KYC : les solutions certifiées PVID s’installent en catimini sur le marché

Le 1er mars 2021, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) publiait son référentiel PVID (version 1.1). Dans un contexte post-Covid, où la digitalisation des entrées en relation s’est renforcée dans un grand nombre de secteurs d’activité, ce cadre vise à réglementer et sécuriser les dispositifs de vérification d’identité à distance. Le texte compile des exigences à respecter pour attester de la mise en conformité et de la certification de prestataires de services proposant un parcours de vérification de l’identité à distance. 

Ces règles couvrent les quatre grandes étapes du processus : acquisition des données d’identification (visage de l’utilisateur et titre d’identité), vérification des données d’identification, constitution du dossier de preuve et transmission au service métier du résultat de la vérification d’identité à distance. Ce traitement peut être synchrone ou asynchrone et requiert impérativement un contrôle en bout de chaîne par un opérateur humain. Les avantages fréquemment cités d’un système certifié PVID sont la réduction du coût de la fraude, la protection des données des utilisateurs (procédure officielle de désarchivage) et une sécurité juridique équivalente à celle d’une relation en face à face grâce à la mise en conformité instantanée de l’entrée en relation, avec un recours à la biométrie dans le cadre d’un parcours certifié.  

Depuis la transposition de la cinquième version de la directive LCB-FT (AML5) en 2020, le code monétaire et financier prévoit six mesures aux fins d’identification du client, dont au moins deux doivent être appliquées. La première mesure – “recueil d’une copie d’un document officiel d’identité” – est généralement retenue, et la cinquième autorise le recours à “un service certifié conforme par l’Agence nationale de la sécurité des systèmes d’information, ou un organisme de certification que cette agence autorise, au niveau de garantie substantiel des exigences relatives à la preuve et à la vérification d’identité”. Cela concerne donc les solutions PVID, mais aussi d’autres solutions certifiées de niveau substantiel comme la signature électronique qualifiée (qualified electronic signature ou QES). 

Au 1er mai 2024, soit plus de trois ans après la publication du référentiel, seules cinq certifications PVID ont été délivrées. Le premier acteur à décrocher le tampon de l’ANSSI a été Ubble, désormais dans le giron du PSP Checkout.com, en mars 2023. Ont suivi IDnow et Ariadnext en juillet 2023 puis AR24, filiale de Docaposte, en octobre 2023, et enfin Netheos, détenu par l’Italien Namirial, en décembre 2023. Selon la liste publique, cinq prestataires sont en cours de certification : Luminess (qui recourt à Unissey), Lydia, QuickSign, Tessi (qui s’appuie sur la technologie d’Electronic IDentification) et Doxallia. D’autres semblent avoir renoncé à obtenir la certification. C’est notamment le cas de Dataleon. La certification est délivrée pour deux ans, période à l’issue de laquelle un audit complet est nécessaire pour la renouveler.

Les regards sont désormais tournés vers Lydia, en cours de certification. “Nous serons le seul acteur certifié à utiliser une solution PVID pour notre propre compte”, se félicite Antoine Porte, cofondateur et CPO de Lydia. La fintech est déjà bien engagée dans le processus et doit désormais se confronter aux audits de la gendarmerie. Le dispositif devrait lui permettre d’accompagner la montée en puissance de sa nouvelle offre bancaire Sumeria, tout en répondant aux exigences du nouveau décret relatif au code monétaire et financier visant à encadrer les obligations de vérification d’identité (KYC) pour les émetteurs de monnaie électronique réalisant des opérations de pair-à-pair (peer-to-peer ou P2P). 

