Tout savoir sur le référentiel PVID et les autres certifications valables en France

C'est quoi le PVID ?

Le PVID, acronyme de Prestataire de Vérification d'Identité à Distance, est un « visa de sécurité » établi par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). L'ANSSI joue un rôle central dans l'élaboration et la mise en place de ce référentiel, en veillant à ce qu'il réponde aux normes de sécurité les plus élevées et qu'il contribue efficacement à la lutte contre l'usurpation d'identité en ligne.

En d’autres termes, le PVID vise à garantir la fiabilité et la sécurité des procédures de vérification d'identité numérique à distance, en définissant des exigences que doivent respecter les prestataires de services proposant des solutions de vérification d'identité en ligne. 

Il établit ainsi un cadre clair et rigoureux pour s'assurer de l'authenticité des identités numériques. 

Qu'est-ce que la Signature Électronique Qualifiée (QES) ? 

La Signature Électronique Qualifiée (QES) permet de signer des documents électroniquement de manière sécurisée et juridiquement contraignante. Il s’agit d’une signature électronique de niveau 3, soit de la signature électronique du plus haut niveau de sécurité.

Contrairement à une signature électronique simple, la QES est soumise à des normes strictes de sécurité et de validation établies par des autorités compétentes. Elle repose sur l'utilisation de certificats électroniques délivrés par des prestataires de services de confiance, lesquels garantissent l'identité du signataire et l'intégrité du document signé (notamment pour lutter contre les modifications ultérieures frauduleuses). 

Elle représente ainsi une excellente alternative au PVID, aussi bien compte-tenu de sa fiabilité, de sa facilité d’utilisation que de sa validité dans toute l’Europe. 

QES, une valeur juridique équivalente à une signature manuscrite ?

La signature électronique qualifiée a la même valeur juridique qu’une signature manuscrite. Toutes les signatures électroniques sont ainsi admissibles comme preuve devant un tribunal.

Attention : le PVID n’a pas cette valeur juridique ! Si vous êtes à la recherche d’une méthode d’authentification à la fois sécurisée et exploitable devant les tribunaux en cas de litige, la signature électronique qualifiée (QES) est alors recommandée.  

Toutefois, une signature électronique manuscrite (dessinée par le signataire puis insérée en tant qu’image) n’a pas cette valeur juridique, car elle ne permet pas d’authentifier le signataire ni de prouver son consentement aux obligations posées par le document signé. 

L’article 1367 du Code civil précise que : 
« La signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. [...] Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d’État. »

PVID vs QES : points communs et différences

Pour vous aider à y voir plus clair sur le sujet, voici les principaux points communs et différences entre le référentiel PVID et la Signature Électronique Qualifiée (QES) :

Quels sont les avantages des certifications PVID et QES pour les entreprises ?

Les avantages de la certification PVID pour les entreprises sont nombreux : 

• Garantie de sécurité : En optant pour des prestataires certifiés PVID, les entreprises bénéficient d'une garantie de sécurité renforcée dans leurs processus de vérification d'identité à distance. La certification PVID atteste ainsi que le prestataire respecte des normes en matière de sécurité, réduisant ainsi les risques de fraude et de vol d'identité pour l'entreprise et ses clients ; 
• Conformité aux réglementations en vigueur : La certification PVID assure également aux entreprises une conformité aux réglementations en vigueur en matière de protection des données et de sécurité des transactions en ligne ;
• Renforcement de la confiance des clients : La certification PVID contribue à renforcer la confiance des clients dans les services en ligne proposés par l'entreprise. Dès lors, en offrant des procédures de vérification d'identité conformes aux normes de sécurité les plus élevées, l'entreprise démontre son engagement envers la protection des données personnelles et la sécurité de ses clients, ce qui favorise indirectement la fidélisation et l'acquisition de nouveaux utilisateurs ;
• Réduction des coûts liés à la fraude : En limitant les risques d'usurpation d'identité et de transactions frauduleuses, les entreprises peuvent économiser sur les frais de litiges, les remboursements et les pertes de revenus ;
• Amélioration de l'efficacité opérationnelle : Enfin, en choisissant des prestataires certifiés PVID, les entreprises peuvent significativement améliorer leur efficacité opérationnelle en simplifiant et en sécurisant les processus de vérification d'identité. 

