PRESTATAIRE PVID : Netheos en cours de certification par l’ANSSI

Qu’est ce qu'un prestataire PVID ?

Afin de lutter contre l’usurpation d’identité sur Internet et la fraude de façon plus globale, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, organisme Français) a publié le 1er mars 2021 un référentiel d’exigences permettant l’évaluation du degré de sécurité des services des « Prestataires de Vérification d’Identité à Distance » (prestataire PVID) et, in fine, de les certifier.

Vous pouvez librement télécharger ce référentiel sur le site de l’ANSSI (ici).

Dans le but d’également en apprendre plus sur ce référentiel, vous pouvez télécharger gratuitement le replay de notre webinar “Prestataire PVID : quelles nouveautés pour l’onboarding client ?

Des questions ? Parlons-en !

Pourquoi une nouvelle certification en France et pourquoi PVID ?

certification prestataire pvid

Le prestataire PVID certifié se verra remettre une certification délivrée par l’ANSSI. Ce label permettra à l’ensemble de l’écosystème de savoir qu’une solution de vérification d’identité a été rigoureusement auditée et peut-être – de fait – considérée comme fiable. 

Cela aidera les organismes et entreprises fortement régulés – comme les banques ou les assurances – à choisir leurs fournisseurs. Notamment dans le contexte de Lutte Contre le Blanchiment d’Argent et le Financement du Terrorisme (LCB-FT), lorsqu’ils souhaiteront mettre en œuvre la 5ème mesure de vigilance complémentaire du code monétaire et financier. Le choix d’un prestataire certifié PVID (Prestataires de Vérification d’Identité à Distance) sera alors obligatoire pour assurer la conformité de son processus KYC (Know Your Customer).

Que faut-il retenir du référentiel PVID ?

Il définit un niveau de garantie en deux temps : substantiel et élevé.

 

  • Au niveau élevé, les attaquants sont considérés comme disposant d’un « potentiel d’attaque élevé ». Ce niveau sera – à priori – réservé aux besoins étatiques, là où les risques sont les plus hauts.
  • Au niveau substantiel, les attaquants sont considérés comme disposant d’un « potentiel d’attaque modéré ». La sécurité de la solution doit être garantie et équivalente au face à face que vous pourriez avoir avec votre banquier ou tout employé chargé de vérifier votre identité, vos informations, vos documents, dans l’unique but d’éviter la fraude.

 

référentiel prestataire PVID

Le niveau substantiel s’adapte donc à la grande majorité des usages, comme ouvrir un compte bancaire en ligne (e-KYC), souscrire une assurance, recevoir une lettre recommandée électronique qualifiée, signer électroniquement à distance au niveau qualifié (équivalent à une signature manuscrite), etc.

Pour ces raisons, l’ANSSI a défini des exigences de sécurité dont notamment :

  • Une acquisition vidéo complète de l’utilisateur (pas de photo, ni pour le document d’identité, ni pour la biométrie) à un niveau de résolution élevé (720p).
  • Un contrôle humain systématique venant en complément du contrôle automatique (nommé contrôle hybride).
  • Un suivi et formation poussées des opérateurs validant les identifications
  • Une infrastructure auditée répondant ) des critères de sécurité élevés.

Êtes-vous concerné par ce nouveau standard ?

standard du référentiel prestataire pvid

C’est le cas si vous êtes soumis à la réglementation LCB-FT. Un Prestataire de Vérification d’Identité à Distance vous permettra de répondre à vos obligations « KYC » et à la mise en conformité, lorsque l’entrée en relation d’affaire se fait à distance. Il ne faut pas oublier néanmoins que d’autres solutions existent afin d’assurer votre conformité, comme la signature électronique qualifiée au sens du règlement européen eIDAS.

Mais vous serez également indirectement concerné si vous souhaitez offrir à vos clients un service de confiance en ligne encadré par le règlement européen eIDAS, comme le recommandé électronique ou la signature électronique qualifiée. En effet, en France, le Prestataire de Service de Confiance (PSCo) doit intégrer une solution PVID ou se faire certifier lui-même Prestataire PVID s’il veut mettre en œuvre un service qualifié à distance.

PVID et RGPD : Quels sont les risques ?

L’ANSSI a consulté à plusieurs reprises la CNIL lors de la rédaction du référentiel qui intègre un certain nombre d’exigences en lien direct avec la protection des données personnelles.

 

En pratique, l’anonymisation des éléments d’identification (vidéo) doit être réalisée au bout de 96h sur les serveurs applicatifs. 

 

En parallèle, l’archivage légal des documents et preuves d’identité est obligatoire. Aucune durée n’est précisée dans le cahier des charges de l’ANSSI mais un délai de 7 ans semble un bon compromis et cohérent vis-à-vis des autres réglementations.

prestataire pvid rgpd

Quels sont les Prestataires PVID ?

process prestataire pvid

A fin août 2022, aucun industriel n’a achevé le processus de certification prestataire PVID. 

Pour connaître la liste des prestataires en cours de certification, vous pouvez vous rendre sur la page officielle de l’ANSSI.

Quand Netheos sera-t-il certifié PVID ? 

Spécialiste de la vérification d’identité depuis 2013, Netheos est en cours d’évaluation pour la certification, et référencé sur la page officielle de l’ANSSI

Face à la publication définitive du référentiel d’exigences de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, organisme Français) et au regard de ses spécificités, il nous a semblé cohérent de prendre 6 mois pour faire évoluer nos technologies dans son sens avant de déposer notre dossier. C’est donc en septembre 2021 que nous l’avons déposé, fort d’une technologie nouvellement brevetée, alliant sécurité et expérience client. Nous sommes aujourd’hui à la dernière étape du processus de certification.

 

Déjà utilisées par plusieurs grands comptes français, nos solutions de « Facematch » ont pour objectif :

  • D’accompagner l’utilisateur final étape par étape, notamment à travers des vidéos explicatives et des conseils contextuels,
  • De réduire au maximum les faux positifs, c’est-à-dire les cas de blocage visibles par le client,
  • D’arrêter la fraude et l’usurpation la plus sophistiquée de l’état de l’art de la profession.

Ces solutions sont accessibles directement via API ou via notre offre Trust & Sign qui, une fois intégrée, permet à nos clients d’accéder à un vaste catalogue de services de confiance. Certaines offres répondent également aux obligations règlementaires LCB-FT, comme la signature qualifiée (au titre de la 6ème mesure de vigilance du code monétaire et financier) ou l’identité numérique de niveau substantiel de la Poste (dispensant la mise en œuvre de 2 mesures de vigilance).

L’identité se comprenant aujourd’hui au sens le plus large, d’autres services Trust & Sign permettront de mieux connaître vos clients, comme l’analyse automatisée des justificatifs / données client ou l’interrogation Sepamail Diamond permettant de vérifier un RIB.

Netheos est une société française, filiale de Namirial depuis 2021, groupe européen d’origine italienne de plus de 800 collaborateurs répartis sur 25 pays pour un chiffre d’affaires annuel de 100 Millions d’Euros.

Point sur la certification

Actuellement, aucun prestataire n’est encore certifié.