Contactez-nous
Démo

PRESTATAIRE PVID : Netheos en cours de certification par l’ANSSI

Qu’est-ce qu'un prestataire PVID ?

Afin de lutter contre l’usurpation d’identité sur Internet et la fraude de façon plus globale, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, organisme Français) a publié le 1er mars 2021 un référentiel d’exigences permettant l’évaluation du degré de sécurité des services des « Prestataires de Vérification d’Identité à Distance » (prestataire PVID) et, in fine, de les certifier.

Vous pouvez librement télécharger ce référentiel PVID sur le site de l’ANSSI.

Dans le but d’également en apprendre plus sur ce référentiel, vous pouvez visualiser gratuitement le replay de notre webinar « Prestataire PVID : quelles nouveautés pour l’onboarding client ? »

Pourquoi une nouvelle certification en France et pourquoi PVID ?

Le prestataire PVID certifié se verra remettre une certification délivrée par l’ANSSI. Ce label permettra à l’ensemble de l’écosystème de savoir qu’une solution de vérification d’identité a été rigoureusement auditée et peut ainsi être – de fait – considérée comme fiable

Cette certification aidera les organismes et entreprises fortement régulés – comme les banques ou les assurances – à choisir leurs fournisseurs. Notamment dans le contexte de Lutte Contre le Blanchiment d’argent et le Financement du Terrorisme (LCB-FT), lorsqu’ils souhaiteront mettre en œuvre la 5ème mesure de vigilance complémentaire du code monétaire et financier. Le choix d’un prestataire certifié PVID (Prestataires de Vérification d’Identité à Distance) sera alors obligatoire pour assurer la conformité de son processus KYC (Know Your Customer).

Êtes-vous concerné par ce nouveau standard ?

C’est le cas si vous êtes soumis à la réglementation LCB-FT. Un Prestataire de Vérification d’Identité à Distance permettra la mise en place d’une réponse à vos obligations « KYC » et la configuration de votre mise en conformité, lorsque l’entrée en relation d’affaires se fait à distance. Il ne faut pas oublier néanmoins que d’autres solutions existent afin d’assurer votre conformité, comme la signature électronique qualifiée au sens du règlement européen eIDAS.

Mais vous serez également indirectement concerné si vous souhaitez offrir à vos clients un service de confiance numérique encadré par le règlement européen eIDAS, comme le recommandé électronique ou la signature électronique qualifiée. En effet, en France, le Prestataire de Service de Confiance (PSCo) doit intégrer une solution PVID ou se faire certifier lui-même Prestataire PVID s’il veut mettre en œuvre un service qualifié à distance.

Vous souhaitez contacter un expert Netheos ?

Les informations collectées dans ce formulaire seront transmises à un expert solution Netheos qui vous recontactera dans les plus brefs délais. Les précisions que vous pourrez apporter lui permettra de personnaliser son aide afin de mieux répondre à vos attentes.

Contactez un expert Netheos

Que faut-il retenir du référentiel PVID ?

Il définit un niveau de garantie en deux temps : substantiel et élevé.

Netheos : Data hébergées en France

Niveau élevé

Les attaquants sont considérés comme disposant d’un « potentiel d’attaque élevé ». Ce niveau sera – à priori – réservé aux besoins étatiques, là où les risques sont les plus hauts.

Netheos : Archivage Arkhinéo

Niveau substantiel

Les attaquants sont considérés comme disposant d’un « potentiel d’attaque modéré ». La sécurité de la solution doit être garantie et équivalente au face à face que vous pourriez avoir avec votre banquier ou tout employé chargé de vérifier votre identité, vos informations, vos documents, dans l’unique but d’éviter la fraude.

Le niveau substantiel s’adapte donc à la grande majorité des usages, comme ouvrir un compte bancaire en ligne (e-KYC), souscrire une assurance, recevoir une lettre recommandée électronique qualifiée, signer électroniquement à distance au niveau qualifié (équivalent à une signature manuscrite), etc.

