Ce site utilise des cookies afin d’améliorer votre expérience utilisateur et de réaliser des statistiques d’audience.
J'accepteJe refuseEn savoir plus
en es
en es
Menu

Qu’est ce que le référentiel PVID et quels sont ses enjeux ?

Référentiel pvid

Au cours de ces dernières années, l’identification à distance est devenue un enjeu majeur en France et en Europe. Les raisons ? La digitalisation massive des services, qui n’a fait que se renforcer avec l’arrivée de la crise sanitaire du Covid-19.

 

C’est dans ce contexte que l’ANSSI (l’Agence Nationale de la Sécurité des systèmes d’information) a décliné le 1er mars dernier un référentiel d’exigences destiné aux Prestataires de Vérification d’Identité à Distance (PVID).

 

Quelle est la genèse du référentiel PVID ?

 

Lors d’une identification, qu’elle soit réalisée en face à face ou à distance, les risques de fraude, et notamment d’usurpation d’identité sont importants. On note également des risques supplémentaires lorsque l’identification est réalisée à distance. En effet, il est plus complexe de vérifier que la personne est bien celle qu’elle prétend être lorsqu’elle est derrière son écran. 

 

Pour pallier ces risques, il est nécessaire de mettre en place des services de vérification d’identité fiables et robustes, et ainsi répondre aux besoins des utilisateurs et des commanditaires, mais également pour être en conformité avec les réglementations en vigueur. Ce processus passe alors par la vérification de l’authenticité et de la validité d’un titre d’identité de l’utilisateur, ainsi que par la vérification que l’utilisateur en est le détenteur légitime. 

 

Ce processus de vérification, plus communément appelé KYC (Know Your Customer) est né de la Directive LCB-FT (Lutte Contre le Blanchiment d’Argent et le Financement du Terrorisme). Portée par la commission européenne, elle prévoit une série de mesures visant à mieux lutter contre la criminalité financière ainsi qu’à garantir une meilleure transparence des transactions financières.

Face à l’augmentation des fraudes et des activités financières illégales, la directive ne cesse d’évoluer et de se renforcer. Alors que la 5ème directive LCB-FT est entrée en vigueur en mai 2018, la 6ème a été adoptée en décembre 2020.   

 

La directive LCB-FT est transposée par l’ensemble des Etats membres de l’Union Européenne, et c’est ainsi que l’ANSSI a décliné le référentiel PVID pour l’ensemble des prestataires de KYC en France. 

 

Quels sont les enjeux du référentiel PVID ?

 

Les enjeux du référentiel PVID sont donc de lutter contre la fraude et la criminalité financière lors d’identification à distance, dans un contexte de crise sanitaire durant laquelle la digitalisation s’est fortement accélérée. 

 

Les exigences du référentiel portent sur le prestataire de KYC en France, ainsi que sur la sécurité du système d’information permettant de fournir le service. Il vise à créer une offre de services de vérification d’identité à distance robuste et sécurisée. Les entreprises concernées ? Les banques et les institutions financières sont en ligne de mire, mais le référentiel touche également le secteur des jeux d’argent en ligne ainsi que celui des Télécom. 

 

L’ANSSI a profité de l’occasion qui lui était donnée pour étendre le champs d’application de ce référentiel d’exigences aux services de confiance régis par le règlement eIDAS: les prestataires de signature électronique pour la délivrance de certificats qualifiés, les prestataires de recommandé électronique ainsi que les fournisseurs d’identité numérique.

 

Comment être en conformité avec le référentiel PVID ?

 

Le référentiel PVID se décline en trois axes majeurs.

 

Un premier axe définit et décrit ce que doit être un service de vérification à distance et les activités qui lui sont associées  : 

 

  • L’acquisition de données d’identification ;
  • La vérification des données d’identification ;
  • La constitution d’un fichier de preuve ;
  • La transmission du résultat de la vérification d’identité.

 

KYC et protection des données

 

Un second spécifie les méthodes d’évaluation et le champ d’application de la qualification et de la certification des Prestataires de Vérification d’Identité à Distance  :

 

  • La certification des services de mise en relation commerciale à distance ; 
  • La qualification au titre du règlement européen n° 910/2014 (eIDAS) des services de confiance utilisant la vérification d’identité à distance ;
  • L’évaluation de la conformité des moyens d’identification électronique pour les niveaux substantiels et élevés de garantie utilisant la vérification d’identité à distance.

 

Et enfin le dernier axe décrit les exigences à respecter par le prestataire de services :

 

  • L’évaluation des risques ;
  • La politique et pratique de la vérification d’identité à distance ;
  • La protection des données ; 
  • L’organisation du prestataire de services et sa gouvernance ;
  • La qualité et le niveau de service.

 

Ces exigences ont des impacts importants sur les Prestataires de Vérification d’Identité à Distance qui doivent s’y appliquer pour bénéficier de la certification ANSSI.

 

Quelles sont les étapes pour être certifié par l’ANSSI ?

 

En décembre dernier, l’ANSSI a publié une première version du référentiel PVID pour appel à commentaire, avant de publier le 1er mars 2021 la version officielle du référentiel des exigences applicables ainsi que le décret correspondant. 

 

Fin mars, l’ANSSI a également communiqué sur le processus de certification PVID, ainsi que sur les formulaires de demande de certification. Les fournisseurs peuvent donc déposer leur dossier de certification depuis le début du mois d’avril. Le processus de certification est calqué sur celui applicable pour les prestataires de service de confiance qualifiés au sens du règlement eIDAS. 

 

La seule nouveauté notable, est le recours à de nouveaux évaluateurs pour ce qui est de la reconnaissance faciale et de la détection de faux documents. Sur ce dernier point, l’ANSSI a prévu de s’appuyer sur les compétences du Ministère de l’Intérieur, à savoir le Bureau de la Fraude Documentaire de la DCPAF (Direction Centrale de la Police Aux Frontières) et de Département Fraude Documentaire de l’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale). 

 

Et ARIADNEXT dans tout ça ?

 

Conscient des évolutions réglementaires à venir, nous anticipons depuis de nombreux longtemps l’arrivée du référentiel PVID pour accompagner l’ensemble de nos clients et partenaires. 

 

Nous avons fait évoluer certaines de nos fonctionnalités produits pour allier conformité réglementaire et expérience client dans nos processus KYC. Notre service de vérification d’identité s’équipe désormais d’une offre de capture dynamique du document, d’une offre de lecture de puce des documents électroniques, ainsi que d’une offre de vérification hybride des documents et de la reconnaissance faciale. 

 

Ces évolutions ont pour objectif de préparer notre prochaine certification par l’ANSSI afin que nos clients et partenaires puissent se conformer à la mesure d’exigence de la transposition de la 5ème directive qui demande aux entreprises de faire appel à un fournisseur de solution technique offrant une vérification d’identité.

 

Si la France est l’un des premiers pays à avoir travaillé un référentiel sur le sujet, l’ensemble des états européens ne va pas tarder à suivre. L’objectif étant de proposer des référentiels d’exigences similaires pour l’ensemble des prestataires de vérification d’identité européens. 

Envie d'en savoir plus ?

Nous serions ravis de discuter de votre projet.

Partager ce post

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Articles associés

Suivez-nous !