Informations du document
| Objet / Synthèse | Politique de Schéma d’Identification Électronique |
|---|---|
| Niveau de diffusion | D3 – Diffusion libre |
| Liste de diffusion | Public |
| Localisation | BE YS TRUSTED SOLUTIONS FRANCE |
| Date de péremption | 2 ans |
Historique des versions
| Version | Date | Modifications | Rédacteur |
|---|---|---|---|
| 1.0 | 14/04/2025 | Création | Gergynia Kyoseva |
| 1.1 | 03/06/2025 | Ajout d’OID | Lidiya Ivanova |
| 1.2 | 04/07/2025 | Ajout de données d’immatriculation entité juridique | Lidiya Ivanova |
| 1.3 | 16/10/2025 | Ajout de Nom d’usage | Lidiya Ivanova |
| 1.4 | 11/11/2025 | Suspension non disponible sur Kipmi | Mihael Stoyanov |
Validation
| Rôle | Nom | Fonction |
|---|---|---|
| Relecteur | Lidiya Ivanova | Responsable du service |
| Approbateur | Younes El Gui | Président |
Glossaire
| Terme / Acronyme | Définition |
|---|---|
| ANSSI | Agence nationale de la sécurité des systèmes d’information |
| C2SC | Comité de suivi des services de confiance |
| CGU | Conditions générales d’utilisation |
| CSPN | Certification de Sécurité de Premier Niveau |
| CNIL | Commission nationale de l’informatique et des libertés |
| FIE | Fournisseur de Moyens d’identification électroniques |
| MIE | Moyen d’Identification Électronique |
| OID | Object Identifier |
| PVID | Prestataire de vérification d’identité à distance |
Définitions
| Terme | Définition |
|---|---|
| Application KIPMI | KIPMI est une application mobile faisant partie des services de confiance numérique de BE YS TRUSTED SOLUTIONS FRANCE, permettant d’accéder à différents services et de délivrer un Moyen d’identification électronique. |
| Application utilisatrice | Service applicatif, en ligne ou non, demandant l’identification électronique de ses utilisateurs via un Moyen d’identification électronique délivré par un FIE. |
| Authentification | Action de s’assurer de l’identité d’une personne physique ou morale ou de l’origine d’une communication. |
| Client | Entité cliente ayant décidé de souscrire au Service, qu’elle utilise pour ses propres besoins ou qu’elle met à disposition des utilisateurs. |
| Moyen d’identification électronique (MIE) | Élément matériel, et/ou immatériel, contenant des données d’identification personnelle et utilisé pour s’authentifier à un service en ligne. Le MIE délivré par BE YS TRUSTED SOLUTIONS FRANCE est intégré dans une application mobile nommée « KIPMI ». Le Moyen d’identification électronique est émis après une vérification initiale d’identité et sa durée de vie est comme défini dans cette Politique. |
| Politique de Schéma d’Identification Électronique | Ensemble de règles, identifié par un nom et un identifiant (OID), définissant les exigences auxquelles un FIE se conforme dans la mise en place et la fourniture de ses prestations. |
| Service | Le service de délivrance et de gestion des Moyens d’identification électronique émis par BE YS TRUSTED SOLUTIONS FRANCE en tant que FIE. |
| Utilisateur | Personne physique, qui utilise le service certifié de délivrance de MIE offert par le FIE. |
| Parties prenantes | Personne, machine ou service participant au processus de délivrance de MIE. |
| Rôle de confiance | Personnes de confiance, formellement identifiées, qui participent à la réalisation des actions sensibles du service certifié. |
1 — Introduction
1.1 Présentation générale
Dans le cadre de ses offres de services de dématérialisation et de confiance, BE YS TRUSTED SOLUTIONS FRANCE met à disposition de ses Clients son Service. BE YS TRUSTED SOLUTIONS FRANCE agit en tant que Fournisseur de moyens d’identification électronique (FIE) pour le compte des Utilisateurs des services de ses Clients.
Le présent document constitue la Politique de Schéma d’Identification Électronique (PSIE) de BE YS TRUSTED SOLUTIONS FRANCE en tant que FIE pour la délivrance aux Utilisateurs de Moyens d’identification électronique (MIE) de niveau de garantie substantiel au titre du règlement eIDAS.