Pour ces raisons, l’ANSSI a défini des exigences de sécurité dont notamment :

  • Une acquisition vidéo complète de l’utilisateur (pas de photo, ni pour le document d’identité, ni pour la biométrie) à un niveau de résolution élevé (720p).
  • Un contrôle humain systématique venant en complément du contrôle automatique (nommé contrôle hybride).
  • Un suivi et formation poussées des opérateurs validant les identifications
  • Une infrastructure auditée répondant ) des critères de sécurité élevés.

PVID et RGPD : Que faut-il faire pour être en règle ?

L’ANSSI a consulté à plusieurs reprises la CNIL lors de la rédaction du référentiel qui intègre un certain nombre d’exigences en lien direct avec le RGPD.

En pratique, l’anonymisation des éléments d’identification (vidéo) doit être réalisée au bout de 96h sur les serveurs applicatifs. 

En parallèle, l’archivage légal des documents et preuves d’identité est obligatoire. Aucune durée n’est précisée dans le cahier des charges de l’ANSSI mais un délai de 7 ans semble un bon compromis et cohérent vis-à-vis des autres réglementations.

Quels sont les Prestataires PVID ?

Actuellement, aucun industriel n’a achevé le processus de certification prestataire PVID. Pour connaître la liste des prestataires en cours de certification, vous pouvez vous rendre sur la page officielle de l’ANSSI

Au , aucun prestataire n'est encore certifié

Quand Netheos sera-t-il certifié PVID ?

Spécialiste de la vérification d’identité depuis 2013, Netheos est en cours d’évaluation pour la certification PVID, et référencé sur la page officielle de l’ANSSI.

Face à la publication définitive du référentiel d’exigences de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, organisme Français) et au regard de ses spécificités, il nous a semblé cohérent de prendre 6 mois pour faire évoluer nos technologies dans son sens avant de déposer notre dossier et tenter d’apporter une réponse cohérente. C’est donc en septembre 2021 que nous l’avons déposé, fort d’une technologie nouvellement brevetée, alliant sécurité et expérience client. Nous sommes aujourd’hui à la dernière étape du processus de certification.

Les solutions Netheos

Déjà utilisées par plusieurs grands comptes français, nos solutions de « Facematch » ont pour objectif :

  • D’accompagner l’utilisateur final étape par étape, notamment à travers des vidéos explicatives et des conseils contextuels,
  • De réduire au maximum les faux positifs, c’est-à-dire les cas de blocage visibles par le client,
  • D’arrêter la fraude et l’usurpation la plus sophistiquée de l’état de l’art de la profession.

Ces solutions sont accessibles directement via API ou via notre offre Trust & Sign qui, une fois intégrée grâce à notre équipe d’aide à la configuration, permet à nos clients d’accéder à un vaste catalogue de services de confiance. Certaines offres répondent également aux obligations réglementaires LCB-FT, comme la signature qualifiée (au titre de la 6ème mesure de vigilance du code monétaire et financier) ou l’identité numérique de niveau substantiel de la Poste (dispensant la mise en œuvre de 2 mesures de vigilance).

L’identité se comprenant aujourd’hui au sens le plus large, d’autres services Trust & Sign permettront de mieux connaître vos clients, comme l’analyse automatisée des justificatifs / données client ou l’interrogation Sepamail Diamond permettant de vérifier un RIB.

Netheos est une société française, filiale de Namirial depuis 2021, groupe européen d’origine italienne de plus de 800 collaborateurs répartis sur 25 pays pour un chiffre d’affaires annuel de 100 millions d’Euros.

LogoFloa-800-800
logo-prefon
logo-franfinance
logo-universign
Logo Allianz Trade
logo-cnp-assurances
logo-cdc-habitat
Logo La Banque Postale
Logo Infogreffe
logo-yousign-2020-800-800
Précédent
Suivant
Restons en contact
Linkedin Twitter Facebook
Newsletter
En direct du blog
netheos_namirial_logo_white
GROUPE NAMIRIAL