Ces dernières années, les processus à distance se sont de plus en plus développés à travers différentes manières pour les entreprises. Avec cela s’est alors posée la question de l’identification à distance pour pouvoir vérifier l’identité de la personne qui donnerait son accord de l’autre côté d’un écran par exemple. C’est pour pouvoir établir un protocole d’identification précis et efficace que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’est penchée sur la question et a créé le référentiel PVID.
Pourquoi créer le référentiel PVID ?
Avec une transmission de documents confidentiels de manière dématérialisée de plus en plus fréquente, mais aussi la signature de documents à distance comme des contrats par exemple qui se sont largement démocratisées avec la crise sanitaire, le référentiel PVID tombe à pic pour réglementer les pratiques et surtout lutter contre la fraude et la criminalité financière. En effet, si la dématérialisation de nombreux processus est un fabuleux gain de temps pour de nombreuses entreprises et leur client, il n’en reste pas moins que les tentatives de fraudes peuvent alors être plus fréquentes.
L’ANSSI a donc créé le référentiel PVID ou référentiel d’exigences destiné aux Prestataires de Vérification d’Identité à Distance pour accompagner les entreprises du secteur de la banque et autres institutions financières, les jeux d’argent en ligne, les Télécom ainsi que tous les services de confiance régis par le règlement eIDAS (plus d’informations sur les services en ligne dédiés aux entreprises sur le blog Entreprise et Compagnie).
L’agence a mis à disposition des entreprises le référentiel des exigences à remplir pour pouvoir obtenir une certification. Celles qui le souhaitent peuvent donc mettre en conformité leur système et remplir un dossier de demande de certification. Il s’agit d’un moyen pour les entreprises de sécuriser leurs pratiques, mais aussi de garantir à leur clientèle un certain niveau de sécurité dans les échanges.
Que trouve-t-on dans le référentiel PVID ?
Le référentiel PVID s’appuie sur trois axes majeurs et distincts.
Le premier va définir ce que doit être un service de vérification à distance et donc les activités susceptibles d’être pratiquées telles que l’acquisition et la vérification de données d’identification, la constitution d’un fichier preuve et la transmission du résultat de la vérification d’identité.
Le second va définir les méthodes d’évaluation et le champ d’application de la qualification et de la certification PVID soit la certification des services de relation commerciale à distance, la qualification des services de confiance utilisant la vérification d’identité à distance et l’évaluation de la conformité des moyens d’identification électronique utilisés.
Le troisième va définir les exigences à respecter par le prestataire de service tel que l’évaluation des risques, les pratiques de vérification d’identité à distance, la protection des données, l’organisation du prestataire de services, la qualité et le niveau de service.
En somme, une entreprise qui souhaite pouvoir être certifiée par l’ANSSI et donc être considérée comme un service de confiance se doit de pouvoir répondre à ses exigences.
Pourquoi est-il important pour une entreprise de suivre ce référentiel ?
Une entreprise qui souhaite proposer des services nécessitant une vérification d’identité à distance se doit véritablement d’obtenir la certification de l’ANSSI. En effet, cela permettra tout d’abord de prouver à sa clientèle que le système mis en place est de confiance et que les données de chacun sont ainsi bien protégées. Qui plus est, l’entreprise va également se protéger elle-même des tentatives de fraudes qui pourront avoir un impact très grave au niveau financier, mais aussi en termes d’image. Une entreprise proposant l’identification à distance se doit absolument de disposer d’un protocole fiable et le référentiel PVID l’accompagnera en ce sens.