L’objectif de la présente Politique est de définir les exigences concernant les Moyens d’identification électronique dans toutes les phases de leur cycle de vie, ainsi que d’exposer les engagements attendus de la part des différentes Parties prenantes du Service.
Le schéma d’identification électronique mis en œuvre est conforme aux spécifications techniques et procédures minimales définies, pour le niveau substantiel, par :
- Règlement (UE) n° 910/2014 du Parlement Européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, modifié par Règlement (UE) 2024/1183 du 11 avril 2024 ;
- Règlement d’exécution (UE) 2015/1501 de la Commission du 8 septembre 2015 ;
- Règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 ;
- Référentiel d’exigences de sécurité pour les moyens d’identification électronique version 1.2 du 11 août 2022 de l’ANSSI ;
- ETSI EN 319 401 — General Policy Requirements for Trust Service Providers ;
- ETSI EN 319 411-1 — General requirements.
Les Moyens d’identification électronique permettent, entre autres, à l’Utilisateur de s’identifier et de s’authentifier auprès d’une Application utilisatrice partenaire du FIE qui délègue au Service cette identification électronique. Les Moyens d’identification électronique sont destinés à des personnes physiques agissant à titre particulier.
1.2 Identification du Fournisseur des MIE
Le Fournisseur des Moyens d’Identification Électronique, responsable du Service et des Moyens d’Identification Électronique, est la société suivante :
BE YS TRUSTED SOLUTIONS FRANCE
10 Boulevard Haussmann 75009 PARIS
Adresse de contact : kipmi.customer.service@be-ys.com
Site Web : https://www.kipmi.com/
1.3 Politique de schéma d’identification électronique
Ce document représente la Politique de schéma d’identification électronique (Politique) du FIE. Il décrit l’ensemble de règles définissant les exigences auxquelles le FIE se conforme, ainsi que les normes qu’il applique dans la mise en place et la fourniture du Service.
La Politique identifie également les mesures de sécurité, les obligations et les exigences portant sur les autres intervenants, notamment les Utilisateurs et les Clients et fait partie indissociable des CGU.
Ce document a été élaboré en conformité avec le Règlement (UE) 2016/679 (RGPD), ainsi que la législation française applicable. La Politique est publique et peut être modifiée par le FIE à tout moment.
1.4 Identification du document
La présente Politique est identifiée par le numéro d’identification d’objet (OID) suivant : [1.3.6.1.4.1.62466.87.1.1.3.1.0]
1.5 Date d’entrée en vigueur
La Politique entre en vigueur après approbation par le C2SC du FIE et à la date fixée par ce Comité. La Politique est publiée sur le site web https://www.kipmi.com/ au moins 72h avant sa date d’entrée en vigueur.
1.6 Durée et fin anticipée de validité de la Politique
Le présent document reste en vigueur jusqu’à la publication d’une nouvelle version.
1.7 Gestion de la Politique
1.7.1 Entité gérant la Politique
La présente Politique est gérée par les membres du C2SC du FIE.
1.7.2 Point de contact
Le point de contact pour toute question à propos de la Politique est :
- Adresse postale : BE YS TRUSTED SOLUTIONS FRANCE — Service VID
- 10 Boulevard Haussmann 75009 PARIS
- Adresse électronique : kipmi.customer.service@be-ys.com
1.7.3 Procédure d’approbation de la Politique
La Politique est approuvée par le C2SC après examen et relecture du document par les membres du Comité, et par les personnes désignées par celui-ci.
Cette relecture a pour objectif d’assurer :
- La conformité de la Politique avec les exigences réglementaires et normatives portant sur la fourniture du service certifié ;
- La cohérence de la Politique avec les autres documents publiés dans le cadre du service, tels par exemple que les Conditions Générales d’Utilisation ;
- La concordance entre les engagements exprimés dans la Politique et les moyens techniques et organisationnels mis en œuvre par le Prestataire et ses partenaires ;
- L’information effective de l’organe de contrôle pour toute modification importante dans la fourniture du Service.
