Identité et paiements : pourquoi l’Allemagne fait la course en tête

Une des caractéristiques majeures des schémas d’identité numérique est de faire appel aux technologies de sécurisation des échanges de données. C’est bien sûr le cas de la cryptographie asymétrique et de la gestion des clés privées, déjà au cœur des échanges de cryptoactifs. Mais cela concerne aussi les e-attestations vérifiables (Verifiable Credentials) et les techniques de divulgation sélective d’attributs ou de preuve à divulgation nulle de connaissance pour n’en citer que quelques-unes.

De vraies raisons expliquent que ces technologies souvent récentes restent encore largement à l’écart des opérations de paiement. En effet, les infrastructures des paiements sont des édifices complexes, de gouvernance lourde et difficiles à faire évoluer. Toutefois, le manque d’intérêt et d’implication de l’écosystème français des paiements pour celles-ci interpelle. Au vu de la convergence structurelle de l’identité et des paiements dans les wallets, il porte en germe le risque d’un décrochage lorsque les identity-based payments s’imposeront comme une évidence.

Certes, le rapport 2024 de l’Observatoire de la sécurité des moyens de paiement publié en septembre 2025 invite les acteurs des paiements à recourir aux identités numériques eIDAS pour lutter contre les usurpations d’identité, mais cette préconisation reste dans la droite ligne du rapport 2021 et n’apporte pas d’éclairage nouveau sur ce sujet.

Certes encore, plusieurs banques françaises sont aujourd’hui embarquées dans le consortium Aptitude. Tout juste créé, il vise à tester certains cas d’usage des wallets eIDAS2, notamment l’authentification forte des paiements. Une satisfaction d’estime car d’une part ce sujet est piloté en Allemagne, et d’autre part la profession bancaire est en France circonspecte sur ces questions. En effet, ces mêmes banques se sont abstenues de participer aux précédents consortiums NOBID et EWC, alors qu’ils étaient en charge de traiter ce sujet pendant près de trois ans. Bref, tout se passe comme si l’identité numérique dans les paiements était vue en france comme un sujet exogène aux paiements et devant le rester, ou une énième contrainte réglementaire à laquelle il convient certes de répondre mais qui « complexifie la vie » plus qu’elle n’apporte de solution. Ajoutons à cela que l’articulation entre le règlement eIDAS et les principes de la DSP2 reste à définir et on aura une bonne raison de plus d’attendre. Prudence élémentaire ou manque de perception des enjeux liés à l’identité numérique ? Chacun aura un avis, mais deux éléments d’actualité font plutôt pencher la balance du mauvais côté.

Le premier ? L’annonce en octobre 2025 par le groupe allemand DSGV / Sparkassen du lancement prochain d’un wallet eIDAS2, directement intégré à son application bancaire et combinant identité et paiements. L’objectif affiché est bien sûr d’offrir un guichet unique pour les paiements et l’identité, d’assurer une intégration fluide entre vérification d’identité et paiements et un haut niveau de privacy - les données bancaires restant sous le contrôle complet de l’utilisateur. Cette annonce fait suite à celle d’un partenariat avec Google visant à mettre en place le premier schéma européen de vérification de majorité pour les contenus pour adultes à partir d’attestations électroniques fournies par le groupe bancaire. Le groupe DSGV/Sparkassen fait donc le pari d’un positionnement axé sur la fourniture de données d’identité, de statut et de KYC. Et il entend capitaliser sur sa longueur d’avance prise dans ces domaines.

Le second élément d’actualité ? L’irruption de l’intelligence artificielle dans les paiements au travers notamment des paiements agentiques (Agentic AI payments). Ce mouvement bouscule les notions et principes établis d’identité et d’authentification. Leur promesse est bien sûr de mobiliser l’intelligence artificielle pour effectuer de façon autonome des paiements répondant à des critères prédéfinis et de décharger les payeurs des procédures et vérifications souvent fastidieuses liées à ceux-ci. Ce sujet mobilise de très grands acteurs des paiements, comme Mastercard Agent Pay, Trusted Agent Protocol de Visa, Agent Payment Protocol de Google pour ne citer que les principaux. Il présente un potentiel disruptif important compte tenu de son réel apport en services nouveaux, ce devrait être un puissant facteur d’adoption.

