PVID France : tout savoir sur les prestataires de vérification d'identité à distance

Un Prestataire de Vérification d'Identité à Distance (PVID) est un service certifié conforme par l'ANSSI, chargé de vérifier que le titre d'identité présenté par un utilisateur est authentique et que ce dernier en est bien le détenteur légitime. Cette vérification s'effectue entièrement à distance, sans nécessiter de rencontre physique.

Le référentiel PVID, publié en mars 2021, définit les exigences techniques, organisationnelles et de sécurité que doivent respecter les prestataires pour obtenir la certification. L'objectif : garantir un niveau de fiabilité équivalent à celui d'une vérification en face-à-face, tout en permettant une expérience utilisateur 100% digitale.

L'ANSSI joue un rôle central dans l'écosystème des PVID. Elle élabore le référentiel d'exigences, évalue les prestataires candidats, délivre les certifications et tient à jour la liste publique des PVID qualifiés sur cyber.gouv.fr.

La certification PVID a une durée de validité de 2 ans. Les prestataires doivent donc se faire recertifier régulièrement pour maintenir leur statut. Cette exigence garantit que les solutions évoluent avec les menaces (deep fakes, fraude documentaire sophistiquée) et les meilleures pratiques technologiques.

Toutes les solutions de vérification d'identité ne se valent pas. Voici les différences majeures entre un PVID qualifié et une solution KYC non certifiée :

Le cadre juridique français impose aux entreprises assujetties à la LCB-FT de vérifier l'identité de leurs clients lors de l'entrée en relation d'affaires. Cette obligation figure dans le Code monétaire et financier (articles L. 561-5 et R. 561-5-1 à R. 561-5-3).

Le décret n° 2020-118 du 12 février 2020 a marqué un tournant majeur : il a mis fin à l'obligation de vérification systématique du domicile et a simplifié les modalités de vérification à distance. Surtout, il a reconnu que l'entrée en relation à distance n'est plus automatiquement considérée comme un risque élevé de blanchiment.

L'article R. 561-5-2 (5°) du Code monétaire et financier autorise explicitement le recours à un PVID certifié par l'ANSSI pour remplir cette obligation :

Les entités assujetties à la LCB-FT, définies par l'article L. 561-2 du Code monétaire et financier, incluent notamment :

• Établissements de crédit et banques
• Sociétés de financement
• Établissements de paiement et de monnaie électronique
• Entreprises d'investissement
• Assurances et mutuelles
• Prestataires de services sur actifs numériques (PSAN)
• Opérateurs de jeux en ligne
• Notaires, avocats, experts-comptables (pour certaines opérations)

Pour ces acteurs, la vérification d'identité via PVID qualifié offre une garantie de conformité face aux contrôles de l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) et de Tracfin.

Le référentiel PVID français s'inscrit dans le cadre européen du règlement eIDAS (n° 910/2014), qui définit deux niveaux de garantie pour l'identification électronique :

• Niveau substantiel : réduit substantiellement le risque d'usurpation ou d'altération d'identité
• Niveau élevé : écarte tout risque d'usurpation ou d'altération d'identité

Un PVID qualifié peut délivrer une vérification de niveau substantiel ou élevé, selon les exigences du cas d'usage. Cette compatibilité avec eIDAS facilite la reconnaissance transfrontalière dans l'Union européenne.

Avec l'adoption du règlement eIDAS 2.0 en 2024, qui introduit le portefeuille d'identité numérique européen (EUDI Wallet), le PVID jouera un rôle encore plus central dans l'obtention de ces identités numériques certifiées.

Le processus de vérification PVID suit un protocole rigoureux en quatre étapes, défini par le référentiel ANSSI :

1. Acquisition des données d'identification

L'utilisateur capture son document d'identité (carte nationale d'identité, passeport, titre de séjour) recto-verso, ainsi qu'une vidéo de son visage. Certains PVID proposent une acquisition unique (document + visage dans une seule vidéo), d'autres séparent les deux captures.

2. Vérification de l'authenticité du document

Le système analyse les éléments de sécurité du document : hologrammes, bandes MRZ (Machine Readable Zone), micro-impressions, ultraviolets. Les PVID collaborent avec des institutions comme la Direction Centrale de la Police aux Frontières (DCPAF) pour détecter les contrefaçons.

3. Détection de vivacité (liveness detection)

Pour s'assurer que la personne est bien physiquement présente et non une photo ou une vidéo enregistrée, le système utilise des technologies de détection de vivacité. Celles-ci peuvent être passives (analyse automatique de la texture de peau, micro-mouvements involontaires) ou actives (demande à l'utilisateur de cligner des yeux, tourner la tête).

4. Comparaison biométrique

Le visage extrait de la vidéo de l'utilisateur est comparé à la photo du document d'identité via des algorithmes de reconnaissance faciale. Un score de confiance est calculé pour valider la correspondance.

Les PVID qualifiés combinent plusieurs couches technologiques pour garantir la fiabilité :

• Intelligence artificielle : reconnaissance faciale, détection de deep fakes, analyse des éléments de sécurité des documents
• Biométrie faciale : comparaison du visage avec une base de référence fiable (photo du document)
• Analyse documentaire avancée : détection des manipulations, contrefaçons, documents morphés
• Géolocalisation et device fingerprinting : métadonnées permettant de tracer l'origine de la demande

Ces technologies évoluent en permanence pour contrer les nouvelles techniques de fraude, notamment les deep fakes générés par IA.

Point crucial : le référentiel PVID impose qu'un opérateur humain qualifié et formé valide ou invalide chaque vérification en bout de chaîne. Cette exigence distingue fondamentalement le PVID des solutions automatisées non qualifiées.

