Identification à distance : découvrez ID360

1/ Où en est le marché de la vérification d’identité à distance ?

« La confiance est devenue le socle de toute proposition de la part des prestataires de services de confiance qui évoluent dans le monde numérique, et de tout service digital.

Cette confiance numérique repose sur un triptyque fondamental :

• l’identification : assurer la fiabilité d’une identité
• la transaction : assurer la sécurisation des flux
• la conservation : assurer l’hébergement des données et leur pérennité

Aussi, le marché de la vérification d’identité dans le monde digital est lié et porté par celui de la confiance numérique.

Pendant des années, la vérification d’identité à distance ne bénéficiant que d’un faible encadrement législatif, le marché a vu émerger pléthore de méthodes pour effectuer cette étape essentielle dans la chaîne de confiance avec des outils qui se sont révélés parfois efficaces et parfois ont montré des résultats incertains (solutions basées sur la voix, la vitesse de frappe du clavier…). Heureusement, le contexte normatif a évolué. Le règlement européen eIDAS, encadrant depuis 2016 l’identification et les services de confiance, a été fondamental dans cet encadrement. eIDAS définit notamment le niveau d’identification dit « substantiel », qui équivaut à une vérification d’identité en face à face physique. Avec ce langage commun, les normes encadrant certains secteurs sensibles comme la banque ou l’assurance, ont intégré ces niveaux d’identification plus sécurisés.

Dernièrement, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), a défini un référentiel d’exigences et une certification pour encadrer les parcours de vérification en ligne, en complément des moyens d’identification électroniques (MIE). Ce référentiel appelé PVID (Prestataire de Vérification à Distance) est l’élément normatif manquant dans la panoplie d’outils de vérification d’identité à distance. Il permet d’identifier les prestataires fournissant un service attestant d’un niveau de garantie substantiel ou élevé.

Par ailleurs, de nouveaux usages liés à l’identification électronique sont également concernés dans un autre secteur qui se digitalise fortement : la santé. Le déploiement de la télémédecine et la digitalisation du parcours patient nécessitent des procédures d’identification pour réduire les risques de fraude identitaire.

Autre métier concerné : les ressources humaines dans le cadre de l’enrôlement d’un nouveau collaborateur ou pour procéder à son authentification tout au long de sa vie de salarié (permettant ainsi la signature électronique, l’authentification sur des SI (Systèmes d’Information).

Enfin, nous constatons que de nouveaux besoins émergent comme la gestion des travailleurs temporaires (coursiers, intérimaires…) pour lesquels il est de plus en plus demandé de vérifier que le salarié qui travaille est toujours le même sur la durée (via l’authentification faciale par exemple). »

2/ Quelles méthodes existent aujourd’hui pour s’assurer de l’identité numérique de ses clients ?

« Tout commence par un moyen d’identification physique, que nous avons tous en notre possession : un titre d’identité (CNI, passeport, titre de séjour). À partir de cette source fiable attestant de notre identité, nous pouvons la prouver en face à face mais aussi à distance, c’est ce que nous appelons « l’identification initiale ».

Deux méthodes existent dans un parcours numérique :

1/ L’identification en ligne : un parcours, généralement sur mobile, permet d’identifier une personne à partir de son titre d’identité et de son visage.

Dans le cadre d’un service en ligne, il s’agit donc de :

• collecter le titre d’identité et une image de l’utilisateur (capture photo ou vidéo)
• contrôler la validité et l’authenticité du titre d’identité (non périmé, document authentique)
• contrôler la légitimité de l’utilisateur (est-il bien le porteur légitime du titre ?) : cette phase est plus connue sous le nom de comparaison faciale
• contrôler que le porteur du titre est bien réel : par un challenge non prévisible (par exemple, on demande à l’utilisateur de tourner la tête, de fermer les yeux, etc.) ; Ceci afin de s’assurer que ce n’est pas une vidéo truquée qui est présentée par exemple,
• récupérer ses données d’identification (nom, prénom…).

Ces parcours d’identification en ligne peuvent être de deux ordres :

• Les parcours certifiés par l’ANSSI, selon le référentiel PVID, qui apportent le niveau de garantie substantiel,
• Les parcours non certifiés, proposant plus ou moins de contrôles, et apportant donc un faisceau de preuves plus ou moins probant.

Il est à noter qu’un contrôle d’identité par ces parcours en ligne permet une vérification ponctuelle sur une action précise.

Concrètement : si le client prouve son identité à distance pour récupérer une lettre recommandée électronique, cela ne lui permet pas d’aller en récupérer une autre le lendemain. D’où la seconde brique essentielle : le Moyen d’Identification Électronique.