Il repose pourtant sur des bases fragiles car en pratique, les agents AI valident de leur propre initiative les paiements avec les identifiants et autres données de sécurité personnalisées des clients mandants sans révéler leur propre qualité de mandataire, mettant ainsi en place des mandats occultes problématiques au plan juridique. L’inadaptation des règles actuelles d’identification et d’authentification aux paiements agentiques ne saurait étonner, car celles-ci ont été conçues pour des humains et non des algorythmes décisionnels autonomes. Si le déploiement de services de paiement agentiques répond à des besoins légitimes – ce qui nous semble clairement le cas – leur déploiement devrait se faire en clarifiant « qui agit au nom de qui ». Autrement dit, savoir ce qui relève des agents de paiement et ce qui relève des clients mandants. D’où la nécessité de schémas d’identité numérique clairement définis et efficacement mis en œuvre !

Si l’Allemagne a, comme la France, rencontré au cours des années récentes de réelles difficultés dans la mise en œuvre de schémas d’identité numérique, en ayant misé sur des solutions trop complexes pour les utilisateurs et parties utilisatrices de données, elle déploie pour les wallets eIDAS2 une approche marquée par l’utilisation de méthodes agiles et un partenariat public-privé.

L’Allemagne a mieux pris la mesure de la convergence de l’identité et des paiements dans les wallets numériques, ce qui lui donne aujourd’hui l’’occasion de faire la différence et de se positionner au tout premier plan européen.

Cette démarche volontaire est mise en œuvre par l’agence fédérale pour l’innovation de rupture (SPRIND) En 2023, elle a lancé un processus ouvert de sélection des wallets eIDAS, largement ouvert au secteur privé et orienté autour de prototypes mis en concurrence. Ce processus s’est achevé au mois d’octobre dernier. Il a réuni des start-up du numérique, mais aussi de grands acteurs de la tech. Google et Samsung ont ainsi présenté des prototypes. Le résultat final a couronné quatre finalistes (Animo Solutions, Ubique, Lissi et Yubico), deux d’entre eux ayant bénéficié d’un financement public.

La démarche a bien sûr associé l’agence de cybersécurité allemande BSI (Bundesamt für Sicherheit in der Informationstechnik) et s’est clairement positionnée sur des solutions open source visant à garantir la transparence et une approche collaborative. Dans cette approche, les spécifications techniques ont été publiées, ainsi que les principes généraux de certification des wallets eIDAS2 en Allemagne. Rappelons à cet égard que les wallets eIDAS2 doivent être certifiés comme répondant aux normes techniques et spécifications eIDAS – les processus de certification étant dans une première étape définis au niveau de chaque pays avant que l’ENISA (European Union Agency for Cybersecurity) ne prenne le relais au niveau européen.

Il est également frappant de voir à quel point le monde politique, et plus généralement la société civile allemande a suivi ce mouvement avec attention. Depuis deux ans, plusieurs rapports parlementaires du Bundestag ont été publiés sur les portefeuilles d’identité numérique et les partis politiques, associations professionnelles et de consommateurs ont eu l’occasion de donner leur sentiment sur le sujet. Avec bien sûr des nuances importantes en fonction de leur couleur politique, mais débat il y eût. Cette situation contraste avec celle rencontrée en France, où, à notre connaissance, le même sujet n’a jamais été évoqué au Parlement et n’a donné lieu à aucun débat de société.

