eIDAS 2.0 : le wallet d'identité européen
Règlement eIDAS 2.0, EUDI Wallet et vérification d'identité numérique : calendrier 2026, impact KYC et intégration dans les workflows documentaires.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokMardi matin, 9 h 12. Un locataire se présente à l'agence immobilière, ouvre l'application sur son téléphone, scanne le QR code affiché au comptoir. En trois secondes, l'agent reçoit sur son écran le nom, le prénom, la date de naissance et la nationalité du candidat -- rien de plus, rien de moins. Pas de photocopie de carte d'identité glissée dans un dossier cartonné. Pas de scan envoyé par e-mail non chiffré. Pas de données superflues stockées sur un disque dur pendant des années. Ce scénario n'est pas une projection lointaine : c'est exactement ce que le règlement eIDAS 2.0 et le portefeuille européen d'identité numérique (EUDI Wallet) rendront possible à grande échelle d'ici fin 2026.
Le règlement (UE) 2024/1183 est entré en vigueur le 20 mai 2024 et impose à chaque État membre de proposer au moins un portefeuille d'identité numérique (EUDI Wallet) avant novembre 2026, avec obligation d'acceptation par les services réglementés (banques, assurances) dès 2027. L'ANSSI se félicite de l'entrée en vigueur du règlement eIDAS 2.0, qui renforce la souveraineté numérique européenne et garantit l'interopérabilité des portefeuilles d'identité dans les 27 États membres. L'ambition : 80 % des citoyens européens équipés d'ici 2030.
Le règlement eIDAS 2.0 : ce qui change par rapport à 2014
Le constat d'échec du premier eIDAS
Le règlement eIDAS originel (UE 910/2014) avait posé les bases de l'identification électronique et des services de confiance en Europe. Moins de 14 % des citoyens européens disposaient d'un moyen d'identification numérique transfrontalier fonctionnel en 2023, avec des schémas nationaux cloisonnés et une exclusion du secteur privé (Deloitte, Identité numérique européenne). eIDAS 2.0 corrige ces lacunes structurelles.
eIDAS 2.0 corrige ces lacunes structurelles en élargissant considérablement le périmètre du règlement.
Les piliers d'eIDAS 2.0
| Pilier | eIDAS 1.0 (2014) | eIDAS 2.0 (2024) |
|---|---|---|
| Identification électronique | Notification volontaire par les États membres | Obligation pour chaque État de fournir un wallet |
| Périmètre d'utilisation | Services publics uniquement | Services publics et privés (banque, télécom, santé, immobilier) |
| Justificatifs vérifiables | Non prévu | Attestations électroniques d'attributs (diplômes, permis, attestations) |
| Interopérabilité | Reconnaissance mutuelle théorique | Cadre technique commun (Architecture Reference Framework) |
| Consentement | Non encadré spécifiquement | Consentement explicite à chaque partage de données |
L'obligation de mise à disposition. Le règlement (UE) 2024/1183 impose à chaque État membre de proposer au moins un portefeuille d'identité numérique conforme au cadre technique européen avant novembre 2026. La France, l'Allemagne, l'Italie et l'Espagne participent aux projets pilotes à grande échelle (EU Digital Identity Wallet Consortium, POTENTIAL, NOBID, DC4EU).
L'ouverture au secteur privé. Les services réglementés (banques, assurances, télécoms) ont l'obligation d'accepter l'EUDI Wallet comme moyen d'identification dès 2027, transformant les processus KYC et de vérification d'identité (Règlement UE 2024/1183).
Les attestations électroniques d'attributs. Au-delà de l'identité stricte, le wallet pourra héberger des justificatifs vérifiables : diplômes, permis de conduire, attestations d'assurance, justificatifs de domicile. Chaque attestation est signée cryptographiquement par l'émetteur et vérifiable instantanément par le destinataire.
L'EUDI Wallet : fonctionnement concret
Architecture et stockage
L'EUDI Wallet est une application mobile installée sur le téléphone du citoyen. Elle repose sur une architecture décentralisée : les données d'identité et les justificatifs sont stockés localement sur l'appareil, pas dans un serveur centralisé. Le citoyen garde le contrôle total sur ses données et décide, à chaque interaction, quelles informations partager. L'Architecture Reference Framework (ARF), publiée par la Commission européenne, définit les standards techniques que tous les wallets nationaux doivent respecter pour garantir l'interopérabilité.
Le parcours utilisateur type
Le processus de vérification via l'EUDI Wallet se déroule en quatre étapes :
1. Scan du QR code. L'entreprise vérificatrice affiche un QR code (en agence, sur un site web ou dans une application). Le citoyen le scanne avec son wallet.
2. Authentification locale. Le wallet demande au citoyen de s'authentifier sur son appareil : empreinte digitale, reconnaissance faciale ou code PIN. Cette étape garantit que c'est bien le titulaire du wallet qui initie le partage.
3. Sélection des données. Le wallet affiche la liste des données demandées par le vérificateur. Le citoyen peut voir exactement ce qui sera partagé et refuser les demandes excessives. C'est le principe de divulgation sélective : si le vérificateur a seulement besoin de confirmer que la personne est majeure, le wallet peut transmettre une attestation "âge supérieur à 18 ans" sans révéler la date de naissance exacte.