S’armer de patience

De l’aveu de ceux qui ont déjà franchi l’obstacle, le processus de certification nécessite de s’armer de patience. “Le processus PVID est effectivement assez long, d’abord parce qu’il s’agit d’un exercice nouveau. Il comporte une dizaine d’étapes différentes pilotées par l’ANSSI, qui s’appuie sur des cabinets externes [l’ANSSI recense six centres d’évaluation agréés pour réaliser les tests informatiques et physiques : Cabinet Louis Reynaud, Lexfo, LSTI, Oppida, Synacktiv et Stelau, Ndlr] et sur la gendarmerie pour une validation finale. Et avant même d’engager ce chantier, il faut disposer des briques, comme une algorithmie propre à la vérification documentaire ou un dispositif de traitements manuels, qui permettent de fabriquer le parcours pour une solution éligible”, détaille Olivier Artus, directeur senior des ventes services financiers chez IDnow. Pour la regtech allemande, qui est certifiée à deux niveaux  – elle a racheté l’entreprise française Ariadnext en 2021 – le processus aura duré pas loin de deux ans. Elle propose aujourd’hui un produit certifié PVID : IDCheck.io Identity Proofing Service.

Chez AR24, filiale de Docaposte depuis 2020, qui intégrait déjà un dispositif innovant d’identification à distance pour la lettre recommandée électronique, la certification PVID est apparue comme incontournable. La société fondée en 2015 la porte aujourd’hui pour l’ensemble du groupe Docaposte, notamment au travers de sa plateforme ID360, et vérifie environ 12 000 identités chaque jour. “L’enjeu pour les opérateurs consiste à respecter le cahier des charges contraignant de l’ANSSI, qui contient plus de 300 exigences, tout en réussissant à rendre le parcours utilisateur le plus fluide et le plus ergonomique possible, résume Camille Petot, directrice générale adjointe d’AR24. Cela nécessite notamment de se positionner sur le choix de la synchronicité ou non de l’intervention humaine. Compte tenu de notre expérience, nous avons opté pour un traitement asynchrone [lorsque la phase de vérification des données d’identification est réalisée de manière différée par rapport à la phase d’acquisition, Ndlr], avec tout de même la possibilité d’un traitement express [en moins de 7 minutes, Ndlr]”. Une option largement privilégiée sur le marché. 

Les étapes du parcours de certification PVID

Un autre facteur de différenciation réside dans le périmètre des documents d’identité conformes dans le cadre d’un parcours PVID. AR24 indique en accepter près de 250. Des différences apparaissent aussi au niveau de la localisation des ressources. Si le référentiel stipule que “le prestataire doit exploiter et administrer le service de vérification d’identité à distance exclusivement depuis le territoire d’un État membre de l’Union européenne ; il doit doit respecter les exigences du référentiel SecNumCloud si le service est hébergé dans le cadre d’une prestation d’informatique en nuage”. Quant aux opérateurs humains, IDnow les a basés en Roumanie. AR24 en compte aussi dans ce pays, ainsi que dans deux villes françaises : Strasbourg et Villeneuve d’Ascq (sur un site de Docaposte). Netheos Service, filiale de Namirial basée à Montpellier, compte de son côté douze opérateurs. 

Un enjeu de pédagogie

Après cette longue gestation, comment les nouveaux produits issus de la certification PVID ont-ils été accueillis en France ? Pour Olivier Artus d’IDnow, “il faut se souvenir qu’il y avait une attente relativement forte autour de la biométrie de la part des établissements ayant pignon sur rue, traditionnellement très conservateurs. PVID a finalement été le déclencheur permettant à de grands acteurs régulés de mettre de la biométrie en conformité dans des parcours français”. IDnow équipe aujourd’hui des acteurs comme BoursoBank et N26. Chez AR24, Camille Petot perçoit encore une relative hésitation sur le marché et la nécessité de faire preuve de pédagogie. Rares sont les acteurs financiers français à avoir communiqué publiquement sur l’adoption d’une solution PVID. En 2022, Boursorama (devenue BoursoBank) confiait avoir “retenu Ariadnext comme prestataire PVID, estimant qu’il était l’un des mieux placés pour obtenir rapidement cette certification”.