Après les travaux de l’agence fédérale pour l’innovation de rupture, les pouvoirs publics allemands ont donné une impulsion déterminante au mois de septembre 2024. La ministre fédérale de l’intérieur a alors fait des annonces confirmant plusieurs points importants. En premier lieu, notre voisin validait la certification de plusieurs wallets eIDAS2 en Allemagne. Y compris des wallets émis par des opérateurs privés. Il n’y aura donc pas de monopole public sur les wallets eIDAS2. Ensuite, ces wallets privilégieront la facilité d’utilisation et, pour offrir un niveau de garantie élevé, ne nécessiteront pas de carte ou token externe, comme la Carte nationale identité en France pour l’application France Identité. Enfin, les usages bancaires seront au cœur des usages privés des wallets eIDAS2.

C’est dans ce contexte porteur que s’inscrit l’annonce du groupe DSGV/Sparkassen, mais aussi le fait que l’Allemagne se soit vu confier la prise en charge du cas d’usage paiement au sein du nouveau consortium Aptitude. C’est aussi ce qui explique que l’écosystème des services de confiance numérique en Allemagne se soit également saisi de ces sujets en identifiant les attributs bancaires susceptibles d’une intégration dans les wallets eIDAS2, à commencer par les IBAN qui pourraient être sécurisés et réduire ainsi les opportunités de fraude aux paiements.

Là encore, le contraste avec la France est saisissant car s’il est certes aujourd’hui confirmé qu’une future version de France Identité sera bien certifiée aux normes eIDAS2, aucune annonce complémentaire n’a à ce jour été faite en France. Tout se passe comme si les thématiques de l’identité numérique étaient de ce côté du Rhin perçues comme relevant nécessairement de la sphère régalienne du ministère de l’intérieur. Surprenante position alors qu’il ne s’agit pas de définir les critères de nationalité ou d’état civil en France, mais simplement de préciser les modalités de conservation et de communication d’attributs publics et privés dans un cadre lui-même défini au niveau européen.

De plus, l’attentisme français est renforcé par la lecture particulièrement restrictive que fait France Titres des catégories d’attributs susceptibles d’être hébergés dans les wallets eIDAS2 en général, et France Identité en particulier. Sur ce point, on peine à trouver la justification juridique de la position hexagonale dans les textes eIDAS, alors que cette approche contraint le cas d’usage paiement des wallets eIDAS2.

De façon plus générale, on peut s’interroger sur le fait que France Identité soit le wallet le mieux placé pour autoriser des paiements relevant de la sphère des échanges privés, particulièrement si l’appariement avec la carte nationale d’identité est requis à cet effet. Cela entraînerait évidemment une contrainte d’utilisation supplémentaire. De plus, la diffusion de l’application France Identité est ralentie par un processus d’enrôlement contraignant, avec passage en mairie, reportant à un horizon beaucoup trop lointain les niveaux de pénétration atteints par les solutions leader d’identité numérique en Europe. À titre de comparaison, en Belgique, l’application Itsme, également notifiée au niveau de garantie élevé, couvre aujourd’hui 85 % de la population adulte.

Une meilleure solution serait, comme en Allemagne, de valider des wallets eIDAS2 privés répondant aux spécifications eIDAS et dûment certifiés à cet effet. Ce sera sans doute la solution retenue in fine en France, mais l’absence de décision sur ce sujet est évidemment un frein au développement de solutions adaptées.

Le cas d’usage paiement pose pose évidemment la question de l’articulation entre le règlement eIDAS2 et les référentiels réglementaires pour les paiements – DSP2 et le futur règlement sur les services de paiement (RSP). Ces textes conçoivent chacun l’authentification forte de façon différente. En effet, la logique eIDAS est celle d’une authentification forte vue comme une fonctionnalité assurée par le wallet eIDAS2 de façon autonome et sans recours à un tiers, certifiée comme répondant aux critères du niveau de garantie élevé et qui s’impose aux prestataires de services de paiement tenus de l’accepter. Au contraire, l’authentification forte des DPS2/RSP est pour l’essentiel appréhendée comme un mécanisme de gestion de preuve de l’autorisation de paiement entièrement mis en œuvre sous le contrôle et la responsabilité juridique des prestataires de services de paiement.

