Conformité & processus · Information
DGSSI et signature électronique pour la facturation au Maroc
Cadre DGSSI, confiance numérique et signature électronique dans la facturation DGI : Barid e-Sign, loi 43-20 et exigences techniques pour les entreprises.
4 min de lecture
La facturation électronique DGI s'appuie sur une chaîne de confiance numérique régulée au Maroc : la Direction générale de la sécurité des systèmes d'information (DGSSI) fixe les référentiels de sécurité, la loi 43-20 encadre la signature électronique et les prestataires de services de confiance, et la charte nationale précise comment ces exigences se traduisent pour chaque facture transmise à la plateforme. Les entreprises ne doivent pas devenir cryptographes — mais le DAF et le DSI doivent comprendre qui signe, avec quel certificat, et comment la signature s'articule avec les CSP certifiés. Ce guide clarifie le rôle de la DGSSI dans ce puzzle.
DGSSI : sécurité des systèmes et référentiels
La DGSSI publie guides et référentiels sur la cybersécurité, la classification des incidents et les bonnes pratiques pour les systèmes d'information sensibles. Dans le contexte e-facture, son influence est indirecte mais réelle : les plateformes et prestataires agréés doivent respecter des exigences de sécurité alignées sur la politique nationale. Pour votre entreprise, cela se traduit par des obligations pratiques : protéger les clés de signature, journaliser les accès au module d'émission, segmenter les profils (commercial ne signe pas, comptable valide, DAF signe ou délègue).
La signature électronique qualifiée délivrée par un prestataire agréé comme Barid e-Sign répond aux critères de la loi 43-20 : identification du signataire, intégrité du document, non-répudiation dans les limites légales. La charte DGI indique le niveau minimal acceptable et les mécanismes équivalents (scellement par CSP).
Qui signe la facture électronique ?
- Représentant légal de la personne morale (certificat organisationnel)
- Mandataire désigné avec procuration et certificat nominatif
- CSP opérant la signature sous mandat contractuel documenté
- Séparation des rôles : préparation vs validation vs signature
- Renouvellement des certificats avant expiration — alertes à J-60
- Révocation immédiate en cas de départ du signataire habilité
Les PME délèguent souvent la signature technique au CSP pour éviter de gérer un HSM interne. Les groupes exigent parfois une double validation métier avant déclenchement de la signature automatique. Documentez la procédure dans la feuille de route DAF et formez les remplaçants du signataire principal.
Intégrité et horodatage
Au-delà de la signature, la facture doit résister à toute altération post-émission. Le flux DGI applique des mécanismes de scellement et d'horodatage garantissant que la version validée par l'administration correspond à celle archivée chez vous. Votre archivage légal doit stocker la facture signée, les accusés plateforme et les métadonnées de chaîne de confiance. En contrôle, l'absence de cohérence entre archive locale et registre DGI est un signal rouge.
Checklist DSI et conformité
Inventoriez tous les certificats actifs et leurs dates d'expiration. Vérifiez que seuls les postes ou serveurs autorisés accèdent aux modules de signature. Exigez MFA sur les comptes plateforme DGI. Contractualisez avec le CSP les SLA de signature et les procédures de disaster recovery. Testez la révocation et le renouvellement en bac à sable. Alignez la politique avec votre intégrateur DGI si la signature s'exécute dans le connecteur ERP.
Les flux internationaux (export-import, PEPPOL) peuvent imposer des signatures ou sceaux supplémentaires côté partenaire étranger — distinguez les exigences Maroc des exigences export.
Anticiper les évolutions réglementaires
La DGSSI et les autorités de certification mettent à jour les référentiels ; les CSP et éditeurs doivent suivre. Incluez une clause de mise à jour dans vos contrats. Suivez la veille via le guide facturation électronique Maroc. Inscrivez-vous à l'accès prioritaire Factureo pour être alerté des changements impactant la signature et la transmission.
Relation DGSSI, ANRT et prestataires de confiance
L'écosystème de confiance numérique marocain implique plusieurs acteurs : la DGSSI pour les référentiels de sécurité, l'agrément des prestataires de services de confiance, et les opérateurs comme Barid e-Sign pour la délivrance opérationnelle. Les entreprises interagissent surtout avec ces derniers et avec leur CSP — mais le DSI doit comprendre que les audits de sécurité nationaux peuvent remonter jusqu'aux choix d'architecture locale.
Lors d'un renouvellement de certificat, prévoyez une fenêtre de bascule testée : émission d'une facture bac à sable avec le nouveau certificat avant révocation de l'ancien. Les incidents de signature représentent une cause majeure d'arrêt de production le week-end si personne n'est habilité à intervenir — documentez l'astreinte.
Sensibilisez le comité de direction : la signature n'est pas un détail IT mais un acte juridique engageant la personne morale. Une politique de signature mal gérée bloque toute la chaîne de facturation et expose à des litiges internes en cas de départ conflictuel du signataire habilité.
Testez annuellement votre procédure de continuité : émission facture de test si le signataire principal est indisponible — validation que le mandataire suppléant dispose d'un certificat actif.
Conservez les journaux de signature dix ans : horodatage, identifiant certificat, hash document — pièces indispensables si la DGI ou un client conteste l'intégrité d'une facture ancienne.
Questions fréquentes
La DGSSI délivre-t-elle directement les certificats ?
Non — elle cadre la politique ; les prestataires agréés comme Barid e-Sign délivrent les certificats aux utilisateurs finaux.
Une signature simple suffit-elle pour la DGI ?
Consultez la charte nationale — en pratique la signature qualifiée ou le scellement CSP est requis pour les flux production.
Que faire si le certificat expire un week-end ?
Mettez des alertes automatiques et un certificat de backup selon la politique du prestataire — sinon blocage des émissions.
Le dirigeant peut-il déléguer la signature au DAF ?
Oui avec mandat formel et certificat au nom du délégué ou signature organisationnelle avec règles internes documentées.
Prenez de l'avance sur l'obligation
Rejoignez la liste prioritaire des entreprises qui préparent dès aujourd'hui leur transition. Gratuit, sans engagement.
Demander un accès prioritaire