Aller au contenu principal
· REELIANT

eIDAS 2 et l'e-wallet européen : ce que ça change concrètement pour vos parcours

Le règlement eIDAS 2 et l'European Digital Identity Wallet (EUDIW) vont remodeler les parcours d'identification et de signature. Ce que les DSI doivent anticiper dès maintenant.

#confiance numérique#eIDAS#EUDIW#identité numérique#réglementation

Le règlement eIDAS 2 est entré en vigueur en mai 2024. L’European Digital Identity Wallet (EUDIW) est en cours de déploiement dans tous les États membres. Pour les organisations qui opèrent des parcours d’identification, de signature ou d’accès à des services réglementés, ce changement est structurant, et l’horizon est court.

Ce que change eIDAS 2 par rapport à eIDAS 1

eIDAS 1 (2014) posait les bases : reconnaissance mutuelle des moyens d’identification électronique, cadre pour la signature qualifiée. Il a fonctionné, mais avec des limites majeures : adoption fragmentée, faible interopérabilité cross-frontière, absence de solution côté utilisateur final.

eIDAS 2 corrige cela avec trois évolutions majeures :

  1. L’obligation de l’e-wallet : chaque État membre doit fournir à ses citoyens un portefeuille d’identité numérique (EUDIW) d’ici fin décembre 2026
  2. Les attestations vérifiables : au-delà de l’identité de base (PID), le wallet peut contenir des attributs qualifiés : diplômes, permis, certificats professionnels
  3. L’obligation d’acceptation : les services publics en ligne doivent accepter l’EUDIW ; les grandes plateformes privées (>50M d’utilisateurs) seront également contraintes

Pour un DSI, la question n’est pas “faut-il s’y préparer ?” mais “à quelle vitesse ?”

Architecture EUDIW : flux d'émission et de présentation d'attestations vérifiables entre autorité, wallet et relying party

Les standards techniques derrière le wallet

L’EUDIW repose sur une pile technique ouverte, construite autour de standards W3C et IETF :

OpenID for Verifiable Credentials (OpenID4VC)

Le protocole d’émission et de présentation des attestations. Il se décline en deux flux :

  • OpenID4VCI (Verifiable Credential Issuance) : comment une autorité émet une attestation vers le wallet
  • OpenID4VP (Verifiable Presentations) : comment le wallet présente des preuves à un service tiers (la relying party)

SD-JWT et mdoc

Deux formats de credential coexistent dans le cadre EUDIW :

  • SD-JWT (Selective Disclosure JWT) : format JSON, proche des tokens OAuth existants, adapté aux flux web
  • ISO 18013-5 / mdoc : format binaire, optimisé pour les cas offline et la présentation de proximité (NFC, Bluetooth)

Le choix du format impacte directement votre architecture d’intégration.

Relying Party : votre rôle dans l’écosystème

Si votre service consomme des attestations issues du wallet (vérification d’identité, d’âge, de qualification), vous êtes une relying party. Cela implique :

  • Être enregistré auprès d’une autorité de confiance
  • Implémenter OpenID4VP pour recevoir et vérifier les présentations
  • Gérer la sélection des attributs requis (principle of minimum disclosure)
  • Tracer les consentements conformément au RGPD

Ce qui va changer dans vos parcours

Identification et KYC

Aujourd’hui, vos parcours E-KYC reposent probablement sur une combinaison : pièce d’identité + liveness detection + scoring. Avec l’EUDIW, l’identité vérifiée par l’État (PID, Person Identification Data) est directement présentable depuis le wallet.

Conséquences pratiques :

  • Réduction du taux d’abandon (le parcours est plus fluide)
  • Niveau d’assurance garanti de niveau “High” (LoA High selon eIDAS)
  • Conformité LCB-FT facilitée si le vecteur d’identification est qualifié
  • Mais : il faudra maintenir une voie alternative pour les utilisateurs sans wallet (pendant la période de transition au minimum)

Signature électronique

eIDAS 2 précise et renforce le cadre de la signature qualifiée à distance (QES). Le wallet peut embarquer un certificat qualifié permettant une signature sans dispositif physique (QSCD logiciel certifié).

Pour vos parcours de signature de contrats, d’actes réglementés ou de mandats, cela signifie :

  • QES accessible sur mobile sans token physique ni déplacement
  • Interopérabilité pan-européenne (une signature française reconnue en Allemagne, en Espagne, etc.)
  • Archivage à valeur probante à réévaluer en fonction des nouvelles exigences de traçabilité

Authentification forte (SCA / FIDO2)

L’EUDIW peut servir de second facteur d’authentification fort dans des parcours DSP2/PSD2. La convergence avec les standards FIDO2 déjà déployés reste à préciser dans les ARF (Architecture Reference Framework), mais les flux OpenID4VP sont compatibles avec les architectures OAuth/OIDC existantes.

Les pièges à éviter dans la mise en conformité

Attendre la stabilisation complète des standards. Les Large Scale Pilots (LSP), POTENTIAL, DC4EU, EWC, sont en cours. Les spécifications évoluent, mais le cadre de haut niveau est stable. Attendre 2026 pour démarrer, c’est se retrouver en mode urgence.

Traiter l’EUDIW comme un simple nouveau moyen d’auth. C’est une refonte du modèle de confiance. Elle touche la gouvernance des données, les contrats avec vos prestataires KYC actuels, la documentation de conformité.

Ignorer l’expérience utilisateur. Le wallet est une application mobile. Si votre parcours de relying party est mal conçu (trop d’attributs demandés, flux peu lisible), l’utilisateur abandonnera, même si la technique fonctionne.

Sous-estimer la charge côté registres. Votre enregistrement en tant que relying party nécessite une validation par une autorité compétente. Le processus prend du temps. Démarrez tôt.

Notre recommandation : 3 niveaux de préparation

Niveau 1 : Comprendre (maintenant)

Cartographier vos parcours existants qui seront impactés : identification, KYC, signature, accès à services réglementés. Identifier vos prestataires actuels et leur roadmap EUDIW.

Niveau 2 : Expérimenter (T1-T2 2026)

Mettre en place un environnement de test sur la base des ARF et des actes d’exécution publiés en décembre 2024. Les wallets de référence (développés dans le cadre des Large Scale Pilots) sont accessibles en version test. C’est maintenant qu’il faut valider vos flux OpenID4VP avant les premières mises en production nationales.

Niveau 3 : Intégrer (T3-T4 2026)

Adapter vos parcours en production pour accepter les premières attestations EUDIW avant la deadline de décembre 2026. Maintenir la coexistence avec vos mécanismes actuels pendant la période de transition, le secteur privé au sens large n’étant contraint qu’à partir de décembre 2027.

Conclusion

eIDAS 2 et l’EUDIW ne sont pas une contrainte réglementaire de plus. C’est un changement de paradigme sur la confiance numérique en Europe. Les organisations qui s’y préparent maintenant auront des parcours plus fluides et plus sûrs, avec un niveau de confiance identitaire inédit en Europe.

La difficulté n’est pas dans les standards : c’est dans leur intégration à vos architectures existantes. C’est exactement ce qu’on fait.

Vous avez des parcours d’identification ou de signature à faire évoluer dans ce cadre ? Parlons-en.

Expertise associée

Confiance numériquee-KYC, signature électronique, PKI & lutte contre la fraude

À lire aussi

Fuites de données : pourquoi le MFA est désormais la condition sine qua non de la confiance

Signature électronique : guide pratique pour choisir le bon niveau eIDAS

MCC : pourquoi le maintien en condition de confiance change tout à la maintenance applicative

Retour aux actualités Échanger avec REELIANT