Publicité

4 questions autour de la vérification d’identité à distance

Le (Mis à jour le 24/01/2024 )

  • signature-electronique-pvid-verification-identite-distance.jpg

    contrat-tampon-numerique-signature-electronique
    La signature électronique répond parfaitement aux enjeux liés à la vérification d'identité à distance. (Freepik)
    • Garantissant la sécurité des échanges, la signature électronique trouve son sens dans de nombreux processus. Et pour pouvoir signer à distance en toute confiance, il faut pouvoir identifier le signataire. C’est là qu’apparaissent les technologies permettant d’effectuer cette vérification d’identité à distance. Explications.

    Bien que les préoccupations liées à la vérification d’identité à distance soient assez récentes, elles ont pris une ampleur grandissante avec la multiplication des démarches en ligne (demandes de prêts, remboursements par la mutuelle, etc.). Son cadre réglementaire tend ainsi à se préciser : en attendant la refonte du règlement eIDAS (annoncée pour fin 2022), 2 textes encadrent tout particulièrement la vérification d’identité à distance : 

    • Le référentiel PVID (Prestataires de vérification d’identité à distance) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) rappelle notamment que ce processus à la même vocation qu’une vérification d’identité en face-à-face : “vérifier que le titre d’identité présenté par l’utilisateur est authentique et que l’utilisateur en est le détenteur légitime”. La vérification d’identité à distance vise donc à lutter contre la fraude à l’identité et aux risques qu’elle embarque : données frauduleuses, manipulation d’images, usurpation d’identité, etc. 
    • Le Règlement UE n°910/2014 du 23 juillet 2014 qui identifie 3 niveaux de garantie des schémas d’identification électronique en fonction des procédés utilisés et des preuves fournies : faible, substantiel ou élevé. Seul ce dernier niveau vise à empêcher l’utilisation abusive ou l’altération de l’identité, les autres n’ayant vocation qu’à réduire ce risque.

    Et la signature électronique, dans tout ça ?

    Outre les niveaux de garantie fixés par la réglementation européenne, qui rappellent étonnamment les niveaux de signature électronique, cette dernière, par sa nature même, répond précisément aux enjeux de la vérification d’identité à distance. En effet, le processus de signature électronique intègre directement une étape de vérification de l’identité du signataire selon le niveau de sécurité établi :

    • simple, avec l’envoi d’un code OTP (one-time password, ou mot de passe à usage unique) par SMS ;
    • avancé, à travers le contrôle de la pièce d’identité et un processus de vérification d’identité ou le recours à un prestataire certifié PVID ;
    • qualifié, en passant par un prestataire certifié PVID ou en face-à-face physique, pour remise du support cryptographique en mains propres.

    Le certificat de signature électronique joint à cette dernière joue également un rôle indispensable dans ce processus, puisqu’il garantit l’identité du signataire et peut intégrer un horodatage, qualifié ou non. Sa valeur probatoire dépend, bien entendu, du niveau de signature utilisé et des moyens mis en place pour sécuriser les échanges.

    Quelles technologies derrière la vérification d’identité à distance ?

    Si la signature électronique est évidemment une brique nécessaire à la sécurisation du processus de vérification d’identité à distance, elle n’est pas la seule exigence imposée par l’ANSSI en matière de conformité de ce type de service. Dans son référentiel PVID, l’organisme offre une description générale du service de vérification d’identité à distance et précise les modalités d’évaluation des prestataires concernés. Et surtout, elle liste les exigences que ces derniers doivent respecter :

    • appréciation et traitement des risques ;
    • politique et pratiques de vérification d’identité à distance ;
    • activités du service de vérification d’identité à distance ;
    • protection de l’information ;
    • organisation du prestataire et gouvernance ;
    • qualité et niveau de service.

    Pour répondre à ces différentes exigences, les prestataires de vérification d’identité à distance s’appuient sur des étapes sensiblement similaires :

    1. Récupération des preuves d’identité : copie d’une pièce d’identité (carte d’identité, passeport, etc.), réalisation de 2 vidéos par l’utilisateur, l’une de son visage et la pièce d’identité, et l’autre faisant office de “preuve de vie”, dans laquelle il est amené à réaliser des actions de façon aléatoire (réciter des chiffres, se filmer de profil, de face, etc.) ;
    2. Vérification des preuves fournies : contrôle humain ou par l’intelligence artificielle, selon le prestataire. Il s’agit essentiellement de vérifier que la pièce d’identité transmise correspond bien au visage de l’utilisateur sur les vidéos. Outre son identité, il s’agit de vérifier que la personne n’est pas contrainte ;
    3. Constitution du dossier de preuve (audit trail) et transmission du résultat de la vérification.

    Et en pratique ?

    Complexe de prime abord, ce procédé est, en réalité, loin d’être novateur et présente, surtout, l’avantage d’être totalement transparent pour l’utilisateur. Ce dernier est d’ailleurs guidé tout au long de son parcours pour le rendre plus simple. Par exemple, lors de la souscription à un service bancaire à distance, le client n’a qu’à saisir ses données personnelles (nom, prénom, coordonnées) et joindre sa pièce d’identité avant de filmer 2 vidéos. Ces différents contenus sont transmis directement au prestataire de service d’identification à distance, qui les contrôle et envoie les résultats de son analyse à l’établissement bancaire concerné.

    En général, ce procédé intervient dès le début du parcours client, de sorte que l’utilisateur peut poursuivre sa souscription (par exemple, préciser le montant de son prêt, le nombre de mensualités, ses salaires, et joindre les justificatifs nécessaires). Si tout est en règle, et sous réserve que la banque ait mis en place une intelligence artificielle suffisamment performante, l’utilisateur peut savoir, dès la fin de son parcours, si sa demande de prêt sera validée ou non. Entre-temps, son identité aura instantanément été vérifiée par le prestataire auquel sa banque fait appel.

    Vers quel prestataire se tourner ?

    Particulièrement strict, le référentiel PVID de l’ANSSI n’a été mis en place qu’en mars 2021. Depuis, de nombreux prestataires de vérification d’identité à distance et de signature électronique ont déposé un dossier afin d’être certifiés, à l’instar d’Ariadnext, Docaposte, GmbH, Lydia, Netheos, QuickSign, Tessi, Luminess ou encore Ubble.

    Il faudra cependant attendre quelques semaines, voire quelques mois, pour savoir qui sont les prestataires de vérification d’identité à distance respectant le référentiel PVID de l’ANSSI, les dossiers étant toujours à l’étude.

    Pour tout savoir de la signature électronique et du parapheur électronique, téléchargez l'édition 2022 du Supplément Archimag entièrement dédié à cette thématique.  

    Sur le même sujet: 
    La signature électronique, outil de confiance n° 1
    La signature électronique, ça marche aussi en face-à-face
    Vérification d'identité : Kodak Alaris s’allie à Ariadnext by IDnow 
    0 Commentaire
    signature électronique
    pvid
    confiance numérique
    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.
    Lire la suite...
    Publicité

    supplement-confiance-numerique-270500.png