Publication du référentiel d’exigences applicables aux prestataires de vérification d'identité à distance (PVID)

Le besoin de disposer de services de vérification d’identité à distance s’est accru en France et en Europe au cours des dernières années et a été mis en lumière directement par la crise sanitaire (COVID-19). Aussi, l’ANSSI a élaboré un référentiel pour les prestataires de vérification d'identité à distance. Ce nouveau référentiel d'exigences, valorisé par un visa de sécurité ANSSI et qui a fait l’objet d’un appel à commentaires, permettra d’identifier les prestataires fournissant un service de vérification d’identité à distance attestant d’un niveau de garantie substantiel ou élevé.

Publié le 01 Mars 2021 Mis à jour le 01 Mars 2021

Qu’est-ce que la vérification d’identité à distance ?

Une vérification d’identité à distance possède la même finalité qu’une vérification d’identité en face-à-face physique. A ce titre, un service de vérification d’identité à distance permet de vérifier que le titre d’identité présenté par l’utilisateur est authentique et que l’utilisateur en est le détenteur légitime.

La principale menace lors d’une vérification d’identité, qu’elle ait lieu en face-à-face ou à distance, est l’usurpation d’identité. Un service de vérification d’identité à distance est ainsi exposé aux mêmes risques qu’une vérification d’identité en présentiel, mais également, de par sa nature, à des risques spécifiques (manipulation numérique des images (deepfakes), injection de données frauduleuses, tentatives répétées et massives d’usurpation, utilisation de masques…).

Une première version du référentiel PVID

Pour répondre à ces risques, l’ANSSI a élaboré un ensemble de règles et de recommandations rassemblées dans le référentiel PVID. Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d'identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs. Ce référentiel permet d’attester que la mise en œuvre des mesures de réduction de la fraude pertinente par les services certifiés selon deux niveaux de garantie : substantiel et élevé.

L’élaboration de ce référentiel s’inscrit dans le cadre de travaux menés en collaboration avec la direction générale du Trésor (DGT) pour la certification des services d’entrée en relation d’affaires à distance au titre du décret n° 2020-118. Au-delà de ce besoin sectoriel spécifique, ce référentiel constitue le fondement du schéma unifié d’évaluation des services de vérification d’identité à distance, quel que soit le niveau de garantie (substantiel et élevé) et quel que soit le cadre réglementaire. Les services de confiance et les moyens d’identification électronique recourant à une vérification d’identité à distance devront donc s’y conformer.

Ainsi, le présent référentiel a vocation à permettre :

la certification au titre du décret n° 2020-118 des services d'entrée en relation d’affaires à distance lorsqu’ils sont mis en œuvre par des organismes assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
la qualification au titre du règlement européen n° 910/2014 (eIDAS) des services de confiance recourant à une vérification d’identité à distance ;
la certification au titre de l’article L102 du Code des postes et des communications électroniques des moyens d’identification électronique, pour les niveaux de garantie substantiel et élevé, recourant à une vérification d’identité à distance.

Comment faire certifier mon service ?

Parfaitement consciente des attentes du secteur en la matière et de l’impact de cette nouvelle activité d’évaluation, en s’appuyant sur les exigences du référentiel PVID, l’ANSSI a publié le 1er avril différents documents pour permettre aux prestataires souhaitant soumettre leurs services à une évaluation de formaliser leurs demandes auprès de l’ANSSI.

Pour la prise en compte des demandes de certification, le prestataire doit soumettre un formulaire de demande de certification.

Le formulaire de demande de certification ainsi que le processus de certification associé, précisant les modalités techniques pour l’évaluation d’un PVID par rapport au référentiel de l’ANSSI, sont disponibles dans la rubrique dédiée.

Enfin, la liste des centres d’évaluation qui se sont portés candidats pour évaluer des prestataires de vérification d’identité à distance (PVID) est disponible ici.

Contact

Pour toute question relative au référentiel d’exigences PVID publié par l’ANSSI, le point de contact à privilégier est celui indiqué dans le document concerné.

Les questions préliminaires à une demande de certification de conformité ou de qualification sont à adresser au bureau Politique Industrielle et Assistance de l’ANSSI.

Les demandes de certification de conformité ou de qualification sont à adresser au bureau Qualification et Agrément de l’ANSSI.

Que recherchez-vous ?

Découvrir l'ANSSI

Découvrir la cybersécurité

Développer des solutions de confiance

Sécuriser son organisation

Se former à la cybersécurité

Connaître et explorer

S'informer sur la réglementation

Publication du référentiel d’exigences applicables aux prestataires de vérification d'identité à distance (PVID)

Qu’est-ce que la vérification d’identité à distance ?

Une première version du référentiel PVID

Comment faire certifier mon service ?

Contact