eIDAS 2 et le portefeuille d'identité numérique européen : ce qui change pour les entreprises en 2026

Le European Digital Identity Wallet : de quoi s'agit-il ?

Le European Digital Identity Wallet (EUDIW) est une application mobile que chaque État membre doit proposer à ses citoyens et résidents. Ce portefeuille numérique permet de :

• S'authentifier en ligne : connexion aux services publics et privés sans identifiant/mot de passe — avec un niveau d'assurance élevé (LoA High)
• Partager des attributs certifiés : nom, date de naissance, nationalité, diplômes, permis de conduire — uniquement les attributs nécessaires, sans partager l'identité complète
• Signer électroniquement : signature de documents avec une valeur légale reconnue dans toute l'UE
• Stocker des attestations : carte d'identité numérique, passeport, qualifications professionnelles, certificats

La France déploie son EUDIW via l'application "France Identité" (déjà en production pour une partie des usages), qui sera étendue pour couvrir l'ensemble des fonctionnalités eIDAS 2. Le cadre technique repose sur les normes OpenID for Verifiable Credentials (OID4VC) et ISO 18013-5 pour le permis de conduire numérique, garantissant une interopérabilité entre les wallets de différents États membres. Cette infrastructure commune est construite dans le cadre du Large Scale Pilot (LSP) européen, auquel participent 25 États membres depuis 2023.

L'architecture technique de l'EUDIW est conçue pour protéger la vie privée par défaut : les transactions ne transitent pas par un serveur central européen — l'échange se fait directement entre le wallet du citoyen et le service demandeur, en pair-à-pair cryptographié. Cela distingue fondamentalement l'EUDIW des solutions d'identité fédérée classiques, et a des implications importantes pour les entreprises qui intègrent ce mode d'authentification dans leurs systèmes, notamment vis-à-vis du RGPD.

Obligations pour les entreprises

Toutes les entreprises ne sont pas obligées d'accepter l'EUDIW — mais les grandes plateformes si :

• Très grandes plateformes (>45M utilisateurs EU) : obligation d'accepter l'EUDIW comme méthode d'authentification dès que le wallet est disponible dans l'État membre — principalement les GAFAM et les grandes banques/assurances européennes
• Services publics en ligne : obligation d'accepter l'EUDIW pour tous les services accessibles avec FranceConnect ou équivalent
• Autres entreprises : pas d'obligation d'accepter l'EUDIW, mais forte incitation — c'est une opportunité de simplification et de sécurisation de l'authentification

Au-delà des obligations strictes, les entreprises opérant dans des secteurs réglementés (banque, assurance, santé, télécoms) ont intérêt à anticiper l'intégration de l'EUDIW dans leurs parcours d'authentification. Les régulateurs sectoriels — ACPR pour la finance, CNIL pour les données personnelles — intègreront progressivement l'EUDIW comme méthode d'authentification forte de référence, compatible avec les exigences de la directive NIS 2 en matière de gestion des accès.

Signatures électroniques : ce qui change

eIDAS 2 renforce et clarifie le régime des signatures électroniques :

Type	Valeur légale	Usage recommandé
Simple (SES)	Preuve recevable	Documents internes, devis
Avancée (AdES)	Forte présomption	Contrats commerciaux, RH
Qualifiée (QES)	= signature manuscrite	Actes notariés, contrats crédit, marchés publics

eIDAS 2 renforce les conditions d'émission des QES et clarifie leur reconnaissance transfrontalière. Pour les entreprises opérant dans plusieurs pays EU, c'est une simplification majeure : une QES française est désormais inconditionnellement reconnue en Allemagne, Espagne ou Pologne.

Usages B2B et vérification d'identité

L'EUDIW ouvre des possibilités intéressantes pour les processus B2B :

• KYB (Know Your Business) : vérification de l'identité des représentants légaux lors de l'onboarding client — l'EUDIW fournit une identité certifiée par l'État, plus fiable qu'une copie de carte d'identité
• Vérification de qualifications : un prestataire peut prouver ses certifications professionnelles directement depuis son wallet sans fournir de documents papier
• Authentification forte employés : les entreprises peuvent utiliser l'EUDIW comme facteur d'authentification fort pour leurs systèmes internes — standard MFA sans infrastructure propriétaire
• Signature de contrats en ligne : contrats avec signature qualifiée directement depuis le wallet, sans déplacement physique

Critère	Méthode d'authentification actuelle	EUDI Wallet (eIDAS 2)
Niveaux de garantie	Variable : faible (login/mdp) à substantiel (SMS OTP) selon l'implémentation	Élevé (LoA High) par défaut — identité certifiée par l'État membre
Interopérabilité UE	Nulle à faible : FranceConnect n'est pas reconnu en dehors de la France	Complète : wallet reconnu dans tous les États membres sans friction
Coût pour l'entreprise	Infrastructure SSO/MFA propriétaire : 10 000–100 000€/an selon taille	Intégration via SDK standardisé (OpenID4VC) — coût d'intégration unique, gratuit pour l'utilisateur
Protection vie privée	Données centralisées chez le fournisseur d'identité (risque de corrélation)	Architecture pair-à-pair, divulgation sélective, pas de traçabilité centrale
Délai d'adoption	Immédiat (déjà en production)	2025–2027 selon les États membres et les secteurs

IA et vérification d'identité

L'EUDIW impacte directement les systèmes d'IA qui font de la vérification d'identité :

