصادقة الإلكترونية
عمل المشرع المغربي من خلال القانون رقم 43.20 وكذا مرسومه التطبيقي رقم 2.22.687 على تحديد الالتزامات التي تقع على عاتق مقدم خدمة إثبات صحة التوقيع الإلكتروني، وسنقسمها إلى التزامات تجاه المستفيد من الخدمة، والتزامات تجاه السلطة الوطنية.
- التزامات تجاه المستفيد:
الالتزام بالإعلام: يعتبر أولى الالتزامات التي تقع على مقدم خدمة المصادقة الإلكترونية تجاه المستفيد منها، حيث تنص المادة 33 من القانون رقم 43.20 على أنه من أجل الحصول على الاعتماد، يجب على مقدم خدمات الثقة أن يلتزم، بإخبار الشخص الذي يرغب في استعمال خدمة ثقة مؤهلة، إخبارا واضحا وشاملا، قبل أي تعاقد معه، بالشروط المتعلقة باستعمال خدمة الثقة المذكورة، بما في ذلك حدود استعمالاتها.
ويتجسد هذا الالتزام أيضا في الحالة التي يقدم فيها مقدم خدمة المصادقة على إنهاء أنشطته، وتعذر استئناف هذه الخدمة من طرف مقدم خدمة آخر يضمن نفس المستوى من الجودة والسلامة، حيث يجوز له إلغاء الشهادة الإلكترونية المتعلقة بخدمة المصادقة داخل أجل أقصاه شهران بعد إخبار أصحابها[39].
ونرى بأن هذا المقتضى فيه تعسف في حق صاحب الشهادة الإلكترونية وباقي أصحاب الحقوق ذوي الصلة بهذه الشهادة، ذلك أن المشرع لم يشترط موافقة هؤلاء الأطراف، كما أنه لم يجعل من ضرورة استئناف الخدمة من طرف مقدم خدمة آخر بنفس المستوى من الجودة والسلامة شرطا أساسيا من أجل قبول إنهاء نشاط مقدم الخدمة[40].
ومن مظاهر هذا الالتزام أيضا ما جاء في الفقرة الثانية من المادة 40 من القانون رقم 43.20 والتي تقضي بإبلاغ مقدم الخدمة للشخص الذاتي أو الاعتباري الذي قدمت له الخدمة بكل مس بالسلامة أو فقدان تمامية من شأنه إلحاق الضرر به.
ومما قد نؤاخذ عليه المشرع أيضا في إطار هذا الالتزام، هو حذفه لمقتضى كان منصوص عليه في إطار القانون رقم 53.05، والذي كان بموجبه مقدم الخدمة ملزما بإخبار الشخص طالب الشهادة الإلكترونية كتابة وقبل إبرام عقد تقديم الخدمة، بكيفيات المنازعة وطرق تسوية الخلافات[41]،
الالتزام بالتحقق من هوية المستفيد من الخدمة: حيث يجب على مقدم خدمة ثقة مؤهلة أن يلتزم بالتحقق بوسائل ملائمة، من هوية الشخص الذاتي أو الاعتباري الذي يسلم له الشهادة الإلكترونية، وعند الاقتضاء، من جميع المعلومات الخاصة بالشخص المذكور[42].
الالتزام بكتمان السر المهني: حيث يلزم مقدمو خدمات الثقة ومستخدموهم بكتمان السر المهني[43]، كما يجب عليهم أن يقوموا بحفظ المعطيات المتعلقة بتقديم خدمة الثقة[44].
- الالتزامات تجاه السلطة الوطنية:
يلتزم مقدم خدمة المصادقة الإلكترونية باعتبارها إحدى خدمات الثقة، تجاه السلطة الوطنية التي منحته الاعتماد من أجل مباشرة هذه الخدمات بمجموعة من الالتزامات
التزام ذو صلة بالاعتماد الممنوح: حيث أن أي تغيير يطرأ على الشروط والعناصر التي على أساسها منحت السلطة الوطنية الاعتماد لمقدم خدمة الثقة، تعين عليه إخبارها به[45].
التزام ذو صلة بآلية إنشاء التوقيع الإلكتروني: حيث تقضي المادة 10 من المرسوم رقم 2.22.687 بأنه يتعين على مقدم خدمة الثقة المستفيد من شهادة المطابقة لآلية إنشاء التوقيع الإلكتروني المؤهلة إخبار السلطة الوطنية فورا بأي تعديل أو تطوير أو تحيين تم إجراؤه على هذه الآلية، مع إرفاق هذا الإخبار بتقرير تحليل المخاطر والآثار المترتبة عنها.
التزام ذو صلة بخدمة الثقة المقدمة: إذ تقضي الفقرة الأولى من المادة 40 من القانون رقم 43.20 بوجوب تبليغ مقدم خدمة الثقة السلطة الوطنية بكل مس بالسلامة أو فقدان التمامية، والذي من شأنه أن يؤثر على الخدمة المقدمة أو على المعطيات ذات الطابع الشخصي المحفوظة في هذه الخدمة.
ويتم التبليغ في هذه الحالة وفق الكيفيات المحددة في الدليل المرجعي لإدارة حوادث الأمن السيبراني[46].
وأيضا من ضمن الالتزامات ذات الصلة بخدمة الثقة المقدمة، نجد التزام مقدم الخدمة بإخبار السلطة الوطنية مسبقا في حال رغبته بإنهاء أنشطته داخل أجل لا يقل عن شهرين[47].
