Référentiel PVID : quelle est sa définition ?

A la suite de la crise sanitaire, le besoin des entreprises d’aller vers plus de digitalisation et de pouvoir multiplier les modes de fonctionnement – et notamment le fonctionnement à distance – s’est très nettement accentué, tous secteurs d’activité confondus.

L'État, qui souhaite sécuriser l’économie et accompagner le développement des sociétés, s’est notamment penché sur la question des systèmes numériques d'identification, indispensables pour sécuriser le fonctionnement à distance.

Ainsi, pour lutter contre la fraude d'identité, l'ANSSI a mis en place le référentiel PVID, qui réglemente les dispositifs de vérification d'identité à distance, et représente une véritable opportunité de développement pour les organisations.

Des garanties de sécurité pour des nouveaux usages

Le référentiel PVID s’inscrit dans un contexte post-covid où, à la faveur de la digitalisation des organisations et de l’évolution des usages vers plus de télé-procédures, les entreprises ont adapté leurs services pour rester actives en toutes circonstances. Elles sont désormais chaque jour plus nombreuses à souhaiter pouvoir vérifier de manière plus sûre l’identité d’une personne à distance.

Ainsi, qu’il s’agisse de faire signer un contrat sans réunir physiquement les différentes parties (pour l’ouverture d’un compte, par exemple), d’envoyer une lettre recommandée par internet, d’apposer une signature électronique, de transmettre un document confidentiel en ligne, ou autre, la vérification d’identité est un processus indispensable aussi bien pour éviter les erreurs de signataire ou de destinataire, que pour lutter contre la fraude.

En effet, les arnaques sur internet se multiplient et concernent aussi bien les particuliers (avec beaucoup de phishing) que les entreprises, qui peuvent se faire dérober de l’argent ou même des documents.

La créativité des cybercriminels ne semble pas connaître de limite en la matière ; à la contrefaçon des uns qui produisent de faux documents répond la falsification des autres qui modifient frauduleusement de vrais documents. Et c’est sans parler de l’usurpation d’identité lorsqu’est utilisé un vrai document par une autre personne que son détenteur légitime, parfois à grands renforts de technologies deep fakes, par exemple, pour simuler un visage. Les répercussions de ces fraudes et/ou usurpations d’identités (massives) peuvent être conséquentes, voire très conséquentes pour les entreprises.

Afin de contrer cette menace, les autorités proposent aujourd’hui un cadre qui permet d’assurer l’identification à distance de manière sécurisée. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a ainsi défini et publié le référentiel des Prestataires de Vérification d’Identité à Distance (PVID), pour protéger les entreprises ainsi que leurs clients ou usagers.

Les institutions financières et bancaires ont été parmi les premiers acteurs à utiliser des solutions dont la robustesse et la performance sont attestées par l’ANSSI, pour se conformer à la lutte contre le blanchiment d’argent et le financement du terrorisme (directive LCB-FT). Mais ce sont aujourd’hui tous les secteurs d’activité proposant des parcours clients d’entrée en relation (étape réglementaire obligatoire à laquelle l’entreprise et son client doivent consentir pour initier une relation commerciale) qui sont concernés par le référentiel PVID.

Qu’est-ce que le référentiel PVID ?

Pour entreprises ne disposant pas des ressources financières ou techniques nécessaires ou ne souhaitant pas mettre en place des outils de vérification par elles-mêmes, il leur est tout à fait possible de faire appel à un prestataire de service pour opérer la vérification d’identité.

Dans cette perspective, le PVID sert aussi à guider les organisations pour les aider à sélectionner les prestataires qui présentent les meilleures garanties pour accomplir ce service dans les règles de l’art, puisque la certification PVID atteste que les prestataires répondent à des exigences précises qui réduisent le risque d’usurpation d’identité.

Concrètement, le référentiel PVID est un texte de référence, datant du 1er mars 2021, qui liste un ensemble de règles et de recommandations à respecter pour permettre la mise en conformité et la certification des prestataires de service proposant un dispositif de vérification de l’identité à distance.

Le référentiel PVID présente ainsi :

• la description générale du service de vérification d’identité à distance
• les exigences à respecter pour tout prestataire de ce service (protection de l’information, qualité et niveau de service, gouvernance et organisation du prestataire,…)
• les méthodes d’évaluation des prestataires

Ainsi, les prestataires proposant un dispositif de vérification d’identité à distance peuvent se référer au référentiel PVID pour connaitre toutes les recommandations suggérées par l’ANSSI.