1.8 Informations publiées
1.8.1 Entités chargées de la mise à disposition des informations
Le Prestataire assure la publication d’informations à destination des Clients et des Utilisateurs sur son site web : https://www.kipmi.com/
1.8.2 Informations devant être publiées
Le Prestataire s’engage à publier au minimum les informations suivantes :
- Le présent document, décrivant la Politique de schéma d’identification électronique ;
- Les CGU du Service ;
- Les points de publication des informations associées aux services des partenaires.
1.8.3 Délais et fréquences de publication
Les informations liées au Service sont publiées dès que nécessaire, afin que soit assurée à tout moment la cohérence entre les informations publiées et les engagements, moyens et procédures effectifs du Prestataire. Le point de publication des informations est disponible 24h/7/365(6).
1.8.4 Contrôle d’accès aux informations publiées
L’ensemble des informations publiées est en accès libre en lecture et est consultable ici : https://www.kipmi.com/
L’accès en modification aux systèmes de publication est strictement limité aux fonctions internes habilitées du FIE. Ces personnes sont définies dans des rôles de confiance et disposent d’un moyen d’authentification forte pour se connecter sur les systèmes de publication.
1.9 Amendement du document
1.9.1 Procédure de mise à jour
Le FIE contrôle que tout projet de modification de sa Politique reste conforme aux exigences réglementaires et normatives applicables. Le C2SC intervient toujours en validation des éventuels amendements.
1.9.2 Circonstances selon lesquelles la Politique doit être changée
Des amendements peuvent être prévus, par exemple pour des corrections mineures, des évolutions ou extensions du service, l’acceptation de nouveaux moyens d’identification électronique, des changements d’ordre technique, ou des corrections induites par les audits du Service.
1.9.3 Circonstances selon lesquelles l’OID doit être changé
En cas d’impact majeur, un changement d’OID de Politique est prévu, et l’évolution et son analyse d’impact sont soumises à l’organe de contrôle et à l’organisme d’évaluation de la conformité.
1.9.4 Entrée en vigueur de la Politique amendée
La date d’entrée en vigueur de la nouvelle version du document est déterminée par le C2SC dans sa décision de validation tenant compte de la nature et de la complexité des modifications.
1.9.5 Mécanisme et période d’information sur les amendements
La nouvelle Politique est communiquée sans délai au personnel du Prestataire et à toutes les parties prenantes, et au moins 72h avant sa date d’entrée en vigueur aux Clients et Utilisateurs par publication sur le site web.
2 — Documents associés
2.1 Conditions générales d’utilisation
Les CGU applicables sont disponibles sur le site du FIE : https://www.kipmi.com/ et sur l’application KIPMI.
2.2 Documents normatifs
| Renvoi | Document |
|---|---|
| [EIDAS] | Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 — eur-lex.europa.eu |
| [ANSSI_MIE] | Référentiel d’exigences pour les moyens d’identification électroniques — cyber.gouv.fr |
| [HYGIENE] | Guide d’hygiène informatique — cyber.gouv.fr |
| [CERT_SERV_PROCESS] | Processus de certification d’un service — ssi.gouv.fr |
| [RGPD] | cnil.fr |
| [EN_319_401] | ETSI EN 319 401 — General Policy Requirements for Trust Service Providers |
| [EN_319_411-1] | ETSI EN 319 411-1 — Policy and security requirements for Trust Service Providers issuing certificates |
| [2015/1501] | Règlement d’exécution (UE) 2015/1501 — cadre d’interopérabilité — eur-lex.europa.eu |
| [2015/1502] | Règlement d’exécution (UE) 2015/1502 — spécifications techniques et procédures minimales — eur-lex.europa.eu |
3 — Parties prenantes et obligations
3.1 Fournisseur des MIE
Le FIE est le responsable du Service et assure la fonction de gestion des MIE. Il garantit la mise en œuvre et le contrôle des différentes fonctions nécessaires à la fourniture du Service.
Le FIE a mis en place une organisation établie et pleinement opérationnelle. Le FIE maintient en particulier un système de gestion de la sécurité de l’information efficace. Le FIE est responsable de l’exécution de toute tâche sous-traitée à une autre entité.