ونؤاخذ المشرع المغربي على هذه النقطة أيضا، لأنها لا تعكس أي حماية للمستفيد من خدمة الثقة، فهو لم يفرض على مقدم الخدمة ضرورة الحصول على موافقة من طرف السلطة الوطنية من أجل إنهاء النشاط واكتفى فقط بإجراء الإخبار، عكس المشرع المصري الذي يفرض من خلال الفقرة الأخيرة من المادة 19 من قانون التوقيع الإلكتروني ضرورة الحصول على موافقة كتابية من الهيئة[48].
ثانيا: جزاء الإخلال بالالتزامات
تسهر السلطة الوطنية على احترام مقدمي خدمات الثقة للالتزامات الملقاة على عاتقهم[49]، ويمكنها إما تلقائيا أو بناء على طلب من أي شخص يهمه الأمر، أن تراقب أو تعمل على مراقبة مطابقة أنشطة مقدم خدمات الثقة لأحكام القانون والنصوص المتخذة لتطبيقه[50]، وذلك عن طريق أعوانها والخبراء المفوضين من لدنها[51]. وقد رتب المشرع المغربي على إخلال مقدم خدمات الثقة بهذه الالتزامات مجموعة من الجزاءات، وذلك كالآتي:
الإخلال بالالتزامات ذات الصلة بالاعتماد الممنوح: إذ أنه في حالة تضمن تقرير أعوان السلطة الوطنية، بمناسبة قيامهم بمهام المراقبة، ما يفيد كون مقدم خدمات الثقة المعتمد لم يعد يستوفي أحد الشروط المنصوص عليها في المادة 33 من القانون رقم 43.20، والتي على أساسها تم منحه الاعتماد، أو أن نشاطه غير مطابق لأحكام القانون السالف الذكر، فإنها توجه إليه إعذارا من أجل التقيد بالشروط والأحكام المذكورة داخل الأجل الذي تحدده، وفي حالة عدم استجابته تقوم السلطة الوطنية بسحب الاعتماد منه وتشطب عليه من سجل مقدمي الخدمات المعتمدين، وينشر مستخرج من مقرر سحب الاعتماد بالجريدة الرسمية[52].
وعلاوة على الجزاء المدني السالف الذكر، فقد قرر المشرع المغربي جزاء جنائي أيضا على كل مقدم خدمة ثقة أخل بهذه الالتزامات، حيث يعاقب بالحبس من ثلاثة أشهر إلى سنة وبغرامة من 100.000 إلى 500.000 درهم[53].
الإخلال بالتزام كتمان السر المهني: في هذا الإطار تنص المادة 64 من القانون رقم 43.20 على أنه “دون الإخلال بالعقوبات الجنائية الأشد المنصوص عليها في التشريع الجاري به العمل، يعاقب بالحبس من شهر إلى ستة أشهر وبغرامة من 20.000 إلى 50.000 درهم، كل مقدم خدمة ثقة أو أحد مستخدميه أفشى المعلومات المعهود بها إليه في إطار ممارسة أنشطته أو وظائفه أو حرض على إفشائها أو ساهم في ذلك”.
وما يمكن مؤاخذة المشرع المغربي عليه في هذا الصدد هو أنه كان في ظل القانون رقم 53.05، يرتب إلى جانب المسؤولية الجنائية، مسؤولية مدنية[54]، وهو ما لا نجده منصوصا عليه في ظل القانون رقم 43.20.
وفي حالة الاخلال بواجب حفظ المعطيات المتعلقة بتقديم خدمة الثقة، فالعقوبة هي الغرامة من 50.000 إلى 100.000 درهم[55].
الاخلال بالتزام إخبار السلطة الوطنية في حالة المس بالسلامة أو فقدان التمامية حيث يعاقب المشرع المغربي على هذا الاخلال بالحبس من ثلاثة إلى ستة أشهر وبغرامة من 10.000 إلى 100.000 درهم[56].
الاخلال بالتزام إخبار السلطة الوطنية في حالة الرغبة في إنهاء النشاط: حيث يعاقب المشرع المغربي على هذا الاخلال بغرامة من 50.000 درهم إلى 100.000 درهم[57].
ونرى بأن العقوبة المقررة عن هذا الإخلال هي عقوبة مخففة مقارنة بجسامته وما قد يترتب عنه من آثار قد تخل بالعلاقات التعاقدية، كما أن تراجع المشرع على العقوبة الحبسية التي كانت مقررة عن هذا الإخلال في ظل القانون رقم 53.05[58]، بالرغم من الرفع من قيمة الغرامة، نعتبره خطوة غير محسوبة المخاطر، عكس المشرع المصري الذي مازال يعاقب على هذا الإخلال بالإضافة إلى الغرامة بعقوبة حبسية[59].
وبالإضافة إلى التراجع عن العقوبة الحبسية، يمكن مؤاخذة المشرع المغربي أيضا عن تراجعه عن الجزاء المدني الذي كان يرتبه على هذا الإخلال في ظل القانون رقم 53.05، حيث كان يتعرض مرتكب هذا الإخلال للمنع من ممارسة كل نشاط يتعلق بتقديم خدمات المصادقة الإلكترونية لدة خمس سنوات[60].
خاتمة:
إن تهيئة وتوفير البيئة من أجل اللحاق بركب الثورة التكنولوجية كان ولازال الهدف الرئيسي للمشرع المغربي ولكافة الفعاليات من أجل الدفع بالأفراد وتشجعيهم على التعاقد الإلكتروني، ولن يتأتى ذلك إلا بضمان مستوى عال من الأمن والخصوصية للأفراد في معاملاتهم الإلكترونية، وبالتالي تعزيز الثقة الرقمية، وهذا كان هو الهدف الذي دفع بالمشرع المغربي إلى تغيير عديد أحكام القانون رقم 53.05 بسن القانون رقم 43.20.
