Qu’est-ce qu'un Prestataire de Vérification d'Identité à Distance (PVID) ?
Un PVID est un prestataire qui propose un service applicatif ou hybride permettant de vérifier l'identité d'une personne physique à distance, sans que celle-ci n'ait besoin de se déplacer.
Le référentiel PVID
Le référentiel d'exigences PVID v1.1 de l'ANSSI fixe un ensemble strict de règles organisationnelles, juridiques et techniques. L'objectif fondamental est d'atteindre un niveau de certitude et de fiabilité équivalent à une vérification d'identité effectuée en face-à-face physique. Pour y parvenir, le référentiel impose une double validation combinant des technologies de pointe (reconnaissance de caractères, biométrie, détection du vivant) et un contrôle final opéré par des experts humains formés à la fraude documentaire.
La qualification PVID, souvent utilisée pour délivrer des certificats qualifiés eIDAS ou dans le cadre de la qualification des Moyens d'Identification Électronique (MIE), repose sur :
- L'évaluation de la conformité du service aux exigences organisationnelles et techniques du référentiel.
- Des tests d'efficacité poussés sur les volets biométrie et titres d'identité.
Les deux niveaux de garanties
Le référentiel de l'ANSSI qualifie les services selon deux profils de sécurité distincts, basés sur la résistance aux attaquants :
- Profil Substantiel : La solution doit démontrer sa robustesse face à des attaquants disposant d'un potentiel modéré. Les critères de tolérance aux faux positifs ou échecs d'acquisition biométrique suivent des seuils standardisés.
- Profil Élevé : Destiné aux usages les plus critiques, ce profil évalue la résistance du service face à des attaquants au potentiel élevé (moyens étatiques, laboratoires de fraude avancés). Les exigences de détection (PAD/IAD) et la redondance des vérifications y sont drastiquement renforcées.
Quels sont les enjeux de la qualification PVID ?
L'obtention de la qualification PVID (qui mène à l'attribution du Visa de Sécurité de l'ANSSI) procure des avantages stratégiques et réglementaires majeurs :
- Garantie de conformité légale (Dispense LCB-FT) : L'usage d'un service qualifié PVID répond strictement aux exigences du Code monétaire et financier (Art. R. 561-5-2). Il offre une équivalence juridique au face-à-face physique, dispensant les établissements assujettis (banques, assurances, PSAN) des mesures de vigilance complémentaires (comme l'obligation d'un premier virement bancaire depuis l'UE).
- Garantie absolue contre la fraude d’identité : Le service certifié atteste d'une capacité éprouvée à faire face et à bloquer des attaques complexes à l'état de l'art, telles que les usurpations par deepfakes, les falsifications documentaires ou les attaques par injection vidéo.
- Gage de confiance européenne : Le référentiel de l'ANSSI est aligné sur le Règlement Européen eIDAS. Obtenir cette qualification permet d'intégrer juridiquement les processus de délivrance de certificats électroniques qualifiés (signature, cachet) ou d'homologuer des Moyens d’Identification Électronique (MIE).
- Valorisation et différenciation sur le marché : L'affichage d'un label étatique de confiance rassure les donneurs d'ordres et consolide l'avantage concurrentiel des prestataires qualifiés.
- Interopérabilité future : Se positionner en amont des standards européens émergents pour la vérification d'identité à distance (ex. : ETSI TS 119 461).
À qui s’adresse la qualification PVID ?
La qualification PVID s’adresse de manière large à tous les acteurs de la confiance numérique concevant, intégrant ou exploitant des solutions de vérification d’identité à distance :
- Les éditeurs de technologies : Entreprises développant des solutions logicielles d'acquisition documentaire, d'analyse biométrique et de détection du vivant (PAD/IAD). Le Visa de Sécurité de l'ANSSI valide leur robustesse technique face au marché.
- Les prestataires de services managés : Opérateurs de plateformes gérant l'architecture logique ou les plateaux d'opérateurs humains chargés du contrôle final de la fraude documentaire.