3.2 Prestataire de vérification d’identité à distance
Le PVID est une entité qui fournit un service de vérification des données d’identification des Utilisateurs par un face-à-face à distance. Le Service recourt exclusivement à des PVID certifiés au niveau de garantie substantiel ou élevé par l’ANSSI.
3.3 Utilisateurs
L’Utilisateur, porteur ou demandeur d’un MIE, ne peut être qu’une personne physique, à laquelle est remis un MIE après contrôle de son identité. Le Service ne gère pas de lien entre l’Utilisateur et des personnes morales dans le cadre des données d’identification du MIE. L’Utilisateur déclare avoir pris connaissance et accepte les CGU de l’Application KIPMI.
3.4 Applications utilisatrices
Les Applications utilisatrices sont des services numériques, en ligne ou non, gérées par des Parties Utilisatrices, qui doivent identifier et authentifier leurs utilisateurs de manière fiable, et qui délèguent cette identification électronique au Service.
3.5 Parties utilisatrices
Partie utilisatrice est une personne physique ou morale qui se fie à une identification électronique. Dans le cadre de l’Application KIPMI, l’Utilisateur a la possibilité de partager des documents et des attributs avec des Parties Utilisatrices qui le demandent (employeur, banques, sociétés d’assurance, organisations gouvernementales, opérateurs de téléphonie mobile, etc.).
4 — Exigences opérationnelles sur le cycle de vie des MIE
4.1 Décomposition fonctionnelle du Service et caractéristiques
- Fonction de gestion des MIE : gestion globale du cycle de vie du MIE.
- Fonction d’enregistrement des Utilisateurs : vérification des informations d’identité du futur Utilisateur avant obtention du MIE.
- Fonction de délivrance des MIE : initialisation et délivrance d’un MIE à un Utilisateur enregistré avec succès, incluant la génération d’éléments de cryptographie.
- Fonction de révocation des MIE : traitement des demandes de révocation des MIE.
- Fonction d’identification électronique : diffusion et partage des informations d’identité d’un Utilisateur à des Parties Utilisatrices, après identification et authentification.
Le MIE est conçu de sorte qu’il est utilisé uniquement sous le contrôle de la personne à laquelle il appartient ou en sa possession.
Les moyens de cryptologie constitutifs du MIE doivent au minimum faire l’objet d’une qualification au niveau élémentaire du RGS reposant sur une Certification de Sécurité de Premier Niveau (CSPN), sur la base d’une cible de sécurité validée par l’ANSSI.
4.2 Enregistrement et demande de MIE
Pour utiliser le Service, l’Utilisateur doit télécharger l’Application KIPMI sur son smartphone. Lors de la première ouverture, l’Utilisateur passe par le processus d’enregistrement : création de compte, vérification d’identité, délivrance de MIE.
Pour la création de compte, l’Utilisateur indique : son adresse e-mail, son prénom et nom, et son numéro de téléphone. L’Utilisateur doit accepter les CGU et configurer un code PIN de 6 chiffres. L’adresse e-mail et le numéro de téléphone sont vérifiés via des codes à 6 chiffres.
4.3 Preuve et vérification d’identité pour des personnes physiques
Avant de se voir délivrer un MIE, l’Utilisateur doit faire vérifier son identité par un PVID de niveau de garantie substantiel a minima. L’Utilisateur doit présenter une pièce d’identité officielle et valide. À l’issue d’un verdict positif, les attributs d’identité suivants sont associés au compte : nom, prénoms, date de naissance, lieu de naissance, genre.
4.4 Délivrance du MIE
Une fois la vérification d’identité réussie, l’Utilisateur dispose de 72 heures pour activer son compte. Si le compte n’est pas activé dans ce délai, l’Utilisateur doit repasser par le processus de vérification. Il n’y a pas de limite au nombre de tentatives.
Un MIE est valide pendant la durée de validité du document d’identité utilisé pour sa délivrance, sans toutefois pouvoir excéder cinq ans.
4.5 Usage du MIE
L’usage d’un MIE est restreint à l’identification électronique de son Utilisateur sur la fonction d’identification électronique du Service. Tout autre usage est interdit.
