A la douane, en allant retirer un colis à la poste, quand un ado essaie d’acheter de l’alcool... La vérification d’identité est plus répandue qu’on ne l’imagine, certains services sont tenus de vérifier qui les utilise, et avec la multiplication des équivalents en ligne, il devient nécessaire d’adapter ces vérifications au monde digital.
En reprenant l’exemple d’un contrôle à l’épicerie : le client montre sa carte d’identité et le vendeur vérifie l’âge de la personne et son apparence générale d’après la photo. Il peut aussi, s’il est zélé, effectuer une série de vérifications sur le document appelées “point de contrôles”.
Seulement… Si en face à face il est risqué de tricher, en ligne il n’y a aucune garantie que la personne anonyme derrière son ordinateur est bien la même que celle présentée sur le document, ni même que le document est authentique.
Si le degré d’attention porté à la vérification d’identité varie selon les situations en face-à-face, comment pourrait-on traduire ces vérifications d’identité en mesures concrètes en ligne ?
Trois niveaux de vérification ont été déterminés selon leur fiabilité. Nous n’en ferons ici qu’un résumé succinct, mais il est possible d’en consulter une version plus détaillée mais bien moins digeste.
Le premier niveau, plein de “présomptions” et peu curieux, est le niveau faible :
- Il ne demande qu’un facteur d’authentification
- Et ça passe si :
- La personne peut être présumée en possession d’une pièce d’identité officielle
- La pièce d’identité est présumée authentique en cours de validité
- On peut présumer que la personne est bien celle qu’elle prétend être
La plupart des sites qui demandent de se connecter à un compte ont un niveau d’identification faible
Le deuxième niveau, équivalent au face-à-face, est le niveau substantiel :
- Il exige au moins deux facteurs d’identification différents (pièce d’identité + vidéo le plus souvent)
- Il est conçu de manière à ce que normalement, seul le propriétaire légitime des éléments d’identification puisse les utiliser.
- Il va plus loin que les critères du niveau faible, soit :
- En vérifiant l’authenticité de l’élément d’identification qui doit être reconnu par l’Etat
- En demandant à montrer une pièce d’identité pendant un enregistrement vidéo afin de vérifier au maximum que la personne est bien qui elle prétend
Le niveau Substantiel est reconnu comme équivalent à une vérification en face-à-face.
Avec le troisième, le niveau élevé, on ne plaisante plus :
En plus des critères du niveau Substantiel, l’outil utilisé pour l’identification est conçu de manière à protéger les éléments d’identification contre toute utilisation non autorisée Comprend toutes les mesures du niveau Substantiel évoqué ci-dessus, et il est vérifié que la personne est en possession d'un élément d'identification biométrique (carte d’identité, passeport biométrique, empreinte digitale) ou photographique (permettant une reconnaissance faciale) reconnu par l’Etat, sa validité est alors vérifiée et l’identification se fait en comparant précisément les caractéristiques physiques de la personne.
Le niveau élevé est favorisé lors d’une ouverture de compte auprès d'un organisme financier.
Avec le niveau de vérification augmente le niveau de fiabilité et les documents demandés. Mais il n’y a pas que nos pièces d’identité qui peuvent être utilisées, que deviennent nos données une fois confiées à un service d’identification numérique ?
Cette question est creusée dans un article dédié, mais il est néanmoins utile de savoir que la loi prévoit que les données demandées doivent être pertinentes pour la vérification d’identité. Et que chez Ponee, notre vérification est de niveau élevé et nous supprimons totalement les données qui y ont servi en 72h ;)