02
avr.
2024
Actualités juridiques
Droit des nouvelles technologies et de la communication
Droit public
2024
Actualités juridiques
Droit des nouvelles technologies et de la communication — Droit public
Conditions de délivrance de la qualification des Prestataires de Vérification d'Identité à Distance (PVID)
La qualification des prestataires de vérification d’identité à distance (PVID) est prévue au j) de l’article 6 de l’Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l’article 24 de la Loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, modifiée par l'Ordonnance Souveraine n° 10.350 du 25 janvier 2024. Depuis cette modification, le Directeur de de l’Agence Monégasque de Sécurité Numérique (AMSN) a également pour mission k) la qualification des Prestataires d'Administration et de Maintenance Sécurisées (PAMS) et l) la qualification des Prestataires d'Accompagnement et de Conseil en Sécurité des systèmes d'information (PACS).
Un service de vérification d’identité à distance possède la même finalité qu’une vérification d’identité en présentiel, à savoir vérifier que le titre d’identité présenté par l’utilisateur est authentique et que l’utilisateur est le légitime détenteur du titre d’identité.
La qualification PVID atteste du haut niveau d’efficacité dans la lutte contre la fraude identitaire et documentaire (usurpation ou altération d’identité).
L'Arrêté Ministériel n° 2024‑164 du 22 mars 2024 (JDM n° 8688 du 29 mars 2024) fixe les conditions de délivrance de la qualification des PVID.
Parmi les hypothèses de recours au service d'un PVID, peuvent être citées la création de signature électronique qualifiée, l'ouverture de comptes financiers en ligne, l'onboarding client digital sécurisé (processus d’entrée en relation à distance), etc.
* * *
¤ La qualification est délivrée par le Directeur de l'AMSN) après que le respect, par le prestataire, des exigences du référentiel PVID français publié par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), a été vérifié par un organisme reconnu compétent par l'ANSSI pour évaluer des PVID.
Le référentiel PVIS français est disponible et téléchargeable sur le site internet français > https://cyber.gouv.fr/sites/de....
La liste des organismes reconnus par l’ANSSI pour évaluer les PVID est disponible sur le site internet français > https://cyber.gouv.fr/voir-les....
Les deux niveaux de garantie prévus par ledit référentiel attestent d’une vérification d’identité à distance répondant aux objectifs de sécurité définis par le Règlement (UE) eIDAS :
- le niveau de garantie substantiel vise à réduire substantiellement le risque d’usurpation ou d’altération de l’identité. Le service doit garantir l’équivalence en termes de fiabilité avec un face à face physique réalisé dans le cadre de l’accès à un service public ou privé nécessitant une preuve d’identité (par exemple, par une personne formée de manière générale à la comparaison de visages et à la détection titres d’identité altérés ou falsifiés mais ne disposant pas d’outillage élaboré). Le service doit résister à un attaquant disposant d’un potentiel d’attaque modéré ;
- le niveau de garantie élevé vise à empêcher le risque d’usurpation ou d’altération de l’identité. Le service doit garantir l’équivalence en termes de fiabilité avec un face à face physique réalisé dans le cadre de la délivrance d’un titre d’identité (par exemple réalisé par une personne formée à la lutte contre la fraude identitaire et disposant d’un outillage spécifique permettant de confirmer l’authenticité des titres d’identité et formée à la comparaison des visages). Le service doit résister à un attaquant disposant d’un potentiel d’attaque élevé.
Le référentiel formule des exigences applicables aux PVID, que les services de vérification d’identité à distance soient asynchrones (la phase de vérification des données d’identification est réalisée de manière différée par rapport à la phase d’acquisition des données d’identification), synchrones avec interaction humaine (permet des interactions entre l’utilisateur et l’opérateur lors de la phase d’acquisition ou de vérification des données d’identification, par exemple, un opérateur guide l’utilisateur lors de l’acquisition des données d’identification), synchrones sans interaction humaine, internes ou externes.
Le référentiel ne traite pas de :
- la vérification d’identité à distance de personnes morales ou du lien entre des personnes physiques et des personnes morales ;
- la vérification d’identité à distance sur la base d’autres mécanismes que la comparaison de visage ;
- la vérification de données complémentaires acquises par le service de vérification d’identité à distance (données transmises au service métier dans le résultat de vérification d’identité à distance mais sur lesquelles aucune vérification n’est réalisée dans le cadre du référentiel).
¤ L’évaluation d’un PVID requiert trois domaines de compétences :
- évaluation de conformité ;
- tests informatiques de l’efficacité du service sur le volet biométrie ;
- tests physiques de l’efficacité du service sur le volet biométrie.
Un prestataire candidat peut choisir plusieurs organismes d’évaluation reconnus afin de couvrir l’ensemble des domaines de compétences requis.
¤ Le Directeur de l’AMSN peut, l’intéressé entendu en ses explications ou dûment appelé à les fournir, suspendre pour une durée déterminée voire retirer la qualification de prestataire de vérification d’identité à distance dans le cas où le référentiel d’exigences susvisé n’est plus respecté.
* * *
Autres publications