وفي علاقة بموضوع ورقتنا البحثية “المصادقة الإلكترونية”، باعتبارها إحدى الآليات التي من شأنها تعزيز ثقة الأفراد في المعاملات الإلكترونية، فنعتبر أن المشرع لم يأتي بجديد على مستوى القانون رقم 43.20 وعمل فقط على نقل ذات الأحكام التي كانت تنظم هذه المصادقة على مستوى القانون رقم 53.05، اللهم بعض الأحكام التي ربطها بالقانون رقم 05.20 المتعلق بالأمن السيبراني والتي من شأنها إضفاء نوع من الحماية على الوثائق المصادق عليها إلكترونيا.
غير أن عدم تحديد المشرع المغربي للجهة القضائية المختصة بالبت في المنازعات التي قد تنشأ بمناسبة تطبيق أحكام القانون رقم 43.20، نعتبره تقصيرا من المشرع في تقرير الحماية لفائدة المستفيدين من خدمات الثقة بصفة عامة وخدمة المصادقة الإلكترونية بصفة خاصة.
وإجمالا فما يمكن قوله عن الحماية المقررة للمستفيدين من خدمة المصادقة الإلكترونية، هو كونها حماية ناقصة، فباستبشارنا خيرا بمنح المشرع المغربي لإدارة الدفاع الوطني ممثلة بالمديرية العامة لأمن نظم المعلومات مهمة الرقابة على هذه الخدمة ومقدموها، إلا أن تراجع المشرع عن تقرير الجزاء المدني والعقوبة الحبسية في عديد الالتزامات، يدفعنا للقول بأننا نبتعد أكثر عن مسألة تعزيز الثقة الرقمية.
وكنقطة أخيرة نعتبر بأن مسألة تعزيز الثقة الرقمية وتحقيق رؤية المغرب الرقمي لسنة 2030 لا تتعلق بسن قوانين وتعديل أخرى فحسب، بل إن الأمر مرتبط أساسا بالتحسيس والتوعية بدور هذا الانتقال الرقمي من جهة، ثم العمل على وضع برامج لمحاربة الأمية الرقمية من جهة أخرى.
لائحة المراجع
- باللغة العربية
الكتب:
- أيمن سعد سليم “التوقيع الإلكتروني-دراسة مقارنة”، دار النهضة العربية، القاهرة، مصر، 2004.
- محمد حسين منصور “الإثبات التقليدي والإلكتروني”، دار الفكر الجامعي، الإسكندرية، مصر، 2006.
المقالات:
- أنجوم عمر- حموش عبد الرحمان “المنظومة القانونية الحمائية لإرساء الثقة الرقمية”، مقال منشور بمجلة القانون والأعمال، عدد خاص، سنة 2018.
- الشرقاوي القرقار “التوقيع الإلكتروني وحجيته في الإثبات بين التشريع الوطني والقوانين الدولية”، مجلة منازعات الأعمال، المجلد 7، العدد 58، أكتوبر 2020.
- ضياء نعمان “المصادقة الإلكترونية على ضوء قانون التبادل الإلكتروني للمعطيات القانونية”، المجلة المغربية للدراسات القانونية والقضائية، العدد الأول، 2009.
المواقع الإلكترونية:
- الموقع الإلكتروني للمديرية العامة لأمن نظم المعلومات dgssi.gov.ma
الظهائر والمراسيم:
- ظهير 12 غشت 1913 (ظهير الالتزامات والعقود)
- ظهير شريف رقم 1.07.129 صادر في 19 من ذي القعدة 1428 (30 نوفمبر 2007) بتنفيذ القانون رقم 53.05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية، الجريدة الرسمية عدد 5584 بتاريخ 25 ذو القعدة 1428 (6 ديسمبر 2007)، ص 3879.
- المرسوم رقم 2.13.881 الصادر في 28 ربيع الأول 1436 (20 يناير 2015) بتغيير وتتميم المرسوم رقم 2.08.518.
- ظهير شريف رقم 1.20.100 صادر في 16 من جمادى الأولى 1442 (31 ديسمبر 2020) بتنفيذ القانون رقم 43.20 المتعلق بخدمات الثقة بشأن المعاملات الإلكترونية، الجريدة الرسمية عدد 6051 في 27 جمادى الأولى 1442 (11 يناير 2021)، ص 271.
- المرسوم رقم 2.22.047 صادر في 8 ذي القعدة 1443 (8 يونيو 2022) بتحديد كيفيات الإشهاد على صحة الإمضاء من قبل الجماعات والمقاطعات.
- المرسوم رقم 2.22.048 صادر في 8 ذي القعدة 1443 (8 يونيو 2022) بتحديد كيفيات الإشهار على مطابقة نسخ الوثائق لأصولها.
- المرسوم رقم 2.22.687 صادر في 21 ربيع الآخر 1444 (16 نوفمبر 2022) بتطبيق القانون رقم 43.20 المتعلق بخدمات الثقة بشأن المعاملات الإلكترونية، الجريدة الرسمية عدد 7160 بتاريخ 19 جمادى الآخرة 1444 (12 يناير 2023)، ص 286.
القوانين الأجنبية:
- القانون رقم 15 لسنة 2004 بتنظيم التوقيع الإلكتروني وبإنشاء هيئة تنمية صناعة تكنولوجيا المعلومات، الجريدة الرسمية عدد 17 تابع (د) في 22 أبريل سنة 2004.
