Appel public à commentaires sur le référentiel d’exigences applicables aux prestataires de vérification d'identité à distance (PVID)

Le besoin de disposer de services de vérification d’identité à distance s’est accru en France et en Europe au cours des dernières années et a été mis en lumière directement par la crise sanitaire. Aussi, l’ANSSI a élaboré un référentiel pour les prestataires de vérification d'identité à distance et le présente aujourd’hui en appel à commentaires. Ce nouveau référentiel d'exigences, valorisé à terme par un visa de sécurité ANSSI, permettra d’identifier les prestataires fournissant un service de vérification d’identité à distance avec un niveau de garantie substantiel ou élevé.

Publié le 30 Novembre 2020 Mis à jour le 30 Novembre 2020

QU’EST-CE QUE LA VÉRIFICATION D’IDENTITÉ À DISTANCE ?

Une vérification d’identité à distance possède la même finalité qu’une vérification d’identité en face-à-face physique. A ce titre, un service de vérification d’identité à distance permet de vérifier que le titre d’identité présenté par l’utilisateur est authentique d’une part et que l’utilisateur en est le détenteur légitime d’autre part.

L’usurpation d’identité est la principale menace lors d’une vérification d’identité, qu’elle ait lieu en face-à-face ou à distance. Un service de vérification d’identité à distance est donc exposé aux mêmes risques qu’une vérification d’identité en présentiel, mais également, de par sa nature, à des risques spécifiques (manipulation numérique des images (deepfakes), injection de données frauduleuses, tentatives répétées et massives d’usurpation, utilisation de masques…).

UNE PREMIÈRE VERSION DU RÉFÉRENTIEL PVID

Compte tenu des risques et des besoins en matière de vérification d’identité à distance, l’ANSSI a élaboré un référentiel. Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d'identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs.

L’élaboration de ce référentiel s’inscrit dans le cadre de travaux menés en collaboration avec la direction générale du Trésor (DGT) pour la certification des services d’entrée en relation d’affaires à distance au titre du décret n° 2020-118. Au-delà de ce besoin sectoriel spécifique, ce référentiel constitue le fondement du schéma unifié d’évaluation des services de vérification d’identité à distance, quel que soit le niveau de garantie (substantiel et élevé) et quel que soit le cadre réglementaire. Les services de confiance et les moyens d’identification électronique recourant à une vérification d’identité à distance devront donc s’y conformer.

Ainsi, le présent référentiel a vocation à permettre :

la certification au titre du décret n° 2020-118 des services d'entrée en relation d’affaires à distance lorsqu’ils sont mis en œuvre par des organismes assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
la qualification au titre du règlement européen n° 910/2014 (eIDAS) des services de confiance recourant à une vérification d’identité à distance ;
la certification au titre de l’article L102 du Code des postes et des communications électroniques des moyens d’identification électronique, pour les niveaux de garantie substantiel et élevé, recourant à une vérification d’identité à distance.

Une première version du référentiel PVID est proposée aujourd’hui dans le cadre d’un appel public à commentaires.

Les observations, commentaires et propositions peuvent être transmis jusqu’au 31 janvier 2021 par courriel à l’adresse commentaires-pvid [at] ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous. L’ANSSI remercie par avance tous celles et ceux qui répondront à cet appel à commentaires.

PVID - Référentiel d'exigences v1.0

PVID - Appel à commentaires - fiche de lecture

A la suite du recueil et de la prise en compte des commentaires, l’ANSSI publiera une première version applicable du référentiel le 1er mars. Une fois ce référentiel validé et l’arrêté correspondant publié, l’ANSSI pourra procéder aux premières évaluations des PVID en vue d’une certification. L’ANSSI rappelle par ailleurs qu’aucun prestataire de service n’a pour le moment été certifié ou ne peut se prévaloir d’une garantie de future certification au titre de ce référentiel.

Enfin, l’ANSSI invite également les organismes qui souhaiteraient procéder à l’évaluation de la conformité des prestataires de vérification d'identité à distance par rapport à ce référentiel d’exigences à la contacter par courriel à la même adresse. De même, les prestataires souhaitant soumettre leurs services à évaluation sont appelés à prendre attache avec l’Agence dès maintenant pour pouvoir convenir conjointement de la stratégie d’évaluation la plus adaptée au regard de leur maturité.

Que recherchez-vous ?

Découvrir l'ANSSI

Découvrir la cybersécurité

Développer des solutions de confiance

Sécuriser son organisation

Se former à la cybersécurité

Connaître et explorer

S'informer sur la réglementation

Appel public à commentaires sur le référentiel d’exigences applicables aux prestataires de vérification d'identité à distance (PVID)

QU’EST-CE QUE LA VÉRIFICATION D’IDENTITÉ À DISTANCE ?

UNE PREMIÈRE VERSION DU RÉFÉRENTIEL PVID