Prestataire de Vérification d'Identité à Distance (PVID)

Les entités soumises à la directive NIS2 doivent pouvoir prouver l'identité de leurs utilisateurs et partenaires en ligne. Face aux deepfakes et à la sophistication croissante des fraudes documentaires, le simple contrôle visuel ne suffit plus. Le référentiel PVID de l'ANSSI établit un cadre de confiance numérique assurant l'équivalence d'une vérification en face-à-face, réponse technique et réglementaire aux exigences de contrôle d'accès et gestion des actifs et d'authentification multifactorielle.

Histoire et cadre du référentiel PVID

Le schéma de certification des Prestataires de service de Vérification d'Identité à Distance (PVID) a été ouvert le 1er avril 2021 suite à la publication par l'ANSSI du référentiel d'exigences élaboré conjointement avec la Direction Générale du Trésor. Ce référentiel s'inscrit dans le cadre du décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance, dont les référentiels sont élaborés par l'Agence nationale de la sécurité des systèmes d'information et approuvés par le Premier ministre.

Le contexte réglementaire a évolué en février 2020 avec le décret n° 2020-118, qui a mis fin à l'obligation de vérification systématique du domicile et reconnu que l'entrée en relation à distance n'est plus automatiquement considérée comme un risque élevé de blanchiment. Depuis, la certification PVID a une durée de validité de 2 ans, les prestataires devant se faire recertifier régulièrement pour maintenir leur statut face aux menaces émergentes.

En janvier 2025, sur les 9 prestataires ayant déposé un dossier de candidature auprès de l'ANSSI, seuls 4 prestataires ont reçu la certification : Namirial (ID Self MAX), Docaposte AR24, Ariadnext-IDnow et Ubble, cinq autres demandes étant encore en cours d'évaluation.

Périmètre couvert par un prestataire PVID

Un Prestataire de Vérification d'Identité à Distance est un service en ligne permettant de vérifier l'identité d'une personne à distance. Concrètement, un PVID qualifié assure :

• Capture documentaire renforcée : acquisition recto-verso de titres d'identité (CNI, passeport, titres de séjour) avec détection automatique de fraude documentaire, analyse des éléments de sécurité et validation OCR.
• Contrôle biométrique dynamique : test de vivacité (liveness detection) par capture vidéo du visage, reconnaissance faciale pour comparaison avec le document, détection des attaques par présentation et des deepfakes.
• Validation humaine obligatoire : le référentiel impose un verdict humain en dernier ressort, chaque vérification passant par un opérateur qualifié qui valide ou invalide le résultat des contrôles automatisés.
• Constitution d'un dossier de preuve : horodatage, traçabilité réglementaire et archivage sécurisé pour les besoins de conformité LCB-FT (Lutte contre le Blanchiment de capitaux et le Financement du Terrorisme).

Limite de périmètre : un PVID ne couvre pas l'authentification récurrente (connexion quotidienne), la vérification d'adresse physique, le scoring de crédit ou le contrôle AML/PEP global. Il se concentre sur la vérification initiale d'identité lors de l'entrée en relation.

Quand mobiliser un prestataire PVID

1. Onboarding de clients sensibles

Les entités régulées NIS2 du secteur bancaire ou des infrastructures de marché financier ont l'obligation réglementaire de vérifier l'identité de leurs clients à l'ouverture de compte. L'article R. 561-5-2 (5°) du Code monétaire et financier autorise explicitement le recours à un PVID certifié par l'ANSSI pour remplir cette obligation. La mise en œuvre d'un PVID qualifié participe directement aux mesures de contrôle d'accès.

2. Émission de certificats qualifiés eIDAS

Les Prestataires de Services de Confiance souhaitant délivrer des signatures électroniques qualifiées doivent s'appuyer sur une vérification d'identité robuste. Lorsque vous souhaitez offrir à vos clients la possibilité de signer électroniquement des documents avec une signature électronique qualifiée, la vérification de leur identité est une étape nécessaire pour respecter la réglementation européenne (eIDAS). Un prestataire PVID certifié assure que l'identité est vérifiée conformément aux normes les plus strictes. Cela alimente les besoins d'authentification multifactorielle et de communications sécurisées dans les services numériques.

3. Accès à des services critiques

Les administrations publiques, opérateurs d'infrastructure numérique ou fournisseurs d'énergie peuvent exiger une identification forte pour l'accès à des plateformes sensibles (portail patient sécurisé, gestion de contrats critiques). L'intégration d'un PVID qualifié répond aux exigences d'évaluation de l'efficacité des contrôles d'accès.