- باللغة الفرنسية
Articles:
- Mohamed Dyaa « le commerce électronique au maroc », les éditions maghrébines, 2008.
Décret:
- Décret numéro 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civile et relatif à la signature électronique.
Références:
- Direction générale de la sécurité des systèmes d’information «Référentiels d’exigences relatifs aux services de confiance qualifiés et aux prestataires fournissant ces services».
- Direction générale de la sécurité des systèmes d’information « Guide de gestion des risques de la sécurité des systèmes d’information »
[1] ظهير شريف رقم 1.07.129 صادر في 19 من ذي القعدة 1428 (30 نوفمبر 2007) بتنفيذ القانون رقم 53.05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية، الجريدة الرسمية عدد 5584 بتاريخ 25 ذو القعدة 1428 (6 ديسمبر 2007)، ص 3879.
ويعتبر صدور القانون رقم 53.05 خلاصة لمجهودات اللجنة بين الوزارية الخاصة بتنمية وتأهيل التجارة الإلكترونية والتي قامت بمجهودات كبيرة في معالجة الكثير من المجالات والنواحي المرتبطة بالتجارة الإلكترونية، أفضت إلى وضع تقرير شامل يخص التدابير والإجراءات الواجب اتخاذها من أجل النهوض بالتجارة الإلكترونية والعمل على تنميتها، وعلى الأخص منها وضع مشاريع نصوص قصد اعتمادها من قبل المشرع المغربي، أخذا بعين الاعتبار المحيط القانوني الدولي. وتبعا لمجهودات هذه اللجنة وما تلاها من جهود قيمة ضمنت في إطار استراتيجية وطنية سميت ب “المغرب الرقمي 2013″، بادر المشرع المغربي إلى سن القانون رقم 53.05.
عمر أنجوم-عبد الرحمان حموش “المنظومة القانونية الحمائية لإرساء الثقة الرقمية”، مقال منشور بمجلة القانون والأعمال، عدد خاص، سنة 2018، ص 41-42.
[2] حيث خصص القسم الأول من القانون رقم 53.05 كاملا لصحة المحررات المعدة بشكل إلكتروني أو الموجهة بطريقة إلكترونية. ونص المشرع صراحة في الفصل 417-1 على أنه “تتمتع الوثيقة المحررة على دعامة إلكترونية بنفس قوة الإثبات التي تتمتع بها الوثيقة المحررة على الورق”.
[3] فللتوقيع دور رئيسي في إضفاء القوة القانونية الملزمة التي تتمتع بها الأدلة الكتابية في معظم القوانين التي تأخذ بقاعدة الإثبات الكتابي، لما تحققه هذه الأدلة من مزايا إيجابية وما توفره من ضمانات للأطراف.
الشرقاوي القرقار “التوقيع الإلكتروني وحجيته في الإثبات بين التشريع الوطني والقوانين الدولية”، مجلة منازعات الأعمال، المجلد 7، العدد 58، أكتوبر 2020، ص 11.
[4] خاصة إذا علمنا أن بلادنا باعتمادها على النموذج التنموي الجديد المرفوع إلى جلالة الملك في ماي 2021، فإنها تراهن على التحول الرقمي كرافعة أساسية لتحقيق النمو الاقتصادي والاجتماعي، وفي ذات السياق فإن القانون رقم 55.19 المتعلق بإصلاح الإدارة وتبسيط المساطر والإجراءات الإدارية، يراهن بدوره على التحول الرقمي من أجل تحقيق وتنزيل مختلف أهدافه.
[5] مقال منشور على الموقع الإلكتروني لإدارة الدفاع الوطني (المديرية العامة لأمن نظم المعلومات) بمناسبة مصادقة البرلمان على نص القانون رقم 43.20 المتعلق بخدمات الثقة بشأن المعاملات الإلكترونية. www.dgssi.gov.maتم الاطلاع عليه بتاريخ 2 مارس 2024.
[6] المرجع نفسه.
[7] ظهير شريف رقم 1.20.100 صادر في 16 من جمادى الأولى 1442 (31 ديسمبر 2020) بتنفيذ القانون رقم 43.20 المتعلق بخدمات الثقة بشأن المعاملات الإلكترونية، الجريدة الرسمية عدد 6051 في 27 جمادى الأولى 1442 (11 يناير 2021)، ص 271.
[8] المادة الأولى من المرسوم رقم 2.22.047 صادر في 8 ذي القعدة 1443 (8 يونيو 2022) بتحديد كيفيات الإشهاد على صحة الإمضاء من قبل الجماعات والمقاطعات.
المادة الأولى من المرسوم رقم 2.22.048 صادر في 8 ذي القعدة 1443 (8 يونيو 2022) بتحديد كيفيات الإشهار على مطابقة نسخ الوثائق لأصولها.
[9] محمد حسين منصور “الإثبات التقليدي والإلكتروني”، دار الفكر الجامعي، الإسكندرية، مصر، 2006، ص 289.
[10] Mohamed Dyaa « le commerce électronique au maroc », les éditions maghrébines, 2008, p 118.
[11] القانون رقم 15 لسنة 2004 بتنظيم التوقيع الإلكتروني وبإنشاء هيئة تنمية صناعة تكنولوجيا المعلومات، الجريدة الرسمية عدد 17 تابع (د) في 22 أبريل سنة 2004، ص 17.