4.5.1 Usage de MIE pour identification électronique demandée par une Application Utilisatrice
L’Application Utilisatrice affiche un QR code. L’Utilisateur ouvre KIPMI, s’authentifie via son code PIN, scanne le QR code, puis confirme ou refuse le partage des données personnelles demandées.
4.5.2 Usage de MIE pour l’identification électronique demandée par les systèmes de l’entreprise ayant une intégration directe avec KIPMI
L’Utilisateur reçoit une notification dans l’application contenant des informations sur la personne morale qui demande son identification électronique. L’Utilisateur peut accepter ou refuser après authentification par code PIN.
4.5.3 Usage de MIE pour le partage de documents
L’Application KIPMI permet aux Utilisateurs membres de l’espace d’une organisation de recevoir et traiter des demandes de partage de documents.
4.5.4 Usage de MIE pour le partage d’attributs
L’Application KIPMI offre la fonctionnalité de partage d’attributs d’identité tel que définis par le règlement eIDAS 2 entre les Utilisateurs et les Parties Utilisatrices.
4.6 Révocation ou suspension du MIE
La révocation d’un MIE peut être demandée par l’Utilisateur lui-même sur l’Application KIPMI ou par le FIE en adressant une demande via email à kipmi.customer.service@be-ys.com.
L’application KIPMI ne prend pas en charge la suspension du MIE.
4.6.1 Demande de révocation par l’Utilisateur depuis l’application KIPMI
La fonction de révocation est disponible 24h/24 et 7j/7. Toute demande est traitée dans un délai de 24 heures. La révocation interdit toute utilisation ultérieure du MIE.
4.6.2 Demande de révocation par le FIE
La révocation peut être décidée par le FIE dans les cas suivants : non-respect des CGU, erreur dans le dossier d’inscription, MIE compromis/perdu/volé, décès de l’Utilisateur, plainte pour usurpation d’identité.
4.6.3 Réémission du MIE
Pour réémettre son MIE, l’Utilisateur doit passer par la procédure de vérification d’identité.
4.7 Réémission du MIE
La réémission du MIE consiste à demander un MIE lorsque l’Utilisateur dispose déjà d’un MIE valide qui n’est ni expiré ni révoqué. Le Service envoie automatiquement une notification aux Utilisateurs dont le MIE arrive prochainement à expiration. Si la pièce d’identité n’est plus valide, l’Utilisateur doit refaire le parcours PVID. Le précédent MIE sur le même appareil est révoqué.
5 — Mesures de sécurité non techniques
5.1 Mesures de sécurité physique
Le FIE s’engage à mettre en œuvre et maintenir le niveau de sécurité physique exigé pour les locaux d’exploitation. Les sites sont définis au niveau 1 de la politique de sécurité (impact vital). Les mesures couvrent l’alimentation électrique, la climatisation, la protection contre les dégâts des eaux, la prévention incendie, la conservation et mise hors service des supports, et la sauvegarde hors site.
Les accès aux locaux sont contrôlés au niveau « accès très restreint ». La traçabilité des accès est assurée. Les sauvegardes sont testées régulièrement.
5.2 Mesures de sécurité procédurales
Les rôles de confiance définis comprennent : Officier de Sécurité du Service, Responsable applicatif, Responsable compliance et conformité, Ingénieur système, Opérateur, Contrôleur, et Opérateur de révocation.
Les cumuls de rôles suivants sont interdits : Officier de sécurité et ingénieur système/opérateur ; Ingénieur système et opérateur.
5.3 Mesures de sécurité vis-à-vis du personnel
Tous les personnels sont soumis à une clause de confidentialité. Le personnel est préalablement formé. La formation continue inclut une formation annuelle aux nouvelles menaces et procédures de sécurité. Les accès et habilitations sont attribués suivant la politique du moindre privilège.
5.4 Procédures de constitution des données d’audit
La journalisation d’événements enregistre les événements sous forme électronique. Les journaux sont analysés en moyenne 2 à 3 fois chaque semaine. Les journaux sont conservés sur site pendant au moins un mois et archivés pour la durée nécessaire. Toute vulnérabilité critique est adressée dans une période de 48 heures après sa découverte.
5.5 Archivage des données
Les données à archiver comprennent les logiciels et fichiers de configuration, les politiques, les documentations internes, et les récépissés ou notifications. Les dossiers de demande de MIE et les journaux d’événements sont conservés cinq ans après expiration des MIE.
