ETSI 119 461 : une spécification européenne pour la vérification d'identité à distance

À l’heure où la numérisation des services s’accélère, la vérification d’identité à distance devient un enjeu stratégique pour les entreprises comme pour les institutions publiques. Mais comment garantir que ces vérifications soient à la fois fiables, sécurisées et reconnues à l’échelle européenne ? C’est précisément l’objectif de la spécification ETSI 119 461, encore peu connue mais appelée à devenir un pilier de la confiance numérique en Europe.

Qu’est-ce que l’ETSI ?

L’ETSI (pour European Telecommunications Standards Institute) est un organisme de normalisation indépendant reconnu par l’Union européenne. Il élabore des standards techniques dans les domaines des télécommunications, de la cybersécurité, des systèmes d'information et, plus récemment, de l’identité numérique.

Son rôle est de fournir un cadre à l’ensemble des acteurs européens (États, entreprises, prestataires technologiques) pour assurer l’interopérabilité, la sécurité et la conformité réglementaire des systèmes numériques.

Pourquoi la spécification ETSI 119 461 pourrait-elle être  nécessaire ?

En 2014, l’Union Européenne s’est dotée du règlement eIDAS, qui établit un cadre juridique pour les services de confiance et les moyens d’identification électronique.

Cependant, bien que ce règlement ait pour objectif de faciliter et sécuriser les transactions au sein de l’UE, celui-ci ne définissait pas des mesures précises pour évaluer les niveaux de d’assurance des solutions de vérification d’identité à distance. C’est dans ce contexte que certains pays ont développé leurs propres référentiels d’évaluation, à l’instar de la France avec le PVID ou la Roumanie avec l’ADR.

Résultat : ces référentiels, certes innovants, ont créé un désalignement notable entre les pays européens, certains s’appuyant sur un cadre réglementaire beaucoup moins contraignant.

Pour combler ce manque, la spécification ETSI 119-461 doit apporter des bases harmonisées pour évaluer les solutions de vérification d’identité à distance, et devrait venir s'inscrire dans un acte d'exécution de la deuxième version du règlement eIDAS.

Découvrez dans cet article pourquoi l’ANSSI envisage une migration du référentiel PVID vers la spécification ETSI 119 461.

Que définit la spécification ETSI 119 461 ?

Publiée en 2021 et mise à jour en 2025, cette spécification définit des exigences pour les prestataires de services de confiance et les fournisseurs de solutions de vérification d’identité.

Pour être conformes à l’ETSI 119 461, les fournisseurs doivent répondre à des critères stricts:

-        Processus de vérification d’identité :

Le cœur de la spécification repose sur la vérification de l’identité elle-même. Cela comprend la capture de données d’identification (photo du document et/ou lecture NFC et selfie vidéo, lecture NFC et selfie vidéo ou vidéo identification) et l’analyse automatique de ces données par des moyens automatiques, complétés possiblement de moyens manuels en fonction du niveau de fiabilité à la source et du niveau de garantie attendu. Cette spécification, outre le fait qu’elle puisse rendre obligatoire la revue manuelle lors de documents d’identité physiques capturées à distance, se veut par ailleurs préciser le rôle des solutions de biométrie faciale et leur niveau de fiabilité.

-        La fiabilité technique des solutions biométriques

Deux certifications sont particulièrement mises en avant dans la dernière version de la spécification : l’ISO/IEC 30107-3, relative aux attaques par présentation et la CEN/TS 18099, qui concerne les attaques par injection. Ces certifications permettent en effet de garantir que les technologies de biométrie faciale utilisées couvrent tous les types d’attaques, y compris les deepfakes. Des technologies non certifiées peuvent constituer en effet un véritable écueil car même si le fournisseur met en place une revue manuelle, ses opérateurs n’auront aucun moyen de détecter une injection vidéo à travers la seule revue qu’ils réaliseront. Dans le cadre d’une garantie de niveau substantiel ou élevée, l’usage de tels services devient donc quasi obligatoire.

Pourquoi l’ETSI 119 461 change la donne en Europe ?

L’une des principales avancées de la spécification ETSI 119 461 réside dans sa capacité à instaurer une véritable harmonisation des pratiques en matière de vérification d’identité à distance à l’échelle européenne. En conséquence, les disparités entre les pays tendent à s’estomper, ce qui facilite considérablement l’expansion transfrontalière des entreprises.

En outre, l’ETSI 119 461 joue un rôle essentiel pour le portefeuille numérique européen (EUDI Wallet). Cette initiative vise à créer un cadre commun pour l’identité numérique, permettant aux citoyens et aux entreprises de s’authentifier et de réaliser des transactions en ligne de manière sécurisée et interopérable.

Enfin, la fraude à l’identité représente une menace croissante pour les entreprises et les particuliers, avec des pertes estimées à plus de 600 millions d’euros par an. La spécification ETSI 119 461 contribue à renforcer la lutte contre la fraude en exigeant des solutions de vérification d’identité à distance robustes et résilientes face aux attaques les plus sophistiquées

‍

Conclusion :

La spécification ETSI 119 461 s’impose comme une étape essentielle dans la construction d’un espace numérique de confiance en Europe. Elle permet de professionnaliser les processus de vérification d’identité à distance, de répondre aux attentes des régulateurs et de préparer l’arrivée de l’identité numérique européenne.

‍