Les deux niveaux de garanties différentes du règlement eIDAS

Les prestataires qui fournissent des services de vérification d’identité en ligne sont susceptibles de proposer deux niveaux de garantie, dits « substantiel » ou « élevé ».

En effet, le règlement européen n° 910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement eIDAS, définit deux niveaux de garantie différents :

• le niveau de garantie substantiel vise, comme son nom l’indique, à réduire substantiellement le risque d’usurpation ou d’altération d’identité. Cela signifie que le service concerné est censé garantir le même niveau de fiabilité qu’un face à face physique avec présentation de preuve d’identité. Il s’agit d’un niveau de sécurité important et dissuasif, suffisamment conséquent pour limiter la plupart des erreurs ou tentatives de fraudes ;
• le niveau de garantie élevé doit écarter tout risque d’usurpation ou d’altération d’identité. Le service concerné garanti donc un niveau de sécurité équivalent à un face à face physique dans un service public lors de la délivrance d’un titre d’identité.

Un processus de certification PVID en trois étapes

Les sociétés de services qui souhaitent attester que leur système de vérification de l’identité répond parfaitement aux exigences techniques et organisationnelles définies par l’ANSSI doivent se soumettre à un processus en trois étapes :

• la constitution et la transmission d’un dossier à l’ANSSI, qui va réceptionner et désigner un chargé de certification pour instruire la demande ;
• la conduite de travaux d’évaluation de la conformité du service, opérée en collaboration avec le Bureau de la fraude documentaire de la Direction Centrale de la Police aux Frontières (DCPAF) et du département documents de l’Institut de Recherche Criminelle de la Gendarmerie Nationale (IRCGN), il s’agit de tests informatiques et physiques pour la partie relative à la biométrie et de tests de l’efficacité du service pour la partie relative à l’identité ;
• la délivrance d’une certification par l’ANSSI qui atteste la conformité du service si les tests révèlent que le prestataire répond aux exigences.

Les bénéfices apportés par un système conforme au référentiel PVID

Si les processus électroniques du référentiel sont complexes à mettre en œuvre pour les prestataires, ces méthodes de vérification de l’identité à distance PVID apportent de nombreux bénéfices aux organismes qui les intègrent à leurs parcours clients :

• elles réduisent de manière très significative le coût de la fraude. Parmi les méthodes de vérification préconisées, on peut notamment citer le live video streaming ou la prise de vidéo combinée à des photos pour détecter les faux documents, les analyses par intelligence artificielle pour contrer les deep fakes et la présence obligatoire d'opérateurs humains, en bout de chaine, pour valider ou non les vérifications d'identité à distance.
• elles protègent les données des usagers / utilisateurs / clients (collecte des data sur des infrastructures sécurisées, traitements par des opérateurs localisés dans l’Union Européenne, stockage dans un cloud sécurisé et souverain) ;
• elles jouissent de la même valeur juridique que les procédures de vérification physique en face à face ;
• elles fluidifient les parcours usagers ou clients, notamment parce que la mise en place de procédures sécurisées permettent de gagner en confiance auprès de sa clientèle.

Docaposte, référent de la confiance numérique en France, certifié PVID

Docaposte, pilier de la confiance numérique en France et filiale innovante du groupe La Poste, a marqué un jalon important en obtenant la certification PVID, via sa filiale AR24, décernée par l'ANSSI le 27 octobre 2023. Cette reconnaissance illustre l'excellence de Docaposte dans la fourniture de solutions sécurisées et efficientes pour la vérification d'identité à distance.

Avec sa filiale AR24, l'entreprise gère un volume conséquent de vérifications d'identité, réalisant près de 10 000 contrôles quotidiens grâce à des technologies avancées et une équipe d'opérateurs dédiés et formés. Cette certification souligne non seulement la robustesse des solutions de Docaposte mais renforce également sa position de leader sur le marché, offrant aux professionnels français un partenaire fiable pour sécuriser et optimiser leurs processus d'enrôlement en ligne. En s'appuyant sur un mélange d'intelligence artificielle et de contrôles humains, Docaposte garantit une expérience utilisateur de qualité tout en respectant les normes de sécurité et de confidentialité les plus strictes.