5.6 Reprise suite à une compromission et/ou un sinistre
En cas d’incident majeur, le FIE notifie les parties concernées (organe de contrôle, CNIL) dans les 24 heures. Le plan de continuité d’activité est testé au minimum une fois tous les trois ans.
5.7 Fin de vie du schéma
En cas de cessation d’activité, le FIE assure la révocation des MIE, informe toutes les parties prenantes, détruit les clés privées, et prend des dispositions pour transférer la prestation de services de confiance si possible.
6 — Mesures de sécurité techniques
6.1 Sécurité de la fonction d’authentification
Le mécanisme d’authentification utilise deux facteurs de catégories distinctes : la possession du téléphone avec l’instance KIPMI initialisée, et la connaissance du code PIN de l’Utilisateur.
Le protocole d’authentification utilise un défi généré par le service d’authentification, signé à l’aide de la paire de clés FIDO2 générée lors de l’inscription. L’application mobile intègre des fonctions de sécurité contre le vol du téléphone, la compromission des secrets et les attaques par force brute.
6.2 Sécurité de la diffusion des attributs d’identité
La sécurité couvre : l’authentification des services numériques clients, la signature des jetons, la durée de vie des jetons, et le niveau de sécurité des composantes.
6.3 Mesures de sécurité des systèmes informatiques
Les objectifs de sécurité incluent : identification et authentification forte, gestion des droits des Utilisateurs (moindres privilèges), gestion de sessions, protection contre les logiciels malveillants, protection réseau, fonctions d’audit, et gestion des reprises sur erreur.
6.4 Mesures de sécurité des systèmes durant leur cycle de vie
Le FIE réalise régulièrement des scans de vulnérabilité et des tests d’intrusion. L’analyse de risque est revue annuellement et lors de toute évolution significative.
6.5 Mesures de sécurité réseau
Le réseau est segmenté en zones séparées. Les interconnexions sont protégées par des passerelles de sécurité. Les systèmes les plus critiques sont opérés dans les zones les plus sécurisées. Une séparation stricte est maintenue entre les systèmes de production et les autres systèmes.
6.6 Horodatage / Système de datation
Les systèmes de datation sont synchronisés par rapport à une source fiable UTC avec une précision au moins égale à une minute.
6.7 Protection des données personnelles
Le FIE respecte le RGPD et la Loi n° 78-17 du 6 janvier 1978 dès la conception du schéma d’identification électronique. Les données d’identité minimales recueillies comprennent le nom de famille, le nom d’usage le cas échéant, les prénoms, le sexe, la date et le lieu de naissance. La collecte de données est limitée au strict nécessaire.
7 — Exigences opérationnelles
Pour obtenir et utiliser un MIE, l’Utilisateur doit disposer d’un smartphone avec une connexion Internet, d’une adresse e-mail valide, d’un numéro de téléphone et d’un titre d’identité.
8 — Gestion des risques
8.1 Analyse des risques
Avant le lancement du service qualifié, le FIE a effectué une évaluation des risques tenant compte des aspects techniques, métiers et commerciaux. L’analyse est examinée et révisée annuellement. Les risques résiduels sont acceptés explicitement par le responsable du service MIE et soumis à approbation du C2SC et de la Direction.
8.2 Politique générale de la sécurité de l’information
Le FIE dispose d’une PSSI qui définit l’organisation de la sécurité de l’information. La PSSI et ses évolutions sont approuvées par la direction de BeYs et communiquées aux employés, sous-traitants, prestataires et clients. La configuration du SI est auditée a minima chaque année.
8.3 Homologation de sécurité du service
Avant sa mise en production, le FIE procède à l’homologation de sécurité de son service. La décision d’homologation est revue avant chaque renouvellement de qualification.
9 — Gestion et exploitation
9.1 Organisation interne
Le FIE met en place une organisation fiable pour la délivrance du Service. Les sous-traitants sont soumis à des obligations contractuelles. Les pratiques sont non-discriminatoires. Le FIE dispose des moyens matériels, humains et financiers suffisants pour assurer l’exploitation du Service.