PVID : Prestataire de Vérification d'Identité à Distance

La qualification PVID définit les exigences de sécurité et d'organisation pour les prestataires proposant un service de vérification d'identité en ligne. Elle établit un cadre de confiance numérique assurant l'équivalence d'une vérification en face-à-face. Les exigences portent sur le prestataire et la sécurité du système d'information permettant de fournir le service, visant à créer une offre robuste et répondant au besoin de confiance des utilisateurs, commanditaires et régulateurs.

Origine et fonctionnement du référentiel

Le schéma de certification PVID a été ouvert le 1er avril 2021 suite à la publication par l'ANSSI du référentiel d'exigences élaboré conjointement avec la Direction Générale du Trésor. Le référentiel permet d'attester de la mise en œuvre de mesures de réduction de la fraude selon deux niveaux de garantie : substantiel et élevé.

Le dispositif couvre les services synchrones (avec ou sans interaction humaine) comme asynchrones. L'objectif est de garantir un niveau de fiabilité équivalent à une vérification d'identité en personne, malgré les risques liés à l'environnement numérique (fraude documentaire, deepfakes, attaques par présentation). La certification est délivrée par un Centre d'Évaluation habilité par l'ANSSI sur la base de trois types de travaux d'évaluation, incluant des tests d'efficacité sur la biométrie et les documents d'identité.

La certification est délivrée pour deux ans, sans surveillance intermédiaire, un audit complet étant requis tous les deux ans pour la renouveler.

Lien avec NIS2

La directive NIS2 impose aux entités régulées de mettre en œuvre des mesures techniques et organisationnelles garantissant notamment la gestion sécurisée des accès et l'authentification des utilisateurs (Article 21 §2). Le recours à un PVID qualifié permet de répondre à ces exigences lorsqu'une entité doit vérifier l'identité de ses agents, partenaires ou clients à distance, en particulier pour l'accès à des systèmes critiques ou sensibles.

Le PVID joue également un rôle central dans la chaîne de confiance numérique élargie : il intervient en amont de l'émission de moyens d'identification électronique (MIE) qualifiés ou de certificats qualifiés eIDAS. Pour les entités essentielles et importantes, le choix d'un prestataire qualifié PVID contribue à démontrer un niveau de diligence élevé dans la gestion des identités et la prévention de la fraude à l'identité.

Catalogue des prestataires PVID qualifiés : cyber.gouv.fr/offre-de-service/solutions-certifiees-et-qualifiees

Pour aller plus loin

• Référentiel PVID (ANSSI)
• Identité et confiance numérique (ANSSI)
• Règlement eIDAS et niveaux de garantie