4. Partage instantané. Les données sélectionnées sont transmises sous forme d'attestation signée cryptographiquement. Le vérificateur valide l'authenticité et l'intégrité des données en temps réel, sans contacter l'émetteur.
Calendrier de déploiement
Le règlement eIDAS 2.0 fixe un calendrier ambitieux que les entreprises doivent anticiper dès maintenant.
| Échéance | Événement |
|---|---|
| 11 avril 2024 | Adoption du règlement (UE) 2024/1183 |
| 2024-2025 | Projets pilotes à grande échelle (4 consortiums, 26 États) |
| Fin 2025 | Publication des actes d'exécution définissant les spécifications techniques |
| Novembre 2026 | Chaque État membre doit proposer au moins un EUDI Wallet opérationnel |
| 2027 | Obligation d'acceptation par les secteurs réglementés (banque, télécom) |
| 2030 | Objectif de 80 % de citoyens européens équipés |
Pour les entreprises françaises, la période 2026-2027 est critique : le wallet sera disponible, les obligations d'acceptation se mettront en place, et les processus de vérification d'identité devront être adaptés. Les nouvelles obligations KYC 2026 convergent directement avec ce calendrier.
Impact sur le KYC et la vérification documentaire
La fin des photocopies
L'EUDI Wallet transforme radicalement le processus de vérification d'identité.
| Critère | Processus actuel | Avec EUDI Wallet |
|---|---|---|
| Support | Photocopie, scan PDF, photo de document | Attestation numérique signée |
| Temps de vérification | 5-25 minutes (contrôle visuel + saisie) | 3-10 secondes |
| Risque de falsification | Élevé (documents papier facilement altérables) | Très faible (signature cryptographique) |
| Données collectées | Document intégral (toutes les données visibles) | Uniquement les données nécessaires (divulgation sélective) |
| Conservation | Copies stockées pendant des années | Attestation vérifiée, pas de copie nécessaire |
| Conformité RGPD | Minimisation difficile à appliquer | Minimisation native par conception |
Ce que cela change pour les entreprises
Pour les entreprises soumises aux obligations KYC et AMLD6, l'EUDI Wallet apporte des avantages opérationnels majeurs :
Vérification en temps réel. L'attestation numérique est vérifiable instantanément. Plus besoin d'attendre qu'un opérateur contrôle visuellement un document et saisisse manuellement les données. Le processus d'entrée en relation client passe de plusieurs jours à quelques minutes.
Réduction drastique de la fraude documentaire. Les attestations de l'EUDI Wallet sont signées cryptographiquement par l'État émetteur. Falsifier une attestation nécessite de compromettre l'infrastructure cryptographique d'un État membre -- sans commune mesure avec la falsification d'un scan PDF, même si les deepfakes et documents synthétiques générés par IA rendent cette dernière de plus en plus facile.
Conformité RGPD intégrée. Le mécanisme de divulgation sélective répond directement au principe de minimisation des données imposé par le RGPD. L'entreprise ne reçoit que les données strictement nécessaires à sa finalité.
Traçabilité du consentement. Chaque partage de données via le wallet génère une trace horodatée du consentement du citoyen, conforme aux exigences de l'article 7 du RGPD.
Les risques de cybersécurité : un portefeuille, une cible
Le wallet comme vecteur d'attaque
L'EUDI Wallet concentre l'ensemble de l'identité numérique d'un citoyen en un point unique. Cette centralisation crée un paradoxe de sécurité : la simplification de l'usage s'accompagne d'une concentration du risque. Un wallet compromis donne potentiellement accès à l'intégralité de l'identité numérique de la victime : état civil, adresse, permis de conduire, attestations professionnelles, données de santé.
Les vecteurs de menace identifiés
| Vecteur d'attaque | Description | Impact potentiel |
|---|---|---|
| Compromission de l'appareil | Malware ciblant le téléphone du citoyen | Accès complet aux données du wallet |
| Ingénierie sociale | Phishing incitant à partager des attestations | Usurpation d'identité complète |
| Attaque sur l'émetteur | Compromission de l'infrastructure de signature d'un État | Fausses attestations à grande échelle |
| QR code malveillant | Substitution du QR code d'un vérificateur légitime | Collecte frauduleuse de données d'identité |
Le règlement prévoit des mesures de sécurité robustes : stockage des clés cryptographiques dans un élément sécurisé matériel (Secure Element), certification de sécurité EAL4+ minimum, mécanismes de révocation en cas de perte ou de vol. Néanmoins, les entreprises vérificatrices ont une responsabilité directe : sécuriser leurs systèmes de réception des attestations, protéger leurs QR codes contre la substitution, et traiter les données conformément aux exigences du règlement DORA pour les entités financières.
eIDAS 2.0 et RGPD : une convergence par conception
Le lien entre eIDAS 2.0 et le RGPD n'est pas accidentel : le règlement a été conçu pour intégrer nativement les principes de protection des données. Selon un article d'Archimag sur eIDAS et l'identité numérique, cette convergence réglementaire marque un tournant dans l'approche européenne de l'identité numérique.