Toutefois, il faut savoir que les avantages de la Signature Électronique Qualifiée (QES) sont encore plus importants : 

• Valeur juridique : La QES offre une validité juridique équivalente à une signature manuscrite dans de nombreuses juridictions, ce qui renforce la sécurité juridique des transactions électroniques ;
• Authenticité et intégrité des documents : La QES garantit également l'authenticité et l'intégrité des documents signés électroniquement, réduisant ainsi les risques de fraude et de falsification ;
• Conformité réglementaire : L’utilisation de la QES permet aux entreprises de se conformer au règlement eIDAS en Europe ou encore à l’UETA et à l’ESIGN aux États-Unis, ce qui est indispensable pour assurer la sécurité des transactions commerciales et juridiques ;
• Gain de temps et réduction des coûts : La signature électronique permet d'éliminer les processus manuels chronophages tels que les impressions et les envois postaux, ce qui accélère les transactions et réduit les coûts associés à la gestion de la paperasse ;
• Accessibilité et flexibilité : Les signatures électroniques peuvent être apposées à tout moment et en tout lieu, rendant ainsi la conclusion de contrats bien plus rapide, quel que soit l'emplacement géographique des parties impliquées ;
• Traçabilité : Les transactions signées électroniquement peuvent être facilement suivies, enregistrées et auditées, offrant ainsi une traçabilité complète des activités commerciales et des accords conclus ;
• Amélioration de l'expérience client : Les processus de signature électronique simplifiés offrent de plus meilleure expérience utilisateur, ce qui peut conduire à une satisfaction client accrue et à des relations commerciales durables ;
• Maintien de la compétitivité sur le marché : Enfin, en adoptant une solution de signature électronique qualifiée, les entreprises démontrent leur engagement envers l'innovation technologique et renforcent significativement leur positionnement sur le marché et leur attractivité auprès des clients et des partenaires commerciaux.

Quels sont les enjeux du référentiel PVID et de la QES ?

Les principaux objectifs du référentiel PVID et de la QES sont les suivants : 

• Garantir la fiabilité de la vérification d'identité à distance : Le PVID vise à établir des normes strictes pour les prestataires de services en ligne afin de garantir la fiabilité des processus de vérification d'identité à distance. En imposant des standards élevés, il contribue donc à réduire significativement les risques d'usurpation d'identité et de fraude en ligne ; 
• Protéger les utilisateurs contre les cybermenaces : En renforçant les procédures de vérification d'identité, le PVID et la QES participent tous à deux à mieux protéger les utilisateurs contre les cybermenaces telles que le phishing, le vol d'identité et d'autres formes de fraude en ligne ; 
• Assurer la conformité aux normes de sécurité : Le PVID et la QES établissent des exigences claires en matière de sécurité pour les prestataires de services en ligne, notamment en veillant à ce qu’ils respectent des normes rigoureuses et assurent une protection optimale des données personnelles des utilisateurs ;
• Renforcer la confiance dans les services numériques : Enfin, en instaurant des procédures de vérification d'identité fiables et sécurisées, le PVID et la QES contribuent à renforcer la confiance des utilisateurs dans les services numériques avec une expérience utilisateur sécurisée et transparente.

Comment choisir entre PVID et QES suivant vos besoins ? 

Lorsqu'il s'agit de choisir entre PVID et QES pour répondre à vos besoins spécifiques, il est important de prendre en compte plusieurs facteurs pour faire le meilleur choix.

Tout d’abord, il faut garder à l’esprit que le référentiel PVID est l’acronyme de Prestataire de Vérification d'Identité à Distance, un visa de sécurité. Il est spécifiquement conçu pour garantir la fiabilité et la sécurité des procédures de vérification d'identité numérique à distance, ce qui le rend particulièrement utile pour les entreprises ou les organisations qui ont besoin de vérifier l'identité des utilisateurs lors de l'accès à des services en ligne, tels que la banque en ligne, les services gouvernementaux ou les plateformes de commerce électronique.