Et certains prestataires ne mettent pas en avant la certification. C’est le cas du pionnier Ubble, dont la solution a été renommée Identity Verification après son rachat. De son côté, IDnow confie compter une dizaine de clients équipés de la solution PVID, dont tous sauf un, appartiennent au secteur financier. “Cela concerne aussi bien une grande banque de réseau française, membre des chefs de file, que des filiales de banque digitale de grands établissements français, quelques néobanques et fintech”, énumère Olivier Artus. Les flux traités sont estimés à moins d’un million de transactions par an. Par ailleurs, la fintech allemande revendique une quinzaine de clients en France qui utilisent de la signature qualifiée dans des parcours d’authentification.

Un parcours PVID décline quasiment toutes les mesures de défense disponibles, mais cette protection se fait au prix d’un parcours plus long, avec des challenges plus difficiles à mettre en œuvre, et donc des taux de chute légèrement supérieurs. IDnow a ainsi constaté chez ses clients un taux de conversion de 5 %à 10 % supérieur par rapport à une solution PVID. Pour minimiser cet impact, IDnow indique avoir travaillé sur l’intuitivité du parcours. “Nous avons fait le choix  d’un mécanisme anti-rejeu [pour contrer les injections de vidéos pré-enregistrées, Ndlr] qui est inclus dans l’expérience, plutôt que de rajouter des challenges additionnels externes, de type OTP ou CAPTCHA, qui sortent du parcours”, relève Olivier Artus (IDnow). 

Les prestataires qui ont fait le choix de ne pas solliciter la certification PVID ne manquent pas de souligner ses inconvénients. “Pour un acteur qui souhaite rester cloud-agnostique et scaler rapidement à l’échelle européenne, une solution PVID n’est pas appropriée”, souligne Pierre Matta, country manager France de Fourthline. La regtech néerlandaise, qui dispose d’un agrément d’établissement de paiement aux Pays-Bas, propose une solution basée sur la signature électronique qualifiée, selon un modèle d’externalisation ou de tierce introduction (avec un verdict dont la responsabilité est assumée par le prestataire). 

“Cela offre plus de flexibilité dans les cas d’usage, pour vérifier l’authenticité d’un justificatif de domicile ou traiter des contrats liés, par exemple [sachant qu’un certificat qualifié peut être réutilisable, contrairement à un verdict PVID, Ndlr]”, ajoute le dirigeant. Ainsi, la néobanque pour les pros Qonto, aux ambitions européennes affirmées, a révélé fin 2023 avoir retenu Fourthline pour ses processus d’onboarding client (examen des documents d’identité, authentification de la signature électronique, analyse des données biométriques et utilisation du modèle OCR) en France, en Espagne et en Italie. 

Un gage de qualité

Faut-il toutefois opposer PVID et QES ? Chez Namirial, un prestataire italien de services de confiance qui a acquis le Français Netheos en 2021, “même si ce n’est pas forcément le parcours PVID [Netheos ID MAX, Ndlr] qui va être choisi, cela nous met au centre de la carte et nous apporte des contacts. La certification PVID est perçue comme un gage de qualité”, souligne Fabien Mezanger, responsable marketing France de Namirial. “On attendait un reset du marché et on espérait des perspectives commerciales fortes, là où on a finalement récupéré du flux avec la solution de signature qualifiée”, abonde Olivier Artus, qui pointe une segmentation entre des acteurs historiques très conservateurs qui vont s’orienter vers l’approche PVID et d’autres acteurs pour lesquels les solutions basées sur la signature qualifiée se révèlent plus adéquates. Par ailleurs, en raison d’une automatisation moindre et de traitements manuels obligatoires (sur le document d’identité et la biométrie), les solutions PVID impliquent aujourd’hui un coût d’usage plus élevé.  

Mais l’histoire n’est pas encore terminée et le cadre PVID pourrait trouver de nouveaux terrains d’expression. “Avec la norme eIDAS V2 et les différentes initiatives de wallets européens, on peut imaginer que la certification PVID soit exploitée sur un plan plus régalien [pour accéder à un wallet ou le renouveler par exemple, Ndlr] et changer de domaine d’application”, conclut Olivier Artus.