Ce 20 mai, le règlement européen 2024/1183 qui établit le cadre européen relatif à une identité numérique est entré en vigueur. Publié le 30 avril 2024, il modifie le précédent règlement (n° 910/2014) dit « eIDAS » (electronic IDentification And trust Services). Cela marque le point de départ des différents délais liés au déploiement du portefeuille européen d’identité numérique (ou EUDI wallet), avec une publication des spécifications européennes au plus tard le 21 novembre 2024 et une mise à disposition de chaque portefeuille national au plus tard le 21 novembre 2026.
Pour faciliter les transactions électroniques au sein du marché intérieur, ce règlement pose donc le concept du EUDI wallet qui permettra à chacun de prouver son identité en ligne et dans le monde physique, de signer électroniquement et de partager des attestations électroniques d’attributs telles qu’une preuve d’âge, de revenu, d’adresse, de diplôme, de détention d’un compte bancaire... Et cela avec un haut niveau de sécurité. Il appartiendra à chaque État membre de l’Union européenne (UE) de le mettre à disposition, dans le respect de spécifications européennes à venir.
En complément, ce règlement vient étendre la gamme des services de confiance qualifiés à l’archivage électronique, aux registres électroniques et à l’émission des attestations électroniques d’attributs. L’harmonisation européenne des standards applicables à ces services sera renforcée via une trentaine de textes réglementaires complémentaires à adopter d’ici le 21 mai 2025.
L’acceptation obligatoire de l’EUDI wallet par les services publics, les entreprises privées (hors micro- et très petites entreprises) exigeant une authentification forte et les fournisseurs de très grandes plateformes en ligne sera quant à elle effective au plus tard le 21 novembre 2027.
Impacts et opportunités
Ce portefeuille européen facilitera l’entrée en relation d’affaires à distance, en permettant d’apporter une preuve de l’identité de la personne, éventuellement enrichie de données complémentaires (par exemple, une attestation électronique permettant de justifier d’un revenu et d’un emploi sur les trois derniers mois). La généralisation de la signature qualifiée pour le grand public devrait également faciliter la souscription aux offres en ligne comme les contrats de crédit.
Par ailleurs, les banques seront tenues d’accepter le portefeuille comme moyen alternatif d’authentification forte pour sécuriser les paiements sur Internet. Aux utilisateurs de choisir l’usage de leur application bancaire ou du portefeuille, au cas par cas. Les organismes financiers devront donc être en capacité d’accepter au moins vingt-sept portefeuilles nationaux, aux spécifications techniques et interfaces certes harmonisées, mais qui nécessiteront vraisemblablement chacun une intégration spécifique.
Ces portefeuilles seront utilisés dans le cadre de transactions engageantes pour l’utilisateur ou l’organisme financier, pour lesquelles il sera essentiel de pouvoir valider les données reçues : preuve d’authentification du portefeuille, signature et non révocation des données d’identité et des attestations d’attributs reçues... Là encore les spécifications techniques de cette validation seront harmonisées au niveau européen, mais la responsabilité juridique de la bonne réalisation des opérations reposera sur les organismes accepteurs.
Enfin, au-delà de la mise en œuvre d’un archivage fiable de la preuve de l’usage du portefeuille et des validations associées sur le long terme, la capacité à démontrer la fiabilité de la preuve auprès du juge ou d’une autorité de contrôle sera probablement cruciale, comme l’a montré la jurisprudence en matière de signature électronique sur les dernières années.
Accompagner le changement
Si nous sommes encore à plusieurs années du déploiement effectif du portefeuille, dont on peut projeter qu’il entrera véritablement dans les usages d’une majorité de la population d’ici cinq à dix ans, il nous faut cependant anticiper dès à présent ses impacts sur nos activités et celles de notre écosystème.
Référent de la confiance numérique, Docaposte (filiale du groupe La Poste) est directement concerné par ce nouveau règlement. Nous avons été précurseurs en France en matière de fourniture d’identités numériques certifiées au titre du 1er règlement eIDAS, et nous venons de dépasser les 5 millions d’utilisateurs disposant d’une identité numérique La Poste de niveau de garantie substantiel. Nous sommes par ailleurs le seul acteur français – et l’un des rares acteurs européens – à proposer l’ensemble des services de confiance qualifiés prévus par ce même règlement.
Au-delà du composant central qu’est le portefeuille européen d’identité numérique, des services tels que l’émission d’attestations électroniques d’attributs, qualifiées ou non, l’intégration des portefeuilles dans les parcours clients ainsi que la validation et l’archivage des éléments de preuves associés, sont autant de sujets sur lesquels capitaliser avec notre savoir-faire historique en matière de solutions souveraines d’identité et de confiance numériques.
Interopérabilité
Docaposte participe à la toute première vague de tests initiée par le consortium Potential (148 participants issus de 19 États-membres de l’UE), qui nous a d’ores et déjà permis de démontrer l’interopérabilité entre différents portefeuilles conformes aux spécifications européennes et nos propres plateformes d’émission et de validation de données.
Ainsi, ce nouveau règlement eIDASv2, s’il offre de belles promesses de simplification et de sécurisation des échanges par voie électronique, notamment au travers du portefeuille européen d’identité numérique, posera certainement quelques défis pour sa bonne mise en œuvre. Nous nous préparons donc à accompagner nos clients et partenaires sur l’ensemble de la chaîne de valeur du portefeuille, afin de pouvoir relever collectivement ces défis à venir, dans une logique de complémentarité avec les services qui pourront être proposés par l’État.