[12] Décret numéro 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civile et relatif à la signature électronique
[13] Article 1 « Au sens du présent décret, on entend par :
… ;
- Certificat électronique : un document sous forme électronique attestant du lien entre données de vérification de signature ; »
[14] Article 1 « Au sens du présent décret, on entend par :
… ;
- Certificat électronique qualifié : un certificat électronique répondant aux exigences définis à l’article ; »
[15] الفقرة الأولى من المادة 11 من القانون رقم 43.20
[16] المادة 32 من القانون رقم 43.20
[17] جاء في البند الأول من المادة 33 من القانون رقم 43.20 أنه “من أجل الحصول على الاعتماد، يجب على مقدم خدمات الثقة:
أولا-أن يستوفي الشروط التالية:
أ) أن يكون مؤسسا في شكل شركة خاضعة للقانون المغربي؛
ب) أن يستعمل نظما ومعدات وبرمجيات موثوقا بها، ويضمن سلامتها التقنية وموثوقية سلسلة من العمليات المتكفل بها؛
=
=
ج) أن يوظف مستخدمين، وأن يلجأ عند الاقتضاء إلى مقاولين من الباطن، لهم التجربة والمؤهلات اللازمة في مجال تقديم خدمات الثقة؛
د) أن يكتتب تأمينا لتغطية الأضرار التي يمكن أن تلحق كل شخص ذاتي أو اعتباري بسبب خطأه المهني؛
ه) أن يتوفر على مخطط لضمان استمرارية الخدمة، يتضمن مجموع الحلول البديلة لإبطال مفعول انقطاعات الأنشطة، وحماية الوظائف من الآثار الناجمة عن الاختلالات الأساسية للنظم أو عن الكوارث، وضمان استئناف عمل هذه الوظائف في أقرب الآجال.”
[18] المادة 13 من المرسوم رقم 2.22.687
[19] www.dgssi.gov.ma/ar/prestations-et-produits-reglementes الموقع الإلكتروني للمديرية العامة لأمن نظم المعلومات، بوابة الخدمات والمنتجات، تم الاطلاع عليه بتاريخ 4 مارس 2024.
[20] المادة 36 من القانون رقم 43.20.
وقد كان المشرع الفرنسي بدوره سباقا لهذا المقتضى حينما نص في المادة السابعة من المرسوم المتعلق بتطبيق المادة رقم 1316-4 من القانون المدني المتعلقة بالتوقيع الإلكتروني على ما يلي:
« Un certificat électronique délivré par un prestataire de services de certification électronique établi dans un Etat n’appartenant pas à la Communauté européenne a la même valeur juridique que celui délivré par un prestataire établi dans la Communauté, dès lors :
- a) Que le prestataire satisfait aux exigences fixées au II de l’article 6 et a été accrédité, au sens de la directive du 13 décembre 1999 susvisée, dans un Etat membre ;
- b) Ou que le certificat électronique délivré par le prestataire a été garanti par un prestataire établi dans la Communauté et satisfaisant aux exigences fixées au II de l’article 6 ;
- c) Ou qu’un accord auquel la Communauté est partie l’a prévu ».
[21] حيث تنص المادة 52 من القانون رقم 43.20 على أنه “يعهد إلى السلطة الوطنية لخدمات الثقة بشأن المعاملات الإلكترونية، علاوة على الاختصاصات المسندة إليها بموجب مواد أخرى من هذا القانون، بالمهام التالية:
- …؛
- اعتماد مقدمي خدمات الثقة المؤهلة ومراقبة أنشطتهم؛
- …”
[22] المادة الأولى من المرسوم رقم 2.22.687 صادر في 21 ربيع الآخر 1444 (16 نوفمبر 2022) بتطبيق القانون رقم 43.20 المتعلق بخدمات الثقة بشأن المعاملات الإلكترونية، الجريدة الرسمية عدد 7160 بتاريخ 19 جمادى الآخرة 1444 (12 يناير 2023)، ص 286.
[23] تنص المادة 21 من المرسوم رقم 2.08.518 الصادر في 25 جمادى الأولى 1430 (21 ماي 2009) على أنه “يجوز للأشخاص المستجيبين للشروط المحددة بموجب أحكام المادة 21 من القانون المشار إليه رقم 53.05 وحدهم إيداع طلب إلى الوكالة الوطنية لتقنين المواصلات، من أجل إرسال وتسليم شهادات المصادقة الإلكترونية المؤمنة وتدبير الخدمات المرتبطة بها”.
[24] تنص المادة الثانية من المرسوم رقم 2.13.881 الصادر في 28 ربيع الأول 1436 (20 يناير 2015) بتغيير وتتميم المرسوم رقم 2.08.518، على أنه “تحل عبارة السلطة الحكومة المكلفة بإدارة الدفاع الوطني (المديرية العامة لأمن نظم المعلومات) … وكذا محل عبارة “الوكالة الوطنية لتقنين المواصلات…”.
ونصت المادة الثالثة من ذات المرسوم على أنه “يراد بالسلطة الوطنية المنصوص عليها في القانون السالف الذكر رقم 53.05 السلطة الحكومية المكلفة بإدارة الدفاع الوطني (المديرية العامة لأمن نظم المعلومات)”.
[25] وهي هيئة حكومية تابعة لوزارة الاتصالات وتكنولوجيا المعلومات، يعهد إليها بناء على المادتين الرابعة و19 من قانون التوقيع الإلكتروني بإصدار وتجديد التراخيص اللازمة لمزاولة أنشطة خدمات التوقيع الإلكتروني والترخيص بمزاولة نشاط إصدار شهادات التصديق الإلكتروني.