2/ Le Moyen d’Identification Électronique (MIE) : une phase d’identification initiale est réalisée (en face à face physique, ou à distance) et donne lieu à la délivrance d’un moyen pour s’authentifier comme L’identité Numérique La Poste, ou un double facteur d’authentification. Ce MIE peut, quant à lui, être utilisé à volonté pour prouver son identité.

Le MIE est un élément, matériel ou immatériel, permettant de s’authentifier ; c’est-à-dire, de prouver que vous êtes bien la personne que vous prétendez être. Il est délivré après la vérification d’identité initiale, et permet donc, pour les usages ultérieurs, de ne pas refaire une identification initiale complète.

En résumé, le MIE joue le rôle de mon titre d’identité mais au format électronique, que je peux présenter simplement pour prouver mon identité. C’est une identité « vérifiée ».

3/ Comment se positionne Docaposte sur le marché de la vérification d’identité à distance et avec quelles solutions ?

« Docaposte, filiale numérique du Groupe La Poste et expert dans le traitement de données sensibles, est le référent de la confiance numérique en France.

Nos équipes mettent au service de nos clients, entreprises et institutions publiques, une gamme complète de services de confiance, en conformité avec la règlementation et les référentiels de la Confiance Numérique, dont les critères d'éligibilité sont liés au fait d'identifier, d'assurer la transaction et de conserver les données, le fameux triptyque de la confiance numérique ! L’enjeu de la vérification d’identité et de l’authentification forte est donc au cœur des parcours de confiance que nous déployons.

Docaposte est donc une « autorité d’Identification » à part entière, proposant l’intégralité des moyens de vérification d’identité à ses clients.

Nouveauté cette année : nous proposons via un service innovant, d’intégrer dans les parcours clients le moyen le plus adapté d’identification, au choix de l’utilisateur. Les équipes de Docaposte ont en effet imaginé, conçu et développé la solution ID360, un service « global » d’identification à distance, permettant de bénéficier de tous les moyens d’identification et d’authentification en une seule intégration : les solutions de Docaposte mais également des solutions tierces comme FranceConnect et FranceConnect+ notamment. Et bien d’autres sont à venir.

Petit tour d’horizon de ce que permet/propose ID360 :

Des parcours en ligne : Docaposte est en mesure de proposer les 2 types de parcours répondant aux différences de risques ou contraintes règlementaires métiers de nos clients :

• Des parcours standards, 100% automatiques, basés sur notre technologie d’intelligence artificielle, et entièrement paramétrables.
• Un parcours certifié PVID (Prestataire de Vérification d’Identité à Distance) par l’ANSSI : il apporte le niveau de garantie équivalent à une vérification en face à face physique (vérification d’identité de niveau dit substantiel).

Des Moyens d’Identification Électronique (MIE) :

• Docaposte propose des certificats d’authentification RGS (Référentiel Général de Sécurité) ou qualifiés eiDAS à travers sa filiale Certinomis : ils se présentent sous la forme d’un stick USB, contenant des données d’identification dans un container sécurisé.
• L’Identité Numérique La Poste est la première solution d’identification et d’authentification numérique attestée conforme en France au niveau de garantie substantiel du règlement eIDAS par l’ANSSI.

Ces MIE apportent le niveau de garantie équivalent à une vérification en face à face physique et permettent un usage répété.

Pour un donneur d’ordre, cette multiplicité de moyens rend complexe l’intégration de la phase d’identification dans ses parcours digitaux. En effet, il existe de nombreux parcours digitaux, de nombreux moyens d’identification, de nombreux besoins et des niveaux d’exigence variés pour garantir l’identité des utilisateurs.

Pour répondre à cette diversité, la plateforme d’identification multimodale ID360 est donc le service idéal, point d’entrée unique répondant à tous les usages. Il permet de proposer aux services métiers via une seule intégration, l’accessibilité à l’ensemble des moyens de vérification d’identité et de leur faire bénéficier des nouveaux services sans nouveaux développements ou intégration. Concrètement, le donneur d’ordre dispose d’une console d’administration lui permettant très simplement de paramétrer ses usages et donc de choisir quels moyens d’identification il souhaite proposer à ses utilisateurs.

Il lui suffit ensuite, dans ses parcours, d’effectuer une requête vers ID360 (associé au jeu de paramétrage souhaité) : le service ID360 s’occupe de tout et retourne le résultat et les données d’identification le cas échéant.

ID360 s’intègre dans le design des parcours client, pour optimiser la confiance des utilisateurs finaux et archive systématiquement le dossier de preuves 10 ans à valeur probatoire.

Enfin, en tant que référent de la confiance numérique, Docaposte a souhaité associer un très haut niveau d’exigence à ce nouveau service, notamment par sa conformité à la norme ETSI 319 401, base d’exigences communes de tout service de confiance qualifié. »