Divulgation sélective et minimisation (article 5.1.c RGPD). Le mécanisme de divulgation sélective est la traduction technique directe du principe de minimisation. Une attestation "majeur : oui" est plus conforme au RGPD qu'une copie intégrale de carte d'identité pour une simple vérification d'âge.
Consentement éclairé (article 7 RGPD). Chaque partage est conditionné à un consentement explicite, informé et granulaire. Le citoyen voit exactement quelles données sont demandées, par qui, et peut refuser sélectivement.
Droit à l'effacement (article 17 RGPD). Puisque le vérificateur reçoit une attestation vérifiable et non une copie du document, la question de la suppression des copies se pose moins. Les entreprises qui enregistrent les résultats de vérification doivent néanmoins maintenir des politiques de conservation conformes.
Portabilité (article 20 RGPD). Le wallet permet au citoyen de porter son identité numérique d'un service à l'autre, sans dépendre d'un fournisseur unique.
Intégrer l'EUDI Wallet dans les workflows documentaires
Le défi de la coexistence
L'arrivée de l'EUDI Wallet ne signifie pas la disparition immédiate des processus documentaires traditionnels. Pendant une période de transition, les entreprises devront gérer simultanément des vérifications via EUDI Wallet, des vérifications classiques sur documents papier ou scannés, et des vérifications via des schémas nationaux existants comme FranceConnect. Cette coexistence impose un système de vérification capable d'absorber les deux flux avec un niveau de conformité homogène.
L'approche hybride : wallet + validation documentaire
Pour les clients équipés d'un EUDI Wallet : vérification instantanée via l'attestation numérique. Le système reçoit l'attestation, vérifie la signature cryptographique, extrait les données et les intègre automatiquement dans le dossier client.
Pour les clients non équipés : vérification classique par validation documentaire automatisée, avec extraction OCR, contrôle de cohérence, détection de falsification et croisement des données.
Dans les deux cas : traçabilité complète, piste d'audit unifiée, conformité aux exigences DORA pour les entités financières, respect des durées de conservation RGPD.
FAQ
Quand l'EUDI Wallet sera-t-il disponible en France ?
La France participe activement aux projets pilotes européens et doit, conformément au règlement eIDAS 2.0, proposer un portefeuille d'identité numérique opérationnel avant fin novembre 2026. L'Agence nationale des titres sécurisés (ANTS) et France Identité sont les acteurs principaux du déploiement français. Le service France Identité, avec ses justificatifs à usage unique, préfigure le futur EUDI Wallet français.
L'EUDI Wallet remplacera-t-il la carte d'identité physique ?
Non, pas à court terme. L'EUDI Wallet est un complément numérique, pas un remplacement. Les citoyens pourront utiliser l'un ou l'autre selon les situations. Toutefois, pour les vérifications à distance (ouverture de compte en ligne, souscription de services), le wallet deviendra progressivement le standard, offrant une vérification plus rapide, plus sécurisée et plus conforme au RGPD.
Mon entreprise sera-t-elle obligée d'accepter l'EUDI Wallet ?
Les secteurs réglementés -- banques, assurances, opérateurs télécoms, prestataires de santé, plateformes soumises au Digital Services Act -- seront progressivement tenus d'accepter l'EUDI Wallet comme moyen d'identification à partir de 2027. Pour les autres entreprises, l'acceptation restera volontaire mais encouragée par le cadre réglementaire. Les entreprises soumises aux obligations AMLD6 auront un intérêt direct à adopter le wallet pour renforcer leurs processus KYC.
Comment se protéger contre l'utilisation d'un wallet compromis ?
La vérification cryptographique garantit l'authenticité de l'attestation à l'émission, mais ne protège pas contre un wallet volé et déverrouillé. Les entreprises doivent maintenir des contrôles complémentaires : vérification du statut de révocation en temps réel, détection des comportements anormaux (multiples vérifications depuis le même wallet en peu de temps), et conservation d'une piste d'audit pour démontrer leur diligence en cas de fraude.
Préparer votre entreprise à l'identité numérique européenne
L'EUDI Wallet n'est pas un projet technologique distant : c'est une transformation réglementaire en cours, avec un calendrier contraignant et des obligations concrètes. Les organisations qui anticipent cette transition -- en intégrant dès maintenant la capacité de traiter à la fois les attestations numériques du wallet et les documents d'identité classiques -- prendront un avantage décisif en termes de conformité, de rapidité d'onboarding et de réduction des coûts de vérification.
CheckFile prépare activement l'intégration de la vérification EUDI Wallet dans sa plateforme de validation documentaire. L'objectif : offrir aux entreprises un point d'entrée unique pour toutes leurs vérifications d'identité, qu'elles proviennent d'un wallet numérique ou d'un document classique, avec la même traçabilité, la même conformité réglementaire et la même fiabilité. Découvrez nos tarifs pour évaluer le coût en fonction de votre volume de vérifications, ou contactez notre équipe pour anticiper l'intégration de l'EUDI Wallet dans vos workflows documentaires existants.