غير أنه من بين أعضاء هذه الهيئة ممثلين عن وزارة الدفاع والداخلية وجهاز المخابرات (المادة 8 من قانون التوقيع الإلكتروني)
[26] Article 7 de décret numéro 2001-272 du 30 mars 2001 «… Cette qualification, qui vaut présomption de conformité auxdites exigences, est délivrée par les organismes ayant reçu à cet effet accréditation délivrée par une instance désignée par arrêté du ministre chargé de l’industrie…
L’arrêté du ministre chargé de l’industrie prévu à l’alinéa précédent détermine la procédure d’accréditation des organismes et la procédure d’évaluation et de qualification des prestataires de services de certification électronique »
[27] Article 9 de décret numéro 2001-272 du 30 mars 2001 «…Le contrôle des prestataires visés au I est effectué par l’Agence nationale de la sécurité des systèmes d’information… »
[28] الفقرة الأولى من المادة 14 من المرسوم رقم 2.22.687
[29] الفقرة الثالثة من المادة 14 من المرسوم رقم 2.22.687
[30] المواد 8 و9 و11 من المرسوم رقم 2.22.687
[31] المادة 77 من القانون رقم 43.20.
[32] البند العاشر من المادة الثانية من القانون رقم 43.20
[33] تنص المادة 8 من القانون رقم 43.20 على أن “آلية إنشاء التوقيع الإلكتروني المؤهلة هي آلية إنشاء التوقيع الإلكتروني المثبتة بشهادة للمطابقة مسلمة من لدن السلطة الوطنية ويجب أن تستجيب هذه الآلية للمتطلبات التالية:
– أن تتضمن بوسائل تقنية وإجراءات ملائمة، عدم إمكانية التوصل إلى معطيات إنشاء التوقيع الإلكتروني عن طريق الاستنباط، وإمكانية حماية التوقيع الإلكتروني من أي تزوير، بكيفية موثوق بها وبواسطة الوسائل التقنية المتاحة؛
– أن تضمن بوسائل تقنية وإجراءات ملائمة، أن معطيات إنشاء التوقيع الإلكتروني لا يمكن إعدادها أكثر من مرة واحدة وتكون سريتها مضمونة ويمكن حمايتها من قبل صاحب التوقيع بكيفية مقبولة من أي استعمال من لدن الغير؛
– ألا تؤدي إلى أي تلف لمحتوى الوثيقة الإلكترونية المراد توقيعها أو تغييره، وألا تشكل عائقا يحول دون أن يكون لصاحب التوقيع إلمام تام بمحتوى الوثيقة قبل توقيعها”.
[34] تنص الفقرة الثالثة من المادة 8 من القانون رقم 43.20 على أنه “تقوم السلطة الوطنية بنشر لائحة آليات إنشاء التوقيع الإلكتروني المؤهلة على موقع الانترنت الخاص بها”
وتنص الفقرة الثانية من المادة 9 من المرسوم رقم 2.22.687 على أنه “لأجل تطبيق الفقرة الثالثة من المادة 8 والفقرة الثالثة من المادة 17 من القانون السالف الذكر رقم 43.20، تقوم السلطة الوطنية بتحيين لائحة آليات إنشاء التوقيع الإلكتروني المؤهلة وآليات إنشاء الخاتم الإلكتروني المؤهلة التي تنشرها على موقع الانترنت الخاص بها…”
وبالفعل فبالاطلاع على الموقع الإلكتروني لمديرية أمن نظم المعلومات نجدها اعتمدت ثلاث آليات لإنشاء التوقيع الإلكتروني المؤهلة، وهي آليات تعود لمطورين أجانب، وهنا قد يطرح سؤال المعطيات الشخصية للمواطنين المغاربة وخطورة استخدامها من طرف هؤلاء المطورين، خاصة وأن صلاحية مهاهم لا تتجاوز مدة 5 سنوات.
وهو نفس المقتضى الذي يأخذ به المشرع الفرنسي في المرسوم المتعلق بتطبيق المادة رقم 1316-4 من القانون المدني المتعلقة بالتوقيع الإلكتروني، حيث ينص في الفقرة الثانية من المادة 3 من المرسوم المذكور على أنه: =
=
«Un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définis au
- Soit par le Premier ministre, dans les conditions prévues par le décret n° 2002-235 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information. La délivrance du certificat de conformité est rendue publique.
- Soit par un organisme désigné à cet effet par in Etat membre de la communauté européenne. »
[35] تنص المادة الثانية من المرسوم رقم 2.22.687 على أنه “تطبيقا لأحكام المادة 9 من القانون السالف الذكر رقم 43.20، تتضمن شهادة التوقيع الإلكتروني المؤهلة التي يسلمها مقدم خدمات ثقة معتمد، على الخصوص، المعطيات والمعلومات التالية:
– الرمز التعريفي الفريد للشهادة؛
– التسمية أو الاسم التجاري لمقدم خدمات الثقة المعني وبلد مقره الرئيسي، وكذا رقم التعريف الموحد للمقاولة أو رقم قيده في السجل التجاري؛
– تاريخ بداية مدة صلاحية الشهادة ونهايتها؛
– اسم صاحب الشهادة أو اسمه المستعار عند الاقتضاء، وفي حالة استعمال اسم مستعار يتعين الإشارة إلى ذلك بطريقة واضحة؛
– المعطيات المتعلقة بالتحقق من صحة التوقيع الإلكتروني والتي ترتبط بمعطيات إنشاء التوقيع الإلكتروني؛
– موقع الخدمات التي تمكن من الاطلاع على صلاحية الشهادة؛
– الموقع الذي يمكن من الحصول بالمجان على الشهادة الإلكترونية التي يستند إليها التوقيع الإلكتروني المتقدم أو الخاتم الإلكتروني المتقدم لمقدم خدمات الثقة المعني؛
– إشارة تدل، على الأقل بشكل يتلاءم مع المعالجة الآلية، على أنها شهادة توقيع إلكتروني مؤهلة؛
– عندما تتواجد معطيات إنشاء التوقيع الإلكتروني المرتبطة بمعطيات إثبات صحة التوقيع الإلكتروني، في آلية مؤهلة لإنشاء التوقيع الإلكتروني، يتم الإشارة إلى ذلك على الأقل بشكل يتلاءم مع المعالجة الآلية؛
– التوقيع الإلكتروني المتقدم أو الخاتم الإلكتروني المتقدم لمقدم خدمات الثقة المعني”.
