Identité numérique : la certification française précurseur d’une nécessaire et très attendue harmonisation européenne

L'année 2022 marque une étape importante dans le secteur des solutions de vérification d’identité à distance en France avec la mise en œuvre de la certification « Prestataires de service de vérification d’Identité à distance » (PVID). L’ensemble des règles et recommandations rassemblées dans le référentiel élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) détermine un niveau d’exigences requis et définit une offre de service sécurisée et robuste pour lutter contre la fraude. Elle pourrait aussi préfigurer la future harmonisation européenne de l’identité numérique.

La vérification d'identité à distance est un nouveau processus et son rôle est clair : s'assurer qu'une personne correspond à sa pièce d'identité avec le même niveau de précision et de sécurité que la vérification en personne. Cette vérification, effectuée en ligne ou en face-à-face, intervient dans de nombreuses situations de nos vies quotidiennes : ouvrir un compte en banque, réserver une chambre d’hôtel, jouer à des jeux d’argent, louer un véhicule... La vérification à distance diffère en cela qu’il s’agit de vérifier via des solutions numériques, la connexion entre le document d'identité et l’utilisateur détenteur du document. Pratiquement, la démarche est simple : la solution numérique demande à l’utilisateur de prendre une photo de son document d’identité, puis une photo ou vidéo portrait, et enfin procède aux comparaisons nécessaires des données pour fournir un verdict. Grâce à un appareil connecté, la vérification se fait quasiment n'importe où, en un temps record (de quelques secondes) sur smartphone, ordinateur ou même en point de vente physique.

Comme dans tous les secteurs où des capitaux circulent, les fraudeurs tentent leur chance et l’usurpation d’identité demeure le risque principal. Il se complexifie à distance avec l’arrivée de risques spécifiques supplémentaires (manipulation des données / images biométriques...). Pour y faire face et tenter de les déjouer, l’Europe a mis en œuvre la directive AML et établi des mesures de vigilance contre le blanchiment d'argent et les risques de financement du terrorisme pour de nombreux secteurs (Banques-finances-crypto-monnaies, jeux d’argent, télécommunications...). L'obligation de vérifier l’identité de son client avant d’engager une relation commerciale, processus KYC (Know Your Customer), est une des clés de voûte de ces législations et de la lutte contre la fraude en général.

Largement plébiscitées dans le monde en raison de la massification des échanges et services numériques, l’utilisation de solutions de vérification numériques explose et la récente pandémie n’a fait qu’amplifier les besoins des entreprises et des consommateurs. C’est pourquoi, le principal défi de la vérification d’identité à distance est, au-delà des obligations de conformité réglementaire, normative nationales et européennes de lutte contre la fraude et le blanchiment d’argent, de créer le parfait équilibre entre sécurité, confiance et praticité pour les utilisateurs finaux.

Vérification automatique par intelligence artificielle en France, vérification par vidéo chat en Allemagne, capture biométrique de photos ou vidéos des profils utilisateurs, lecture de puces NFC embarquées dans les nouveaux documents d’identité numériques : le paysage européen des solutions numériques est un vrai kaléidoscope, variant selon les transpositions des directives européennes et lois nationales, contrariant potentiellement les évolutions des services numériques.

Les lignes réglementaires et normatives européennes bougent et les grands acteurs européens du secteur sont largement impliqués. La concurrence outre-Atlantique est rude et un cadre réglementaire unifié, structurant, et sécurisé est essentiel. La Commission poursuit l'évaluation d'un nouveau règlement européen AML afin d’offrir un cadre unique pour tous les États membres dans l’établissement d’obligations de vérifications d’identité. En parallèle, l’ETSI, Institut européen des normes de télécommunications, a publié le Standard ETSI TS 119 461 en juillet 2021, qui doit normaliser la définition des services de vérification à distance. Il servira de base européenne à la définition de la vérification d’identité à distance dans le cadre de la révision du règlement européen eIDAS, en proposant un socle technique normalisé pour la genèse des identités numériques.

En juin 2021, le projet d’identité numérique présenté par Margrethe Vestager et Thierry Breton posait le véritable enjeu de la vérification d’identité à distance : offrir à tous les citoyens, résidents et entreprises de l’UE, la possibilité d’utiliser, réutiliser rapidement, simplement et de manière sécurisée, ses éléments d’identité à l’aide d’une application et d’accéder à un maximum de services. La certification PVID en France contribue à la mise en œuvre de la stratégie numérique de l'UE et est suivie de près par l’ensemble des pays membres.

Le niveau d’exigences strictes attendu en matière de performance et de sécurité par cette certification indique qu’elle a le potentiel pour devenir un élément de construction de l'harmonisation réglementaire de la preuve d'identité. Si la norme PVID est considérée comme suffisamment robuste pour l’entrée en relation des utilisateurs dans un portefeuille numérique, elle pourrait changer la donne pour des usages numériques plus larges, servir de support de vérification d'identité dans de vastes zones géographiques et pour des cas d’usages bien plus importants.

La tendance montre qu’au-delà des schémas d'identité numérique nationale et des bonnes pratiques anti-fraude, l’identité numérique s’invite dans d'autres domaines de la vie courante. Cette certification conforte le maintien de normes de sécurité solides alors que l’industrie atteint un nouveau stade de développement. Chaque partie prenante en a pris la mesure et travaille à la conception d’un portefeuille européen capable d'aider les autorités compétentes nationales et la Commission à définir la politique et le cadre technique qui permettront d'approuver les systèmes d'identité notifiés pour un portefeuille d'identité numérique.