Pour sa part, la Signature Électronique Qualifiée (QES) est davantage destinée aux transactions commerciales et légales nécessitant à la fois un haut niveau de sécurité pour l’intégrité des documents et une valeur juridique solide pour les signatures des différentes parties (équivalente à une signature manuscrite). 

Si vous avez simplement besoin de vérifier l'identité des utilisateurs en ligne, alors le référentiel PVID peut suffire. Cependant, si vous traitez des documents sensibles qui exigent une sécurité et une validité juridique élevées, comme des contrats, des accords commerciaux ou des transactions financières, alors la QES est la solution la plus appropriée !

Comment obtenir une Signature Électronique Qualifiée (QES) ? 

Pour obtenir une Signature Électronique Qualifiée (QES), la procédure à suivre implique de : 

• Choisir un Prestataire de Services de Confiance Qualifié (QTSP) : il est crucial de choisir un QTPS reconnu et fiable, détenant la certification recherchée (a liste des prestataires qualifiés est disponible sur le site d  l’’eIDAS) ; 
• Faire vérifier votre identité : le QTSP sélectionné procède alors à la vérification de votre identité à distance ;
• Obtenir un certificat qualifié de signature électronique : le prestataire vous fournira un certificat qualifié, c’est-à-dire un document numérique liant vos données d’identification à vos données de création de signature ;
• Signer le document : il ne vous reste plus qu’à signer le ou les documents correspondants. La plupart du temps, il faudra utiliser un code à 6 chiffres (OTP, pour One Time Password) reçu par SMS ou par email !

Or, pour signer avec une signature électronique qualifiée, votre signature doit être : 

• accompagnée d’un certificat électronique qualifié identifiant le signataire, 
• délivré par une autorité de certification compétente. 

L’identité du signataire doit alors être vérifiée en face-à-face (souvent par visio) par un opérateur habilité.

Le certificat permet alors de relier l'identité du signataire à la signature, tandis que la signature électronique fait un lien entre le certificat et le document signé. 

Ainsi, en cas de litige, la signature électronique qualifiée bénéficie d'une présomption de fiabilité et assure l’inversement de la charge de la preuve, cette dernière étant valable jusqu’à preuve contraire par la partie qui nie avoir signé.

Quels critères pour choisir son Prestataire de Services de Confiance Qualifié (QTSP) ?

Voici plusieurs critères à prendre en compte pour bien choisir votre Prestataire de Services de Confiance Qualifié (QTSP) : 

• la garantie de la protection et d raitement licite des données à caractère personnel,
• l’accessibilité de sa solution,
• la gestion des risques assurée,
• la notification des incidents, 
• l’expertise, la fiabilité et la qualification des personnels et sous-traitants, 
• l’information des conditions et des limites d’utilisation des services, 
• l’utilisation de systèmes et de processus fiables,
• les mesures prises pour lutter contre la falsification et le vol de données.

Comparatif PVID vs QES : ce qu'il faut retenir

Pour clôre le sujet sur le choix entre PVID et QES, voici ce qu’il faut retenir : 

• PVID signifie Prestataire de Vérification d'Identité à Distance, soit un « visa de sécurité » établi par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ;
• Ce certificat de sécurité permet de garantir la fiabilité et la sécurité des procédures de vérification d'identité numérique à distance ;
• La Signature Électronique Qualifiée (QES) permet de signer des documents électroniquement de manière sécurisée et juridiquement contraignante, avec une valeur équivalente à celle d’une signature manuscrite ;
• PVID et QES assurent tous deux la conformité des documents aux normes et réglementations en vigueur, notamment à l’échelle européenne ; 
• Le référentiel PVID est suffisant si vous avez simplement besoin de vérifier l'identité des utilisateurs en ligne ;
• Toutefois, la QES reste la solution idéale pour traiter l’ensemble de vos documents sensibles exigeant une sécurité et une validité juridique élevées, comme des contrats, des accords commerciaux ou des transactions financières. Sa valeur juridique équivalente à une signature manuscrite permet également de l’utiliser en cas de litige devant les tribunaux, alors que le PVID sera inefficace sur ce point.