Détection de vivacité : prévenir l'usurpation d'identité par vérification faciale en Belgique
La liveness detection en Belgique : fonctionnement, norme ISO 30107-3, cadre réglementaire belge (FSMA, BNB, SPF Economie). Guide technique et réglementaire 2026.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa détection de vivacité — liveness detection en anglais — est la technologie qui confirme qu'une personne physique vivante se trouve devant la caméra lors d'une vérification d'identité à distance : photo imprimée, vidéo rejouée, masque 3D ou deepfake injecté dans le flux de données. En Belgique, ce sujet est directement pertinent pour les entités assujetties supervisées par la FSMA et la Banque Nationale de Belgique (BNB) : la vérification d'identité à distance est au cœur des obligations LCB-FT imposées par la loi belge anti-blanchiment. Les tentatives de fraude par deepfake ont quadruplé entre 2023 et 2024, et les attaques par injection ont bondi de 40 % sur un an.
Pour une vue d'ensemble de l'automatisation de la vérification documentaire, consultez notre guide de l'automatisation de la vérification documentaire. Pour les tendances de fond, notre article sur les tendances de l'identité numérique en 2026.
Qu'est-ce que la détection de vivacité ?
La détection de vivacité est la couche anti-usurpation qui confirme qu'une personne physique vivante se trouve devant la caméra avant toute comparaison biométrique. Sans elle, tout système de reconnaissance faciale est vulnérable à une simple photo haute résolution.
Détection active : l'utilisateur exécute une instruction en temps réel — cligner des yeux, tourner la tête, prononcer un mot. Vulnérabilité : les outils deepfake modernes synthétisent des mouvements faciaux en temps réel. Les taux de rejet au premier essai atteignent 35 % dans les flux non guidés.
Détection passive : aucune action n'est demandée. Le système analyse silencieusement la texture de la peau, les reflets spéculaires, les indices de profondeur 3D et la photopléthysmographie à distance (rPPG). Les meilleures implémentations opèrent en moins de 300 millisecondes.
La détection passive est devenue le standard industriel pour le KYC à forte volumétrie. Une mise en œuvre documentée a réduit le temps d'intégration de 80 % et la fraude de 65 % lors du passage de la détection active à passive.
La meilleure pratique émergente est une approche hybride : détection passive pour tous, défi actif déclenché uniquement sur des signaux à risque élevé.
Les quatre familles d'attaques
Attaques de présentation
| Type d'attaque | Sophistication | Contre-mesure principale |
|---|---|---|
| Photo imprimée | Faible | Analyse de texture 2D |
| Affichage écran (téléphone/tablette) | Faible à modérée | Détection Moiré, reflets LCD |
| Vidéo rejouée | Modérée | Analyse de mouvement |
| Masque 3D rigide | Élevée | Carte de profondeur, IR |
| Masque hyper-réaliste articulé | Très élevée | Certification ISO 30107-3 niveau 3 |
Attaques par injection — la lacune critique
Les attaques par injection contournent entièrement la caméra physique : un deepfake est injecté directement dans le pipeline de données. Un système certifié ISO 30107-3 peut rester 100 % vulnérable aux attaques par injection, car la norme ne couvre que ce qui se passe au niveau du capteur. En 2025, un seul établissement financier a enregistré 8 065 tentatives d'injection en huit mois, avec plus de 200 millions de dollars de pertes au premier trimestre 2025. La protection efficace combine PAD au niveau du capteur avec IAD (Injection Attack Detection) au niveau du pipeline.
La norme ISO 30107-3
ISO/IEC 30107-3 est la référence internationale pour la détection des attaques de présentation (PAD), testée par iBeta Quality Assurance (accrédité NIST) :
| Niveau | Préparation | Coût matériel | Taux de pénétration max. (APCER) | BPCER max. |
|---|---|---|---|---|
| L1 | 8 heures | ~30 USD | 0 % | ≤ 15 % |
| L2 | 2-4 jours | ~300 USD | ≤ 1 % | ≤ 15 % |
| L3 | 7 jours | Non plafonné | ≤ 5 % | ≤ 10 % |
Un BPCER de 0,8 % signifie 8 000 utilisateurs légitimes rejetés par million de vérifications. En janvier 2026, Yoti est devenue la première entreprise à obtenir la certification L3 (Biometric Update, janvier 2026).