4. Conformité NIS2 transfrontalière

Les entités opérant dans plusieurs États membres bénéficient de la reconnaissance européenne du référentiel. Le PVID français s'appuie sur le règlement eIDAS, permettant l'interopérabilité des vérifications d'identité à l'échelle de l'UE, ce qui facilite la gestion unifiée de la chaîne d'approvisionnement numérique.

Comment se déroule une mission PVID

Une mission de vérification d'identité via un prestataire qualifié PVID suit quatre étapes normalisées :

Phase 1 – Capture documentaire (1 à 3 minutes) L'utilisateur scanne recto-verso son document d'identité via SDK web ou mobile. Le système détecte automatiquement le type de document et valide la qualité de l'image avant de poursuivre.

Phase 2 – Capture biométrique (30 secondes à 1 minute) L'utilisateur réalise une vidéo de son visage en effectuant des mouvements aléatoires (détection de vivacité). Les algorithmes d'IA analysent la cohérence entre le visage capturé et la photo du document, et détectent les tentatives d'attaque par présentation (masques, photos imprimées, deepfakes).

Phase 3 – Analyse automatisée (quelques secondes) Le moteur d'IA vérifie l'authenticité du document (éléments de sécurité, cohérence MRZ, hologrammes numériques) et la correspondance biométrique. Un score de confiance est calculé.

Phase 4 – Validation humaine (2 à 5 minutes) Les opérateurs formés vérifient près de 10 000 identités par jour. Un expert humain qualifié examine les résultats automatisés et prend la décision finale d'acceptation ou de rejet, conformément aux exigences ANSSI.

Durée totale indicative : 5 à 10 minutes pour une vérification standard.

Livrables :

• Rapport de vérification horodaté signé électroniquement
• Dossier de preuve archivé (images, métadonnées, décisions intermédiaires)
• Score de conformité documentaire et biométrique
• Certificat de vérification opposable en cas de contrôle ACPR/Tracfin

Tarification indicative 2025-2026

Les tarifs des solutions de vérification d'identité à distance varient selon le niveau de garantie (substantiel ou élevé), le volume mensuel et les fonctionnalités intégrées.

Fourchettes observées sur le marché français et européen :

La vérification de documents d'identité coûte entre 0,10$ et 1,50$ par contrôle selon le type de document et la région ; la biométrie et le test de vivacité coûtent entre 0,25$ et 2,00$ par session. Les solutions PVID qualifiées, qui combinent ces deux briques avec validation humaine obligatoire, se positionnent logiquement dans le haut de cette fourchette.

Pour les acteurs français certifiés PVID, les tarifs se font sur une base par appel : un check à 1,99€, 18,99€ les 10 et 174,99€ les 100, le tarif dégressif continuant avec une solution sur mesure pour les grands volumes.

En pratique, une entité régulée NIS2 peut s'attendre à un coût unitaire entre 1,50 € et 3 € par vérification PVID qualifiée (incluant IA + validation humaine + archivage réglementaire), avec des tarifs dégressifs au-delà de 500 vérifications mensuelles.

Les solutions d'intégration, d'accompagnement et de personnalisation du parcours utilisateur font l'objet de devis spécifiques selon le contexte client.

Différences PVID vs qualifications voisines

Le paysage des qualifications ANSSI peut sembler complexe. Voici comment situer le PVID par rapport aux autres référentiels de services :

Un RSSI cherchant à sécuriser l'onboarding client ou partenaire mobilisera un PVID pour la vérification d'identité initiale, puis s'appuiera sur un PASSI pour auditer la conformité globale du SI, et éventuellement sur un PRIS si un incident compromet l'intégrité des identités vérifiées. Le PVID ne remplace pas les autres qualifications : il s'intègre dans une stratégie de défense en profondeur couvrant analyse de risques, gestion des incidents et continuité d'activité.

Pour consulter la liste à jour des prestataires qualifiés PVID, rendez-vous sur le catalogue officiel de l'ANSSI.

Sources de cette fiche

• https://lsti-certification.fr/fr-FR/Nos-offres-entreprises/Confiance-Numerique/Certification-PVID
• https://cyber.gouv.fr/produits-services-qualifies
• https://www.legifrance.gouv.fr/loda/id/JORFTEXT000030405903/
• https://yousign.com/fr-fr/blog/pvid-france
• https://focus.namirial.com/fr/faq/verification-identite/onboarding-client/kyc/solutions-kyc/referentiel-pvid/
• https://www.luminess.eu/article/le-prestataire-de-verification-didentite-distance-pvid
• https://www.docaposte.com/presse/communique-de-presse/docaposte-certifie-prestataire-de-verification-didentite-a-distance-pvid-par-lanssi
• https://www.docaposte.com/blog/article/verification-identite-distance-equivalente-face-a-face
• https://www.complycube.com/en/a-guide-to-kyc-api-pricing/
• https://www.codeur.com/blog/verification-identite-en-ligne/