Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de la dématérialisation et de la transformation numérique !
La vérification d’identité à distance a pris une ampleur grandissante avec la multiplication des démarches en ligne (demandes de prêts, remboursements par la mutuelle, etc.).
Et en attendant la refonte du règlement eIDAS, elle est encadrée par deux textes : le référentiel PVID (Prestataires de vérification d’identité à distance) de l’Anssi (Agence nationale de la sécurité des systèmes d’information) et le Règlement UE n° 910/2014 du 23 juillet 2014. Celui-ci identifie 3 niveaux de garantie des schémas d’identification électronique en fonction des procédés utilisés et des preuves fournies.
Lire aussi : Comparatif : Parapheur et signature électroniques, entre efficacité, sécurité et intégrité
La signature électronique
Outre les niveaux de garantie fixés par la réglementation européenne, qui rappellent étonnamment les niveaux de signature électronique, cette dernière, par sa nature même, répond précisément aux enjeux de la vérification d’identité à distance. En effet, son processus intègre directement une étape de vérification de l’identité du signataire selon le niveau de sécurité établi :
- simple, avec l’envoi d’un code OTP (one-time password, ou mot de passe à usage unique) par SMS ;
- avancé, à travers le contrôle de la pièce d’identité et un processus de vérification d’identité ou le recours à un prestataire certifié PVID ;
- qualifié, en passant par un prestataire certifié PVID ou en face à face physique, pour remise du support cryptographique en mains propres.
Le certificat de signature électronique joue également un rôle indispensable dans ce processus, puisqu’il garantit l’identité du signataire et peut intégrer un horodatage, qualifié ou non. Sa valeur probatoire dépend, bien entendu, du niveau de signature utilisé et des moyens mis en place pour sécuriser les échanges.
Services de vérification d’identité à distance
Si la signature électronique est évidemment une brique nécessaire à la sécurisation du processus de vérification d’identité à distance, elle n’est pas la seule exigence en matière de conformité de ce type de service.
Lire aussi : Des perspectives de croissance colossales pour la signature électronique
Dans son référentiel PVID, l’Anssi offre une description générale du service de vérification d’identité à distance et précise les modalités d’évaluation des prestataires concernés. Surtout, elle liste les exigences que ces derniers doivent respecter :
- appréciation et traitement des risques ;
- politique et pratiques de vérification d’identité à distance ;
- activités du service de vérification d’identité à distance ;
- protection de l’information ;
- organisation du prestataire et gouvernance ;
- qualité et niveau de service.
Pour répondre à ces différentes exigences, les prestataires de vérification d’identité à distance s’appuient sur des étapes sensiblement similaires :
- récupération des preuves d’identité : copie d’une pièce d’identité, réalisation de 2 vidéos par l’utilisateur, l’une de son visage et la pièce d’identité, et l’autre faisant office de « preuve de vie », dans laquelle il est amené à réaliser des actions de façon aléatoire ;
- vérification des preuves fournies : contrôle humain ou par l’intelligence artificielle (IA), selon le prestataire. Il s’agit essentiellement de vérifier que la pièce d’identité transmise correspond bien au visage de l’utilisateur sur les vidéos et de vérifier que la personne n’est pas contrainte ;
- constitution du dossier de preuve (audit trail) et transmission du résultat de la vérification.
Lire aussi : Hacking éthique, cybersécurité, empreinte numérique... Rencontre avec Baptiste Robert
Et en pratique ?
Complexe de prime abord, ce procédé est en réalité loin d’être novateur et présente surtout l’avantage d’être totalement transparent pour l’utilisateur. En général, ce procédé intervient dès le début du parcours client, de sorte que l’utilisateur peut poursuivre sa souscription (par exemple, préciser le montant de son prêt, le nombre de mensualités, ses salaires, et joindre les justificatifs nécessaires).
Si tout est en règle, et sous réserve que la banque ait mis en place une IA suffisamment performante, l’utilisateur peut savoir dès la fin de son parcours si sa demande sera validée ou non. Entre-temps, son identité aura été instantanément vérifiée par le prestataire auquel sa banque fait appel.