- Les grands comptes en gestion interne (In-house) : Établissements bancaires, compagnies d'assurance ou Prestataires de Services sur Actifs Numériques (PSAN) développant leur propre parcours KYC afin de bénéficier légalement de la dispense des mesures de vigilance complémentaires (LCB-FT).
En obtenant cette qualification ANSSI après une évaluation menée par LSTI, ces structures valident leur conformité réglementaire immédiate et anticipent l'interopérabilité avec les standards européens futurs (eIDAS, ETSI TS 119 461, EUDI Wallet).
Comment se déroule l'évaluation PVID ?
Le schéma de qualification des Prestataires de service de Vérification d’Identité à Distance (PVID) a été ouvert au 1er avril 2021 suite à la publication par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) du référentiel d’exigences élaboré conjointement avec la Direction Générale du Trésor.
Cette qualification est émise sur la base de trois types de travaux d’évaluation :
Évaluation de la conformité du service
Tests informatiques et physiques de l’efficacité du service sur le volet biométrie
Tests de l’efficacité du service sur le volet titre d’identité (réalisés par l’administration)
Cette évaluation permet de vérifier le respect par le prestataire :
- Des aspects contractuels, de la législation et de la réglementation et de l’impartialité
- De la protection de l’information
- Des exigences de qualité et de sécurité de ses processus de vérification d'identité
- De la compétence de ses auditeurs pour les activités qualifiées
- De la fiabilité du moyen d’identification électronique utilisé pour l’acquisition des données de vérification
La qualification est délivrée pour 2 ans par l'ANSSI, sans nécessité de surveillance (mais peut faire l’objet d’un contrôle de l’ANSSI). Un audit complet est nécessaire tous les deux ans pour renouveler et conserver cette qualification.
LSTI et CLR Labs, associés, proposent les trois types de travaux : évaluation de la conformité (LSTI) et évaluation informatique et physique de l’efficacité du volet biométrie.
Le processus d'évaluation mené par LSTI s'inscrit dans un cadre strict et normé, articulé autour de plusieurs phases clés conformément au règlement d'évaluation en vigueur.
L'évaluation se fonde obligatoirement sur un triptyque réglementaire :
- Évaluation des exigences de conformité (par LSTI) : Audit approfondi de la gouvernance, de la sécurité des infrastructures logiques et des processus métiers. Les auditeurs analysent la documentation du service, la formation des opérateurs humains, la gestion des risques ainsi que la conformité juridique et contractuelle.
- Évaluation de l'efficacité biométrique (en partenariat) : LSTI s'associe à des laboratoires d'évaluation technique accrédités (tels que CLR Labs). Ces laboratoires réalisent des tests informatiques et physiques poussés pour éprouver les mécanismes de détection d'attaque par présentation (PAD) et par injection (IAD).
- Évaluation du volet titres d’identité : Des tests d'efficacité spécifiques portant sur la détection des faux documents d'identité sont diligentés conformément au cadre fixé par l'administration.
Vos questions sur la qualification PVID
-
Une solution de vérification d'identité 100 % automatisée (IA) peut-elle obtenir la qualification PVID ?
Dans le cadre du référentiel PVID de l'ANSSI, une solution de vérification d'identité ne peut pas être 100 % automatisée par l'intelligence artificielle. Le référentiel exige obligatoirement une approche « hybride ». Même si l'IA (biométrie, analyse documentaire automatisée, reconnaissance de caractères) réalise le tri et les premiers contrôles avec une grande précision, l'intervention d'un opérateur humain de vérification d'identité reste indispensable pour valider le dossier final, traiter les alertes de fraude complexes et prendre la décision d'acceptation. L'IA assiste l'humain pour gagner en productivité, mais ne le remplace pas légalement dans ce processus de qualification. -
Pourquoi le PVID est-il obligatoire pour certaines entreprises ?
