L’usurpation d’identité est la technique privilégiée des fraudeurs. Et les préjudices financiers peuvent rapidement grimper : 14% des entreprises attaquées ont subi un préjudice supérieur à 100 000 euros. Face à cette menace, les autorités ont voulu proposer un cadre permettant d’assurer l’identification à distance. Ce cadre ou encore référentiel a été défini par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en 2021 ; c’est le référentiel des Prestataires de Vérification d’Identité à Distance (PVID).
L’ACPR (Autorité de contrôle prudentiel et de résolution), dans le cadre de ses exigences d’entrée en relation à distance, a proposé aux établissements financiers et bancaires de s’appuyer sur ce référentiel.
Aujourd’hui, en France, tous les prestataires souhaitant répondre aux premières et cinquièmes mesures d’entrée en relation à distance du Code des Marchés Financiers sont concernés par cette certification : ils doivent répondre aux mêmes exigences et proposer le même parcours. Alors comment choisir parmi tous les prestataires PVID ?
Qu’est-ce que PVID et comment obtenir la certification ?
Le référentiel PVID atteste que les prestataires répondent à des exigences précises pour réduire le risque d’usurpation d’identité en proposant un service certifié équivalent à un face à face.
Dans quel contexte le référentiel PVID est-il né ?
Le référentiel PVID est né du besoin de l’ACPR de se rassurer quant à l’usage de solutions de vérification de documents d’identité et de solutions biométriques dans l’identification d’un client à distance.
Elle a souhaité introduire dans les mesures de vigilance qu’elle acceptait l’usage de tels services à partir du moment où ils avaient fait l’objet d’une certification par l’ANSSI.
L’objectif ? Faire en sorte que les institutions financières et bancaires se conforment à la 5ème directive de la LCB-FT, à savoir la lutte contre le blanchiment d’argent et le financement du terrorisme, en utilisant des solutions dont la robustesse et la performance est attestée par l’ANSSI.
L’idée est de mettre en avant des solutions proposant un niveau de garantie substantiel (offrant la même fiabilité qu’une vérification d’identité en face à face) ou élevé (empêchant tout risque d’usurpation d’identité).
Comment recevoir la certification PVID ?
Aujourd’hui, tous les prestataires de vérification d’identité qui souhaitent répondre aux enjeux des mesures 1 et 5 du CMF concernant l’entrée en relation à distance doivent proposer une solution certifiée par l’ANSSI.
L’idée est, pour les sociétés de services, de se soumettre et d’attester que leurs services répondent en tout point aux exigences techniques et organisationnelles définies dans le standard établi par l’ANSSI en mars 2021.
Comment le processus de certification se déroule-t-il ?
- D’abord, le prestataire constitue un dossier qu’il transmet à l’ANSSI. Cette agence désigne un chargé de certification qui instruira cette demande.
- Ensuite, plusieurs travaux d’évaluation sont menés : évaluation de la conformité du service, tests informatiques et physiques pour la partie relative à la biométrie et tests de l’efficacité du service pour la partie relative à l’identité.
A noter que l’ANSSI collabore avec le Bureau de la fraude documentaire de la DCPAF (Direction Centrale de la Police aux Frontières) et du département documents de l’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale). - Enfin, si le prestataire répond aux exigences, il se verra délivrer une certification par l’ANSSI qui atteste la conformité du service. Le prestataire sera donc en mesure de répondre à la demande des banques !
Pourquoi choisir une solution certifiée PVID ?
Plusieurs solutions conformes à la 5ème directive de la LCB-FT répondent aux obligations du processus d’entrée en relation à distance :
- La vérification d’un document d’identité et la réalisation d’un micro-paiement.
- La signature électronique qualifiée
- Une solution certifiée PVID, qui atteste de la conformité des services apportant une garantie équivalente au face à face. Elle répond à tous les cas d’usage.
Bien qu’elle ne présente pas les avantages d’une solution 100% digitale et instantanée, la solution certifiée PVID est la seule qui permette aux banques d’apporter une réponse aux populations non bancarisées. C’est pour cette raison qu’elle est d’abord et avant tout convoitée par les Banques.
Comment différencier chacun des prestataires PVID ?
Tous les prestataires certifiés PVID seront conformes aux exigences demandées : ils proposent une capture dynamique du titre d’identité, une capture vidéo et un contrôle manuel.
Alors quels sont les éléments à prendre en compte dans votre choix ?
- L’expérience utilisateur : quel est le prestataire qui propose le parcours le plus intuitif ?
IDnow accompagne et guide les clients dans ce parcours pour éviter les taux d’abandon. Des indications précises leur sont fournies jusqu’à la finalisation du process, ce qui fluidifie et simplifie le processus.
A titre d’illustration, nous pouvons citer le fait d’avoir introduit une capture statique en amont de la capture dynamique permettant à l’utilisateur :
- de ne pas avoir à typer le titre d’identité
- de se voir refuser dès le début du parcours d’aller plus loin si la pièce est non éligible PVID ou non acceptée par le Commanditaire
- de proposer une alternative à la capture vidéo du titre en cas de titre disposant d’une puce et d’un utilisateur sur un mobile compatible NFC
- d’intégrer de l’intelligence artificielle dans la capture de la vidéo du titre pour s’assurer de la capture de l’ensemble des éléments de sécurité visibles qui seront revus manuellement.
- Le temps de traitement : quel est le prestataire qui rend le verdict le plus rapidement possible ?
Si le temps de traitement d’une identification PVID est plus long (en raison des exigences plus strictes et de la revue manuelle effectuée),
IDnow garantit un résultat en maximum 6 minutes. A noter que ce temps est réduit en comparaison avec un face à face. - La capacité de traitement des différents documents : de quels documents le prestataire parvient-il à extraire les données ?
IDnow est en mesure de traiter les documents d’identité physiques à travers la vidéo du document mais aussi les documents d’identité électroniques afin d’en extraire les données depuis la puce.
Cette capacité permet de réduire le temps de traitement puisque dans ce cas, seule la vidéo de la personne devra être revue manuellement. IDnow supporte également la lecture par puce NFC (« Near Field Communication »). - Le périmètre documentaire PVID : quelle est la couverture géographique proposée par le prestataire ?
IDnow couvre la totalité des documents d’identité, dans toute l’Europe afin de répondre aux exigences des autres pays.
Elle couvre par ailleurs les passeports tels que définis en annexe 2 du référentiel PVID. - La largeur du portefeuille produit des services connexes : quelles sont les autres solutions proposées par le prestataire ?
IDnow met à disposition :
- La signature électronique qualifiée
- Des SDK web et mobile, pour capturer des documents en temps réel. Le processus de capture peut être intégré par le biais de différents canaux : directement depuis le site web du fournisseur de services, dans son application, dans un parcours e-mail ou encore dans un parcours SMS.
Les prestataires souhaitant obtenir la certification PVID doivent se conformer à des exigences techniques et organisationnelles en vue d’homogénéiser le niveau de service. Cinq éléments de différenciation sont cependant possibles : l’expérience utilisateur, le temps de traitement, la capacité de traitement des différents documents, la couverture géographique proposée et les services annexes.
Echangez avec un de nos experts PVID !
Par

Rayissa Armata
Senior Head of Regulatory Affairs chez IDnow
Connectez-vous à Rayissa sur LinkedIn