Approfondir le sujet
Découvrez nos guides pratiques et ressources pour maîtriser la conformité documentaire.
Explorer nos guidesCadre réglementaire belge
FSMA, BNB et prévention du blanchiment
En Belgique, la supervision de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) est assurée par deux autorités compétentes :
La FSMA (Autorité des services et marchés financiers) supervise les prestataires de services d'investissement, les sociétés de gestion, les assurances-vie et les intermédiaires financiers pour le respect des obligations LCB-FT.
La BNB (Banque Nationale de Belgique) surveille les établissements de crédit, les établissements de paiement et les établissements de monnaie électronique. Pour la vérification d'identité à distance, la BNB a publié des circulaires techniques reconnaissant la biométrie avec détection de vivacité comme méthode équivalente à la vérification en face à face, sous réserve de conformité aux normes techniques applicables.
La loi belge du 18 septembre 2017 relative à la prévention du blanchiment de capitaux (transposition de la 4e directive AML, modifiée pour intégrer la 5e et en cours d'adaptation à la 6e) impose les obligations de vigilance à l'égard de la clientèle. La vérification biométrique avec liveness detection est une modalité conforme pour la due diligence à distance, en complément de la vérification documentaire.
Le SPF Economie (Service Public Fédéral Economie) gère la Banque-Carrefour des Entreprises (BCE), l'équivalent belge du registre du commerce, et supervise certaines professions assujetties non financières.
Documents d'identité belges : la carte d'identité électronique belge (eID) est le document d'identité officiel des citoyens belges. Le numéro national (NISS/INSZ) est l'identifiant unique des personnes physiques en Belgique — l'équivalent du numéro NIR français ou du NIF portugais. Pour les personnes morales, le numéro BCE/KBO (Banque-Carrefour des Entreprises) est l'identifiant d'entreprise.
Autorité de protection des données (APD) et RGPD
La biométrie faciale est une donnée à caractère personnel de catégorie spéciale au sens de l'article 9 du RGPD. L'APD (Autorité de protection des données) est l'autorité de contrôle belge. Son traitement est interdit sauf exception légale — consentement explicite, obligation légale, intérêt vital.
Le principe de minimisation des données impose de ne pas conserver le gabarit biométrique au-delà du moment de vérification sauf nécessité absolue documentée. L'APD belge a adopté une position stricte sur les données biométriques, alignée sur les lignes directrices du Comité européen de la protection des données (CEPD).
eIDAS 2.0 et ETSI TS 119 461
Le règlement eIDAS 2.0 impose que chaque État membre de l'UE mette à disposition au moins un portefeuille numérique européen (EUDI Wallet) certifié d'ici fin 2026. La norme technique ETSI TS 119 461 v2 (février 2025) opérationnalise les exigences d'eIDAS 2.0 en matière de vérification d'identité à distance, incluant les exigences de liveness et les défenses contre les attaques par injection. Un processus conforme à ETSI TS 119 461 v2 satisfait simultanément eIDAS 2.0, la 6AMLD (Directive 2024/1640) et les attentes des superviseurs prudentiels — FSMA et BNB inclus.
Pourquoi la détection de vivacité échoue parfois
L'éclairage reste le problème numéro un. Un contre-jour — fenêtre derrière l'utilisateur — surexpose le visage et fausse l'analyse de texture. Les interfaces bien conçues affichent un indicateur d'éclairage en temps réel avant la capture.
La variabilité des appareils pénalise les utilisateurs sur smartphones d'entrée de gamme, dont les capteurs frontaux produisent des images basse résolution qui échouent à l'analyse de texture 2D.
La confusion dans les consignes de liveness active génère des abandons. Le marché belge est multilinguistique (français, néerlandais, allemand) — les interfaces doivent délivrer les consignes de liveness active dans la langue de l'utilisateur pour minimiser les rejets au premier essai, qui atteignent 35 % dans les flux non guidés.