L'ANSSI impose ce cadre pour sécuriser les secteurs les plus sensibles à la fraude identitaire :
- Banques et Fintechs : Obligatoire (Décret 2020-118) pour valider à distance l'ouverture d'un compte bancaire ou financier (cadre LCB-FT).
- Signatures électroniques : Requis par le règlement européen eIDAS pour délivrer des certificats de signature électronique de niveau "Qualifié" à distance.
- Identités numériques : Indispensable pour créer des comptes d'identité sécurisés certifiés par l'État (niveaux Substantiel et Élevé).
-
Quelle différence entre une solution qualifiée PVID et une autre solution de vérification d'identité ?
Le PVID qualifié offre un niveau de sécurité équivalent à un contrôle d'identité physique au guichet. Ses avantages majeurs :
- Flux vidéo obligatoire : Contrairement au KYC (Know Your Customer) classique, impossible d'uploader une simple photo (souvent falsifiée). La vidéo en direct est obligatoire.
- Contrôle humain systématique : Là où le classique s'appuie à 100% sur une IA automatique, le PVID impose une double validation par des opérateurs humains experts en fraude.
- Valeur légale en justice : Le PVID génère un dossier de preuve chiffré inattaquable devant un tribunal en cas de litige ou d'usurpation.
- Données 100% souveraines : Les serveurs et les opérateurs se trouvent obligatoirement au sein de l'Union Européenne.
-
La qualification PVID dispense-t-elle des mesures de vigilance complémentaires pour la LCB-FT ?
L'utilisation d'une solution de vérification certifiée PVID (profil Substantiel ou Élevé) présente un avantage réglementaire majeur : elle dispense les établissements assujettis des mesures de vigilance complémentaires en matière de lutte contre le blanchiment d'argent et le financement du terrorisme (LCB-FT). Conformément au Code monétaire et financier (Art. R. 561-5-2), un parcours certifié PVID est reconnu juridiquement comme équivalent à un face-à-face physique. Cela permet aux banques, assurances ou prestataires sur actifs numériques (PSAN) d'intégrer de nouveaux clients sans avoir à exiger, par exemple, un premier virement en provenance d'un compte bancaire déjà ouvert dans l'Union européenne. -
Comment le référentiel PVID v1.1 évalue-t-il la résistance aux deepfakes et aux attaques par injection vidéo ?
Face à l'émergence des deepfakes et des attaques par injection vidéo, le niveau d'exigence du référentiel PVID v1.1 est extrêmement élevé. Lors de l'évaluation technique menée par un laboratoire spécialisé en biométrie, les auditeurs testent la résistance du système à travers des attaques par présentation (PAD) utilisant des masques 3D, des écrans haute définition ou des documents falsifiés. De plus, le référentiel exige des preuves strictes de résistance aux attaques par injection, où les auditeurs tentent de contourner la caméra du smartphone ou le navigateur web pour y injecter directement un flux vidéo généré par intelligence artificielle. Le prestataire audité doit impérativement démontrer l'imperméabilité de son flux d'acquisition vidéo. -
Le prestataire PVID peut-il sous-traiter la partie humaine (les opérateurs de vérification) ?
Un prestataire candidat à la qualification PVID a tout à fait le droit de sous-traiter la partie humaine (les plateaux d'opérateurs de vérification), mais cela se fait sous des conditions très strictes dont il reste l'unique responsable. Lors de l'audit d'évaluation, le prestataire doit prouver qu'il impose à son sous-traitant des exigences drastiques en matière de sécurité physique (contrôle des accès, interdiction des téléphones portables sur les plateaux) et logique (PSSI, formation continue à la fraude documentaire). Par ailleurs, en raison des obligations RGPD liées à la manipulation de données biométriques sensibles, ces centres externalisés doivent justifier de garanties maximales de confidentialité et sont très majoritairement localisés au sein de l'Union européenne. -
Quels types de titres d'identité un service PVID est-il autorisé à accepter ?