وقد أصدرت الأمم المتحدة نموذجا لشهادة المصادقة على التوقيع الإلكتروني، وهو نموذج صادر من الهيئة الدولية للاتصالات التابعة للأمم المتحدة، وأيا ما كان شكل شهادة المصادقة على التوقيع فإنها تحتاج لإصدارها من الناحية العملية أن تمر بمراحل معينة، هي أن يبلغ صاحب الشأن الجهة المختصة بالمصادقة على التوقيع بالمفتاح العام للموقع، بعد ذلك تقوم هذه الجهة بفحص هوية وأهلية صاحب المفتاح العام (الموقع)، بناءً على المعلومات الموجودة لديها، والتي تكون قرينة كل مفتاح عام مسجل لديها، ثم بعد ذلك تعد هذه الجهة شهادة إلكترونية لإثبات هوية الموقع، تثبت فيها اتصال المفتاح العام بالموقع، ثم ترسل بهذه الشهادة بطريقة إلكترونية إلى صاحب الشأن الذي طلبها، وحتى تضمن له صحة هذه الشهادة توقع هذه الجهة على هذه الشهادة توقيعًا إلكتروني.
أيمن سعد سليم “التوقيع الإلكتروني-دراسة مقارنة”، دار النهضة العربية، القاهرة، 2004، ص 35.
[36] تنص المادة 10 من القانون رقم 43.20 على أنه “تؤكد عملية إثبات صحة توقيع إلكتروني مؤهل صحة هذا التوقيع، شريطة:
– أن تكون الشهادة التي استند إليها التوقيع، أثناء التوقيع، شهادة مؤهلة للتوقيع الإلكتروني وفقا لأحكام المادة 9؛
– أن تكون الشهادة المؤهلة مسلمة من لدن مقدم خدمات ثقة معتمد وصالحة أثناء التوقيع؛
– أن تكون معطيات إثبات صحة التوقيع مطابقة للمعطيات التي تم إرسالها إلى الطرف المستعمل؛
– أن تقدم بشكل صحيح للطرف المستعمل المجموعة الفريدة للمعطيات التي تدل على صاحب التوقيع في الشهادة؛
– أن يتم، في حالة استعمال اسم مستعار أثناء التوقيع، إخبار الطرف المستعمل بذلك بشكل واضح؛
– أن يتم إنشاء التوقيع الإلكتروني بواسطة آلية لإنشاء التوقيع الإلكتروني مؤهلة وأن يتم استيفاء الشروط المنصوص عليها في المادة 5 من هذا القانون عند التوقيع؛
– ألا يشوب تمامية المعطيات الموقعة أي اختلال.
علاوة على ذلك، يجب أن يقدم النظام المستعمل لإثبات صحة التوقيع الإلكتروني المؤهل إلى الطرف المستعمل النتيجة الصحيحة لسلسلة عمليات إثبات الصحة وأن يسمح له برصد أي مشكل وجيه يتعلق بسلامة سلسلة العمليات المذكورة”.
[37] المادة 12 من القانون رقم 43.20.
[38] Direction générale de la sécurité des systèmes d’information «Référentiels d’exigences relatifs aux services de confiance qualifiés et aux prestataires fournissant ces services»
« Conformément à l’article 18 du décret n° 2.22.687, le PSCo agréé du service de validation qualifié est tenu de conserver pendant une durée minimale de sept (7) ans, toutes les informations pertinentes concernant les données délivrées et reçues dans le cadre de la fourniture du service de validation, notamment afin de pouvoir assurer le service et le cas échéant fournir des preuves suffisantes en cas de litige ».
[39] الفقرة الثانية من المادة 37 من القانون رقم 43.20
[40] بخصوص هذا المقتضى نجد رأيا لأحد الباحثين يرى فيه بأن صاحب الشهادة له الحق في الاعتراض على هذا الإلغاء أو التحويل لمقدم خدمة آخر، وأعطى مثالا عن ذلك وهو في حالة إذا تم إصدار شهادة مصادقة إلكترونية بخصوص صفقة استيراد لأي سلعة من دولة أخرى، ولا زالت الصفقة قيد التنفيذ وربما تتجاوز مهلة الشهران التي قد يتم إلغاء الشهادة خلالها، فمن حق الأطراف الأخرى في هذه الصفقة والتي اعتمدت على الشهادة محل التحويل أن تتبع هذا التحويل للشهادة لأنها دليل صحة على قيام العقد وإثبات وجوده الذي لا زالت أثاره قيد التنفيذ لم تنتهي بعد، ولذلك يحق لصاحب الشهادة رفض تحويلها متى رأى أن عملية التحويل سوف تضر بمركزه وسط عملائه أو تربك معاملاته المالية أو تعود بالضرر على الأشخاص الآخرين الذين يتعامل معهم.
ضياء نعمان “المصادقة الإلكترونية على ضوء قانون التبادل الإلكتروني للمعطيات القانونية”، المجلة المغربية للدراسات القانونية والقضائية، العدد الأول، 2009، ص 131.
