Le référentiel de l’ANSSI en cours de finalisation – sa publication définitive est attendue pour le mois d’avril – définit un socle commun d’exigences applicables en matière de vérification d’identité à distance, que ce soit pour les fournisseurs d’identités numériques, les prestataires de services de confiance accrédités par l’ANSSI, ou les prestations de service aux établissements assujettis dans le cadre de la mise en œuvre du devoir de vigilance pour l’entrée en relation (article R. 561-5-2 5° CMF).
Le référentiel vise la vérification à distance de l’identité à partir d’un titre d’identité par comparaison du visage et pour les niveaux élevé et substantiel, ce dernier étant présenté comme « équivalent à un face-à-face physique dans le cadre de l’accès à un service public ou privé nécessitant une preuve d’identité », allusion bien sûr à l’article 24.1 du règlement eIDAS (voir Encadré 1) ; il définit de façon détaillée le cahier des charges applicable aux prestataires de vérification d’identité à distance (PVID), qui seront des opérateurs disposant de moyens techniques et humains conséquents ayant obtenu une certification ANSSI impliquant de rigoureux tests biométriques et de détection des faux documents d’identité.
Le référentiel couvre en effet de très nombreux aspects opérationnels, notamment aux fins d’assurer la sécurité des systèmes d’information déployés dans le cadre des vérifications d’identité, mais aussi l’organisation du prestataire et sa gouvernance, ses relations avec le service métier utilisateur de l’identité une fois celle-ci vérifiée – notamment pour la définition des données de résultat susceptibles d’être communiquées après mise en œuvre des procédures de vérification. A titre d’illustration, le référentiel demande la mise en place d’un référent « fraude titre d’identité », d’un référent « fraude biométrie » ainsi que d’un officier de sécurité chargé d’assurer la liaison avec les services de l’Etat.
Le principal apport du référentiel est de définir les exigences applicables en matière d’identification à distance pour le niveau substantiel, qui comme on le sait est en France celui retenu pour l’accès aux services financiers en application des règles LCB-FT. Le point sans doute le plus marquant est celui de l’exigence pour ce niveau d’une « détection du vivant » et d’une comparaison du visage assorties de strictes conditions d’application. Rappelons à cet égard que celles-ci ne font pas nativement partie des critères du règlement eIDAS pour le même niveau substantiel, lequel est de son côté principalement axé sur la possession de facteurs d’authentification (voir règlement d’application UE 2015/1502).
L’identification à distance intervient par capture d’une séquence vidéo du visage de la personne à identifier et comparaison avec sa photo officielle figurant sur le titre présenté, elle-même recueillie via un flux vidéo ou directement extraite du composant de sécurité du titre d’identité après application d’un procédé cryptographique, situation qui apporte une avancée majeure en matière de fiabilité et pourrait se généraliser avec le développement des cartes d’identité répondant aux spécifications du règlement 2019/1157 (dont la CNIe française), pour autant toutefois que les incertitudes juridiques sur l’accès à ces données soient levées.
Ces flux vidéo sont bien sûr spécifiés de façon détaillée, notamment aux fins d’assurer le respect des règles de protection des données personnelles, évidemment essentielles en ce domaine puisque des données biométriques sont utilisées. C’est notamment à ce titre que le référentiel impose une durée courte (96 heures) de conservation par le prestataire de vérification d’identité des données dont la finalité est de faire l’objet d’un traitement biométrique. On notera par ailleurs le recours à une approche basée sur des critères objectifs – taux de faux négatif et surtout de faux positif et capacité du processus mis en œuvre à répondre à un « potentiel d’attaque » spécifié (« modéré » pour le niveau substantiel, « élevé » pour le niveau élevé) – qui traduit une évolution majeure des critères d’évaluation des processus de vérification d’identité à distance.
Le résultat de cette comparaison se traduit par un verdict de résultat binaire (échec ou succès) nécessairement accompagné en cas de succès, d’une intervention de validation humaine, l’ANSSI n’acceptant pas les traitements de validation totalement automatisés. Ce verdict est accompagné d’un nombre limité d’attributs d’identité, d’une photo du titre d’identité et du visage de l’utilisateur, le cas échéant accompagnés de données complémentaires demandées par le service métier.
![[Web Only] Tarifs bancaires : les banques amortissent l’inflation](http://www.revue-banque.fr/binrepository/480x320/0c0/0d0/none/9739565/MEBW/gettyimages-968963256-frais-bancaires_221-3514277_20240417171729.jpg "[Web Only] Tarifs bancaires : les banques amortissent l’inflation")