Le référentiel PVID v1.1 de l'ANSSI limite les documents sources admissibles pour garantir une fiabilité équivalente au face-à-face. Sont exclusivement acceptés les titres d’identité sécurisés ou dotés d’un composant électronique (passeports, cartes nationales d’identité, titres de séjour) émis par la France, un autre État membre de l'Union européenne, ou un État tiers dispensé de visa de court séjour, sous réserve expresse que le pays émetteur mette à disposition les clés de vérification nécessaires à l'authentification de la puce ou du document. Le service évalué doit prouver sa capacité à rejeter tout document non conforme ou altéré. -
Que signifient les tests biométriques IAD et PAD exigés par le référentiel PVID ?
Pour obtenir la qualification PVID, le prestataire doit soumettre sa solution à des tests biométriques très rigoureux évaluant deux types de défenses spécifiques : le PAD et l'IAD. Le PAD (Presentation Attack Detection) désigne la capacité du système à détecter les attaques par « présentation » physique devant la caméra, comme l'utilisation de masques 3D, de photos imprimées ou la présentation d'un écran haute définition. L'IAD (Injection Attack Detection) correspond, quant à lui, à la détection des attaques par « injection » logicielle. Dans ce cas, le fraudeur tente de contourner physiquement la caméra du smartphone pour injecter directement dans le système un flux vidéo manipulé ou généré par intelligence artificielle (comme un deepfake). Le référentiel de l'ANSSI exige une résistance technique prouvée face à ces deux vecteurs d'attaque. -
Quel est le rôle de LSTI vis-à-vis des laboratoires de tests biométriques dans le cadre du PVID ?
Dans le cadre du processus de qualification PVID, le rôle de LSTI (en tant qu'Organisme d'Évaluation de la Conformité) est de piloter et de réaliser l'audit global, organisationnel et réglementaire du service de vérification d'identité. Toutefois, l'évaluation de la robustesse purement biométrique n'est pas réalisée directement lors de cet audit. Le prestataire doit préalablement faire tester l'efficacité de ses algorithmes de détection (face aux attaques PAD et IAD) par un laboratoire d'évaluation technique indépendant et accrédité. Une fois les tests d'attaque réalisés par ce laboratoire, les résultats et les rapports d'efficacité sont directement transmis à LSTI. Nos auditeurs intègrent ensuite ces résultats scientifiques dans l'audit global afin de valider la conformité technique du dispositif et d'émettre le rapport final d'évaluation destiné à l'ANSSI. -
Quelle est la durée de validité du Visa de Sécurité PVID et comment est-il maintenu ?
La qualification PVID, qui permet d'obtenir le prestigieux Visa de Sécurité de l'ANSSI, est délivrée pour une durée initiale de 2 ans. Parallèlement, le prestataire certifié a l'obligation stricte de maintenir un processus de veille active sur les nouvelles méthodes de fraude et doit signaler immédiatement à l'ANSSI toute vulnérabilité majeure ou modification substantielle de son architecture, sous peine de se voir retirer sa qualification de confiance. -
Comment fonctionne le processus de vérification d'identité à distance par un PVID ?
Le processus de vérification par un PVID est un processus sécurisé, défini par le référentiel de l'ANSSI, qui se déroule en 4 étapes :
- L'acquisition : L'utilisateur se filme et filme sa pièce d'identité en direct.
- La vérification : Des algorithmes et des opérateurs humains qualifiés analysent l'authenticité de la pièce et s'assurent que l'utilisateur est bien "vivant" (pas de masque ou de fausse vidéo).
- La preuve : Un dossier numérique chiffré est créé pour sceller juridiquement toutes les étapes de la vérification.
- Le verdict : Le système renvoie un résultat immédiat Succès ou Échec. Les vidéos d'origine ne sont jamais transmises au site client pour protéger la vie privée.
Pourquoi choisir LSTI ?

Expertise reconnue
Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Auditeurs spécialisés
Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Tiers indépendant et accompagnement dédié
Habilité par l’ANSSI, LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.