[41] البند الثالث من الفقرة الثالثة من المادة 21 من القانون رقم 53.05.
[42] وهذه الوسائل الملائمة هي التي تم النص عليها في البند الثاني من الفقرة الثانية من المادة 33 من القانون رقم 43.20 وهي كالآتي:
أ) عن طريق الحضور الشخصي للشخص الذاتي أو للممثل المأذون له من لدن الشخص الاعتباري؛
ب) أو عن بعد، بواسطة وسائل التعريف الإلكتروني التي تطلب تسليمها الحضور الشخصي للشخص الذاتي، أو للممثل المأذون له من لدن الشخص الاعتباري لدى الهيئة التي سلمت تلك الوسيلة؛
ج) أو بواسطة شهادة إلكترونية مؤهلة للتوقيع الإلكتروني أو للخاتم الإلكتروني، التي سبق تسليمها لشخص تم التأكد من هويته وفق البندين السالفين الذكر.
ويقصد بوسائل التعريف الإلكتروني المشار إليها في (ب) أعلاه، كل من البطاقة الوطنية للتعريف الإلكترونية الخاضعة لأحكام القانون رقم 04.20 المتعلق بالبطاقة الوطنية للتعريف الإلكتروني، وأيضا كل وثيقة إلكترونية أخرى تمكن، وفقا للنص التشريعي أو التنظيمي المحدث لها، من إثبات هوية حاملها عن بعد، والتي تستجيب للحد الأدنى من المواصفات التقنية التي تحددها السلطة الوطنية.
المادة 20 من المرسوم رقم 2.22.687.
[43] غير أنه لا يمكن لمقدم خدمة الثقة ومستخدموهم الاحتجاج بكتمان السر المهني تجاه السلطات الإدارية المؤهلة قانونا، وتجاه أعوان السلطة الوطنية، والخبراء والمفوضون من لدنها وضباط الشرطة القضائية وأعوان إدارة الجمارك والضرائب غير المباشرة.
المادة 38 من القانون رقم 43.20.
[44] المادة 39 من القانون رقم 43.20.
[45] المادة 16 من المرسوم رقم 2.22.687.
[46] Direction générale de la sécurité des systèmes d’information « Guide de gestion des risques de la sécurité des systèmes d’information », p 20, et ainsi de suite.
[47] الفقرة الأولى من المادة 37 من القانون رقم 43.20.
[48] تنص الفقرة الأخيرة من المادة 19 من القانون رقم 15 لسنة 2004 بتنظيم التوقيع الإلكتروني على “ولا يجوز التوقف عن مزاولة النشاط المرخص به أو الاندماج في جهة أخرى أو التنازل عن الترخيص للغير إلا بعد الحصول على موافقة كتابية مسبقة من الهيئة”.
[49] المادة 54 من القانون رقم 43.20.
[50] المادة 55 من القانون رقم 43.20.
إلى الأعوان والخبراء المفوضين من لدن السلطة الوطنية، يتولى مهمة المراقبة أيضا ضباط الشرطة القضائية وأعوان إدارة الجمارك والضرائب غير المباشرة.
المادة 59 من القانون رقم 43.20.
[51] المادة 56 من القانون رقم 43.20.
[52] المادة 61 من القانون رقم 43.20.
[53] المادة 62 من القانون رقم 43.20.
[54] الفقرة الثانية من المادة 24 من القانون رقم 53.05 تنص على أنه “يتحملون وفق القواعد القانونية العادية، مسؤولية تهاونهم أو قلة كفاءتهم أو قصورهم المهني سواء تجاه المتعاقدين معهم أو تجاه الأغيار”
[55] البند الثاني من المادة 70 من القانون رقم 43.20
[56] المادة 69 من القانون رقم 43.20.
[57] البند الأول من المادة 70 من القانون رقم 43.20
[58] تنص الفقرة الأولى من المادة 36 من القانون رقم 53.05 على أنه “يعاقب بغرامة من 10.000 إلى 100.000 درهم وبالحبس من ثلاثة أشهر إلى ستة أشهر كل مقدم لخدمات المصادقة الإلكترونية لا يتقيد بوجوب إخبار السلطة الوطنية المنصوص عليه في المادة 23”
[59] تنص المادة 23 من القانون رقم 15 لسنة 2004 بتنظيم التوقيع الإلكتروني على أنه “مع عدم الإخلال بأية عقوبة أشد منصوص عليها في قانون العقوبات أو في أي قانون آخر، يعاقب بالحبس وبغرامة لا تقل عن عشرة آلاف جنيه ولا تجاوز مائة ألف جنية أو بإحدى هاتين العقوبتين كل من:
…؛
(د) خالف أيا من أحكام المادتين (19)، (20) من هذا القانون؛”
والمادة 19 هي التي سبق لنا أن أشرنا إليها في الإحالة رقم 48 والتي تقضي بعدم جواز التوقف عن ممارسة المرخص به أو الاندماج في جهة أخرى أو التنازل عن الترخيص للغير إلا بعد الحصول على موافقة كتابية مسبقة من الهيئة.
[60] الفقرة الثانية من المادة 36 من القانون رقم 53.05.
هذا البحث منشور في مجلة القانون والأعمال الدولية الإصدار رقم 54 الخاص بشهري أكتوبر نونبر 2024
لتحميل الإصدار المتضمن للبحث :
اضغط هنا
رابط البحث على GOOGLE SCHOLAR
https://scholar.google.com/citations?view_op=view_citation&hl=fr&user=PoRj-YgAAAAJ&sortby=title&citation_for_view=PoRj-YgAAAAJ:GnPB-g6toBAC