Dans un livre blanc à paraître, Max Pellegrini, CEO de Namirial, expose les défis et les opportunités imminents auxquels l’UE doit faire face, entre innovations technologiques et adaptations réglementaires, et explique pourquoi le QTSP paneuropéen issu de l’union entre Namirial et Signaturit constitue un atout stratégique pour le marché unique numérique européen.
Parmi les différents sujets abordés, Pellegrini met également en lumière les nouveautés introduites par le règlement eIDAS 2 et par la norme technique ETSI TS 119 461. À partir d’un bref extrait du livre blanc, cet article approfondit plusieurs aspects, qui concernent également notre solution Namirial Onboarding.
« Grâce à des services de confiance interopérables – écrit Pellegrini dans son livre blanc – les entreprises peuvent conclure des accords ou soumettre des mises en conformité réglementaires au-delà des frontières avec le même niveau de sécurité que dans leur propre pays, réduisant ainsi les charges administratives et permettant un accès sans barrières au marché unique numérique européen et au-delà. L’arrivée imminente d’eIDAS 2.0 renforce cette dynamique : grâce aux identités numériques réutilisables et aux “portefeuilles d’identité” mobiles. Un élément clé dans ce contexte est la norme ETSI TS 119 461, qui exige que les méthodes de vérification à distance atteignent un niveau de garantie équivalent à la présence physique. La France a été l’un des premiers pays à appliquer ces principes au niveau national, en imposant des normes strictes d’identification vidéo et en exigeant des QTSP qu’ils suivent les évaluations de conformité prévues à l’article 24 du règlement eIDAS, afin de garantir à la fois la sécurité et l’interopérabilité dans une certification spécifique appelée PVID. Cette expérience illustre comment la réglementation européenne, combinée aux normes ETSI, favorise déjà la mise en pratique d’un onboarding numérique hautement fiable. »
eIDAS 2 et la norme technique de l’ETSI
Le cadre réglementaire européen eIDAS 2 introduit un niveau élevé de confiance pour la vérification de l’identité, désormais requis pour l’émission de certificats qualifiés et d’attributs qualifiés. Le nouveau Règlement d’exécution désigne la norme ETSI TS 119 461 v2.1.1 comme référence technique pour toutes les évaluations de conformité, faisant d’elle le standard de référence européen pour l’identification à distance.
La vérification d’identité – processus initial permettant de valider l’identité des personnes physiques et morales – est un pilier central d’eIDAS. Sa robustesse est définie au niveau international par différents niveaux de garantie (LoA) ou niveaux de confiance.
Avec l’adoption d’eIDAS 2 en mai 2024, l’UE a considérablement renforcé les exigences en matière de vérification d’identité. Le nouveau niveau élevé prévu à l’article 24.1a requiert des processus et technologies avancés et certifiés. En juillet 2025, la Commission européenne a publié le Règlement d’exécution 1566/2025 (en vigueur depuis août 2025), rendant obligatoire l’utilisation de la norme ETSI TS 119 461 v2.1.1 pour toutes les évaluations de conformité – y compris l’évaluation indépendante des composants techniques critiques.
Date limite de conformité : à partir de mai 2026. Les organisations délivrant des certificats qualifiés ou des attributs qualifiés doivent adapter rapidement leurs processus d’onboarding.
Ce qui change concrètement
Les solutions actuelles de vérification d’identité opérant avec un niveau de confiance “substantiel” ne seront plus suffisantes pour l’émission de certificats qualifiés ou d’attributs qualifiés.
Le nouveau cadre réglementaire définit des exigences précises et plusieurs parcours possibles d’onboarding :
- Vérification hybride (IA + opérateur humain) à partir de documents physiques
- Documents d’identité électroniques avec NFC
- Schémas nationaux d’eID
- European Digital Identity Wallet (EUDIW)
Ces exigences s’appliquent aux personnes physiques comme aux personnes morales.