• Systèmes KYC/KYB : les banques et assurances utilisent souvent l'IA pour analyser les documents d'identité. Avec l'EUDIW, la vérification peut se faire par présentation du wallet — plus fiable et plus rapide que l'analyse IA d'une photo de carte d'identité
• Prévention de la fraude : l'identité EUDIW est certifiée par l'État — beaucoup plus difficile à falsifier qu'un document physique scanné. Les systèmes anti-fraude peuvent s'appuyer sur ce niveau de confiance
• Divulgation sélective : l'EUDIW permet de prouver "j'ai plus de 18 ans" sans révéler la date de naissance exacte — utilisable par les sites qui doivent vérifier l'âge sans collecter plus de données que nécessaire (principe de minimisation RGPD)

L'articulation entre l'EUDIW et les systèmes IA pose également la question de la conformité à l'EU AI Act. Les systèmes IA de reconnaissance biométrique utilisés pour l'onboarding à distance sont classifiés haut risque par l'EU AI Act. L'EUDIW peut remplacer avantageusement ces systèmes : au lieu d'une vérification biométrique IA (risquée, coûteuse, soumise aux biais algorithmiques), le service peut demander une présentation de wallet — plus sûre, plus respectueuse de la vie privée et hors du champ EU AI Act haut risque.

Calendrier de déploiement eIDAS 2

• 2024 : adoption du règlement eIDAS 2 révisé
• 2025 : obligation pour les très grandes plateformes d'accepter l'EUDIW dès sa disponibilité dans chaque État membre
• 2026 : tous les États membres doivent proposer au moins un wallet conforme à leurs citoyens. France Identité étendue.
• 2027 : généralisation prévue pour les services publics essentiels

eIDAS 2 et RGPD : articulation

eIDAS 2 et RGPD sont conçus pour être compatibles, avec quelques points d'attention :

• L'EUDIW est conçu avec le principe de minimisation : seuls les attributs nécessaires sont partagés, pas l'identité complète
• Le consentement de l'utilisateur est requis pour chaque partage d'attribut — pas de partage automatique
• Les logs de transactions sont sous contrôle de l'utilisateur — pas du service qui reçoit les attributs
• Les entreprises qui reçoivent des attributs EUDIW sont responsables du traitement ultérieur — obligations RGPD classiques s'appliquent

Mon entreprise doit-elle obligatoirement accepter l'EUDI Wallet ?

L'obligation d'accepter l'EUDIW est limitée, dans un premier temps, aux très grandes plateformes (plus de 45 millions d'utilisateurs dans l'UE) et aux services publics en ligne. Si votre entreprise ne remplit pas ces critères, vous n'avez pas d'obligation légale immédiate.

Cependant, plusieurs raisons militent pour une intégration anticipée :

• Les régulateurs sectoriels (ACPR, ABE pour la finance) pourraient imposer l'EUDIW comme méthode d'authentification forte dans les prochaines années
• Vos clients et partenaires commerciaux pourraient en faire une exigence contractuelle
• L'intégration précoce permet de maîtriser les coûts de développement et d'anticiper les changements de parcours utilisateur

La bonne pratique est de surveiller les actes délégués de la Commission européenne, qui préciseront les secteurs et tailles d'entreprise soumis à l'obligation au fil du temps.

Quelle différence entre l'EUDI Wallet et FranceConnect ?

FranceConnect et l'EUDIW répondent à des objectifs proches mais avec des architectures très différentes :

• FranceConnect : fédération d'identité centralisée — FranceConnect joue le rôle d'intermédiaire entre le service et le fournisseur d'identité (impôts, CPAM, etc.). Les données transitent par le serveur FranceConnect. Reconnaissance limitée à la France.
• EUDIW : architecture décentralisée pair-à-pair — les données sont stockées sur le smartphone du citoyen et partagées directement avec le service demandeur, sans intermédiaire central. Reconnaissance dans toute l'UE.

En France, France Identité (l'application) sera l'implémentation nationale de l'EUDIW. Elle étendra FranceConnect en ajoutant le modèle décentralisé et l'interopérabilité européenne. Les deux coexisteront pendant la période de transition.

Quand l'EUDI Wallet sera-t-il réellement disponible ?

Le calendrier réglementaire prévoit que tous les États membres proposent un wallet conforme d'ici fin 2026. En pratique :

• France : France Identité est déjà disponible pour certains usages (permis de conduire numérique, carte d'identité). L'extension aux fonctionnalités eIDAS 2 complètes est prévue courant 2026.
• Allemagne : déploiement progressif depuis 2025 via l'application Wallet Bundeskanzleramt
• Espagne, Italie : en cours de déploiement dans le cadre des LSP, disponibilité grand public attendue fin 2026

Pour les entreprises, l'horizon opérationnel réaliste est 2027 pour une adoption significative par les utilisateurs. Les projets d'intégration doivent être lancés en 2025–2026 pour être prêts à temps.

Quelles données peut contenir le portefeuille EUDIW ?

L'EUDIW peut stocker trois catégories d'attestations :

1. Attestations d'identité personnelle (PID) : nom, prénom, date et lieu de naissance, nationalité, adresse — émises par l'État membre, niveau de confiance maximal
2. Attestations d'attributs qualifiés (QEAA) : diplômes, certifications professionnelles, permis de conduire, carte de santé européenne — émises par des émetteurs de confiance accrédités par les États membres
3. Attestations d'attributs non qualifiés (EAA) : cartes de fidélité, abonnements, titres de transport, cartes d'accès employés — émises par n'importe quelle organisation selon les standards techniques eIDAS 2

La distinction est importante pour les entreprises : seules les PID et QEAA offrent un niveau de confiance maximal pour les processus réglementés (KYC, vérification de qualification). Les EAA sont utiles pour les usages B2C mais ne remplacent pas une vérification d'identité réglementaire.