Ce décalage structurel de conception, qui génère de nombreuses incompréhensions sur l’implication des wallets eIDAS2 dans les paiements, gagnerait évidemment à être traité. Cela pourrait être le cas lors de la mise en place des futures normes techniques d’application du prochain règlement sur les services de paiement.

Cette clarification serait d’autant plus souhaitable car le cas d’usage paiement des wallets eIDAS ouvre des perspectives vraiment intéressantes avec le déploiement d’une authentification forte directement intégrée aux messages de paiement transmis aux banques des payeurs (dite embedded authentication) sans mécanisme de redirection préalable vers celles-ci. Il annonce en effet un environnement permettant la communication combinée d’attributs certifiés de paiement, de statut et d’identité offrant plus de sécurité et des moyens renforcés de lutte contre la fraude mais aussi de nouveaux services comme l’intégration automatisée des paiements dans les procédures comptables et particulièrement adaptés aux schémas Request-to-Pay. Il ouvre également des perspectives pour le cas d’usage de paiement hors ligne maintenant considéré comme une option utile et peut-être même prioritaire pour l’euro numérique de détail.

Si les jeux ne sont pas encore faits aujourd’hui, la structuration du cas d’usage paiement des wallets eIDAS2 avance néanmoins avec les développements en cours sur l’authentification forte des paiements au sein des textes eIDAS2 et la préparation d’un SCA attestation rulebook qui lui sera dédié.

La combinaison d’attestations électroniques vérifiables (Verifiable credentials) d’identité, de statuts et de paiement dans des wallets décentralisés est clairement porteuse d’avenir. Comme l’est d’ailleurs l’utilisation de procédés cryptographiques et de techniques de divulgation sélective ou minimales dans les messages de paiement. Si ces points ne font guère débat, leur application imposée aux opérations de paiement à partir de wallets eIDAS2 répondant à un cahier des charges structurellement axé sur le niveau de garantie élevé et offrant un haut niveau de privacy pose un vrai défi.

Le premier ? L’adoption. On le sait, celle-ci doit être volontaire pour les titulaires de wallets eIDAS2, ainsi que pour la grande majorité des commerçants et prestataires de services. Seuls les banques, les fournisseurs de services clés et les grandes plateformes numériques seront tenus d’accepter l’authentification forte. Pour que l’adoption intervienne, l’expérience utilisateur devra dès lors être au même niveau que les solutions de paiement actuelles. Ce qui est peu probable au vu les contraintes posées par le niveau de garantie élevé... Et du côté des commerçants, la malencontreuse exigence d’un enregistrement préalable avant toute réception de donnée de wallet eIDAS2 risque surtout d’agir comme un frein puissant à l’adoption.

Le second ? L’incertitude sur les modèles économiques soutenables. C’est en effet la grande inconnue des wallets ayant vocation à accueillir des attributs publics comme privés. À l’heure actuelle ; aucun schéma concret de rémunération n’est prévu. Une élémentaire logique voudrait que « l’utilisateur de données certifiées paye le fournisseur de ces mêmes données », mais celle-ci se heurte à la conception même des wallets eIDAS2 basés sur des interactions décentralisées et gérées de façon autonome par les titulaires des wallets. Ces difficultés risquent de limiter les données d’origine privées figurant dans les wallets.

Bref, la mise en œuvre du cas d’usage paiement des wallets eIDAS2 promet d’être particulièrement complexe. Elle ne pourra de toute évidence être une réalité opérationnelle à l’échéance prévue de décembre 2027. Est-ce pour autant une raison de se désintéresser du sujet comme à tendance à le faire aujourd’hui l’écosystème français des paiements ? Nous ne le pensons pas, bien au contraire, car le jour – sans doute assez proche – où une solution publique ou privée d’utilisation combinée d’attributs de paiement, de statut et d’identité émergera, il sera alors bien tard pour réagir.