Ce pour quoi Namirial est désormais certifié
Namirial a démontré sa conformité complète à la norme ETSI TS 119 461 v2.1.1 pour les processus d’identification à distance non assistée des personnes physiques, permettant les cas d’usage suivants :
1. Vérification d’identité hybride avec assistance opérateur.
À partir de la phase de détection de vivacité et de liaison biométrique associée à des documents physiques, suivie d’un contrôle final réalisé par un opérateur humain quasi en temps réel (24/7, en quelques minutes). Pour les documents physiques, ce contrôle humain est obligatoire selon la norme.
2. Vérification d’identité entièrement automatisée
Grâce à :
- Documents électroniques avec NFC (application mobile ou SDK)
- Schémas nationaux d’eID de niveau substantiel (SPID, CIEid, FranceConnect+) avec contrôles biométriques supplémentaires
- Vérification via le European Digital Identity Wallet, grâce au EUDIW Gateway de Namirial
- Schémas d’eID à haut niveau de garantie (German ID, ID Austria) ou Namirial Wallet, atteignant un LoA High comme schéma non notifié (avec HSM distant)
Namirial avait déjà été certifié par l’agence française de cybersécurité ANSSI en tant que prestataire PVID – un signe de son expertise de longue date dans les technologies de vérification d’identité.
Composants techniques certifiés
Injection Attack Detection – ISO/IEC 30107-3 (High) – Détection des attaques par injection tout au long du processus de capture des preuves.
Presentation Attack Detection (PAD) – CEN/TS 18099 – Détection des attaques de présentation sur les documents d’identité et les contrôles biométriques.
Face Matching – ISO/IEC 19795-2 – Algorithme certifié de comparaison 1:1 entre la photo du document et la capture biométrique, conforme aux exigences FMR/FRR.
Un standard de référence mondial
La norme ETSI TS 119 461 est désormais citée dans :
- Lignes directrices EBA sur l’onboarding à distance (2022)
- Les futurs RTS du nouveau règlement AMLR (à partir de 2027)
- Les exigences d’onboarding pour le European Digital Identity Wallet (CEN/TS 18098)
Elle devrait progressivement remplacer plusieurs standards nationaux : PVID (France), Ordre ETD/465/2021 (Espagne), Exigences BaFin (Allemagne).
Impact stratégique pour Namirial
Cette certification renforce la position de leader de Namirial, confirmée par :
- Premier QTSP en Europe
- Leader dans l’IDC MarketScape pour la vérification d’identité dans les services financiers
Le service est déjà disponible pour les clients qui doivent mettre à jour leurs systèmes d’onboarding ou déployer des solutions entièrement conformes avant l’échéance de mai 2026.
Qu’est-ce que l’ETSI TS 119 461
ETSI TS 119 461 est la norme technique européenne qui définit les exigences, processus et contrôles de sécurité pour la vérification d’identité à distance. La version v2.1.1 est désormais la référence officielle d’eIDAS 2 pour le niveau « élevé » prévu à l’article 24. Cette norme concerne également les certificats qualifiés que nous émettons aujourd’hui. Tout processus d’onboarding utilisé pour émettre des certificats qualifiés devra être conforme aux nouvelles exigences d’ici mai 2026. Les flux basés sur des niveaux de garantie « substantiels » ne seront plus autorisés. Les clients utilisant déjà Namirial Onboarding seront accompagnés dans la transition vers les nouveaux flux conformes. Namirial propose déjà des options entièrement certifiées, rendant la migration simple et sécurisée. L’ETSI TS 119 461 s’applique aux personnes physiques et aux personnes morales. Namirial prépare des flux dédiés pour la vérification des représentants légaux et des bénéficiaires effectifs.
Le lien entre la conformité ETSI et l’EUDI Wallet
La passerelle EUDIW de Namirial permet la vérification via les futurs portefeuilles européens. La conformité à ETSI 119 461 est également requise pour l’activation des EUDIW et pour les processus d’émission du PID. La norme ETSI a également des implications pour la réglementation AML. Elle est citée dans les lignes directrices de l’EBA et devrait figurer dans les futurs RTS du règlement AMLR pour l’onboarding à distance. Les organisations devraient commencer à s’adapter dès maintenant. L’échéance est prévue à partir de mai 2026, mais les évaluations de conformité, audits et intégrations nécessitent plusieurs mois. Une adoption anticipée réduit considérablement les risques de non-conformité.