L'impact sur la conversion : la seule étape de vérification biométrique génère 10 à 15 % d'abandons. Dans un flux KYC complet non optimisé, les pertes cumulées atteignent 40 à 68 % des prospects.
Intégration dans un processus KYC/LCB-FT complet en Belgique
Un flux d'intégration conforme aux exigences de la BNB et de la FSMA combine trois couches :
- Vérification documentaire — OCR et validation de la carte eID belge, du passeport belge ou du titre de séjour ; validation du NISS/INSZ et du numéro BCE/KBO pour les personnes morales
- Détection de vivacité + reconnaissance faciale — preuve de vie et comparaison entre la photo du document et la personne devant la caméra
- Criblage réglementaire — listes de sanctions (UE, OFAC, ONU), PPE et adverse media en temps réel
La liaison de session (session binding) est critique : les systèmes doivent vérifier que la détection de vivacité et la capture documentaire se rapportent à la même session, pour prévenir les attaques par deepfake en session partagée.
CheckFile intègre ces trois couches dans une plateforme unique, hébergée dans l'UE, certifiée ISO 27001, avec gestion des données configurable pour la conformité RGPD/APD belge. Consultez notre page de sécurité et nos tarifs. Pour le guide complet de l'automatisation, consultez notre guide d'automatisation de la vérification.
Choisir sa solution pour le marché belge
| Critère | Niveau minimum | Recommandé |
|---|---|---|
| Certification ISO 30107-3 | L1 | L2 pour les cas réglementés |
| Protection contre les injections | Non définie par la norme | Couche IAD intégrée |
| BPCER (faux rejets) | < 2 % | < 0,5 % |
| Latence | < 3 secondes | < 500 ms (mode passif) |
| Interface multilingue (FR/NL/DE) | Recommandée | Obligatoire pour déploiements belges |
| Conformité RGPD | Obligatoire | Zéro-rétention des gabarits biométriques |
| Hébergement des données | UE | Belgique ou France |
Questions fréquentes
Qu'est-ce que la détection de vivacité ?
La détection de vivacité (liveness detection) vérifie qu'une personne physique réelle se trouve devant la caméra lors d'une vérification d'identité — et non un artefact (photo, vidéo, masque ou deepfake injecté). Elle précède la comparaison faciale et valide l'authenticité de la présentation biométrique.
La FSMA ou la BNB exigent-elles la détection de vivacité ?
La FSMA et la BNB ne prescrivent pas de technologie spécifique, mais leurs circulaires sur la vérification d'identité à distance reconnaissent la biométrie avec preuve de vie combinée à la vérification documentaire comme méthode conforme à la loi belge du 18 septembre 2017. Les entités assujetties doivent documenter leur approche et les mesures techniques mises en œuvre.
Comment fonctionne la détection de vivacité ?
En mode passif, le système analyse silencieusement la texture de la peau, les reflets lumineux, les indices de profondeur 3D et les variations de couleur liées au flux sanguin (rPPG). En mode actif, l'utilisateur exécute une instruction aléatoire. Les meilleures solutions combinent les deux approches, avec le défi actif réservé aux signaux à risque élevé.
La détection de vivacité viole-t-elle le RGPD ou la législation belge sur la vie privée ?
Non, à condition de respecter les exigences du RGPD : base légale spécifique pour le traitement des données biométriques, minimisation des données (zéro-rétention des gabarits après vérification), et transparence vis-à-vis des personnes concernées. L'APD belge recommande la réalisation d'une analyse d'impact relative à la protection des données (AIPD) préalablement à tout déploiement impliquant des données biométriques.
Combien coûte la détection de vivacité en Belgique ?
Les solutions API facturent généralement entre 0,10 et 0,50 € par vérification. Les offres KYC complètes — document + vivacité + criblage — vont de 0,50 à 2 € par intégration selon les volumes. Consultez notre page tarifs pour une estimation personnalisée.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.