Le rôle de l'opérateur :

• Vérifier la cohérence des résultats automatiques
• Détecter les anomalies visuelles que l'IA pourrait manquer
• Prendre la décision finale d'acceptation ou de rejet
• Documenter les motifs en cas de refus

Les opérateurs sont localisés dans l'Union européenne (exigence RGPD et souveraineté des données). Certains PVID traitent plusieurs milliers de vérifications quotidiennes avec des équipes dédiées disponibles en continu.

Le premier avantage du PVID est la sécurité juridique. En recourant à un prestataire certifié ANSSI, votre entreprise dispose d'une preuve irréfutable de conformité face aux autorités de contrôle (ACPR, AMF, Tracfin).

En cas d'audit ou de contrôle, le dossier de preuve constitué par le PVID (conservé 7 ans) sert de justificatif opposable. Cette traçabilité réduit considérablement les risques de sanction en cas de manquement aux obligations LCB-FT.

Les PVID qualifiés combinent IA et expertise humaine pour détecter :

• Les contrefaçons documentaires (faux passeports, CNI falsifiées)
• Les usurpations d'identité (utilisation du document d'autrui)
• Les deep fakes (vidéos générées par IA)
• Les documents morphés (photo modifiée pour ressembler à plusieurs personnes)

Cette protection multi-niveaux réduit significativement les pertes liées à la fraude. D'après les retours d'expérience du marché, les entreprises ayant adopté un PVID qualifié constatent généralement une réduction du coût de la fraude estimée entre 60 et 80% par rapport à des solutions non certifiées.

Malgré les exigences de sécurité, le PVID offre une expérience utilisateur fluide :

• Onboarding 100% digital : plus besoin de RDV physique ou d'envoi postal de documents
• Disponibilité 24/7 : vérification possible à tout moment depuis smartphone, tablette ou ordinateur
• Rapidité : résultat en quelques minutes (automatique) à quelques heures (si file d'attente opérateurs)
• Taux de conversion amélioré : la suppression des frictions physiques augmente le nombre de clients finalisés

Étape non négociable : avant tout engagement, vérifiez que le prestataire figure bien sur la liste officielle des PVID qualifiés publiée par l'ANSSI : cyber.gouv.fr/produits-services-qualifies.

Cette liste est régulièrement mise à jour. Certains prestataires peuvent perdre leur certification en cas de non-conformité détectée lors des audits de renouvellement. Vérifiez également la date de fin de validité de la certification (durée : 2 ans).

Parmi les PVID qualifiés opérationnels en France figurent notamment :

1. Docaposte (via AR24) – PVID Docaposte – certifié niveau substantiel
2. IDnow – IDCheck.io Identity Proofing Service – certifié niveau substantiel
3. Namirial (Netheos) – Netheos PVID Service – certifié niveau substantiel
4. NJF Vision (Ubble) – Checkout IDV (ex Ubble) Service Expert – certifié niveau substantiel

Au-delà de la certification, plusieurs critères doivent guider votre choix :

1. Niveau de garantie proposé

• Substantiel : suffisant pour la majorité des cas LCB-FT
• Élevé : nécessaire pour certaines opérations très sensibles (ex : signature électronique qualifiée)

2. Couverture documentaire

• Quels pays et types de documents sont acceptés ? (CNI, passeport, titre de séjour, permis de conduire)
• Vérifiez l'adéquation avec votre cible client (ex : clients internationaux)

3. Qualité de l'expérience utilisateur

• Testez le parcours : fluidité, clarté des instructions, temps moyen
• Support multilingue disponible ?
• Taux de conversion communiqué par le prestataire

4. Intégration technique

• API REST documentée, SDK mobile (iOS/Android), webhooks pour notifications temps réel
• Facilité de mise en œuvre dans votre système existant

5. Performance et disponibilité

• Temps de réponse moyen (automatique vs avec opérateur)
• SLA contractuels (disponibilité 99,9% ?)

6. Conformité RGPD et souveraineté

• Serveurs localisés dans l'UE
• Opérateurs humains basés dans l'UE
• DPA (Data Processing Agreement) fourni

Les PVID pratiquent généralement deux modèles économiques :

• Pay-per-use : facturation à la vérification réussie (Selon les estimations du marché, le coût d'une vérification PVID varie généralement de 2€ à 15€ par vérification réussie, en fonction du prestataire, du volume et du niveau de garantie.)
• Forfait : abonnement mensuel ou annuel avec un nombre de vérifications incluses

Le ROI dépend de votre volume d'onboarding, du coût de la fraude évitée, et de la valeur client. Selon une estimation indicative, pour une fintech traitant 1 000 onboarding par mois, le coût PVID représenterait entre 0,5 et 2% de la lifetime value client.

Le PVID s'impose comme le standard de référence pour la vérification d'identité à distance en France. Certifié par l'ANSSI, il offre aux entreprises assujetties à la LCB-FT une garantie de conformité tout en permettant une expérience utilisateur 100% digitale.

Pour choisir votre prestataire PVID, vérifiez systématiquement la certification officielle sur le site de l'ANSSI, testez l'expérience utilisateur, et évaluez l'adéquation avec vos besoins métier (couverture documentaire, niveau de garantie, intégration technique).

Au-delà de la conformité, le PVID représente un investissement stratégique dans la lutte contre la fraude et l'amélioration de vos taux de conversion. Les entreprises ayant adopté un PVID qualifié constatent généralement un retour sur investissement positif dès la première année, grâce à la réduction des coûts liés à la fraude et à l'optimisation des parcours clients.