Le portefeuille européen
d’identité numérique :
une révolution pour les services financiers ?

EUDIF pour le règlement EUropean Digital Identity Framework (EUDIF), appelé encore eIDAS 2. Ce texte va transformer l’authentification bancaire et simplifier l’accès aux services financiers et marchands dès 2027. En effet, ce règlement impose aux États membres de fournir un Portefeuille européen d’identité numérique (PEIN) à tous leurs citoyens d’ici fin 2026. Un PEIN, ou EUDIW (pour European Digital Identity Wallet) obligatoirement accepté pour l’identification et l’authentification aux services en ligne du secteur public !

Au-delà de l’identification et l’authentification, ce portefeuille permettra d’échanger des données personnelles sous forme d’attestations éléctroniques d’attributs vérifiables (carte d’identité, permis de conduire, carte grise, carte de santé, diplôme, IBAN, justificatif d’adresse, de revenus...). Il permettra également la création de signature électronique. D’un point de vue pratique, il pourra fonctionner en ligne et hors ligne.

Côté calendrier, un an plus tard, les entités du secteur privé devront accepter ces portefeuilles d’identité à la demande volontaire de l’utilisateur, dès lors que ces acteurs ont l’exigence légale d’utiliser une authentification forte de l’utilisateur pour l’identification en ligne. Le texte impose également aux fournisseurs de très grandes plateformes en ligne (Very Large Online Platforms), avec plus de 45 millions d’utilisateurs, d’accepter ces portefeuilles lors de l’authentification pour accéder à leurs services en ligne. Parmi les noms en première ligne, AliExpress, Amazon, Booking, Zalendo...

Contrairement aux solutions d’identité fragmentées actuelles pour les personnes physiques, le PEIN aura trois caractéristiques majeures. D’abord, il sera souverain, c’est-à-dire délivré par les États membres. À chacun toutefois son approche : les États pourront développer leur solution, mais aussi reconnaître et certifier des portefeuilles émis par le secteur privé. Différentes solutions pourront même cohabiter.

Ensuite, il sera hautement sécurisé, certifié avec un niveau de garantie élevée. Une infrastructure de confiance sera mise en place avec des registres de portefeuilles certifiés et de parties utilisatrices autorisées à accéder aux portefeuilles.

Enfin, il sera garant de la confidentialité. Le citoyen pourra ainsi décider quels attributs il souhaite partager avec une partie utilisatrice du portefeuille, qu’il s’agisse d’un site public ou privé, bancaire ou marchand. Des mécanismes de selective disclosure seront mis en place. D’autres comme le ZeroKnowledgeProof permettront de prouver par exemple un âge supérieur à un minimum requis sans divulguer d’autres données personnelles. Par exemple, sur l’achat d’alcool dans un supermarché. Un tableau de bord permettra aussi à l’utilisateur de voir et éventuellement révoquer les données échangées avec une partie utilisatrice. Enfin, dernière caractéristique dans un monde de mobilité, il sera interopérable. Bref, basé sur les mêmes standards dans tous les États membres et utilisable en dehors de son pays d’origine.

Ce portefeuille d’identité numérique prend son envol alors que la fraude liée à l’usurpation d’identité continue d’augmenter, facilitée par les outils d’intelligence artificielle. Elle concerne aussi bien l’identité de la personne physique (fraude au président, faux conseiller, faux justificatifs produits par l’utilisateur) que celle de l’entreprise, banque, organisme de crédit ou site marchand. Le 24 octobre dernier, l’Autorité de contrôle prudentiel et de résolution (ACPR) mettait en garde le public contre les propositions frauduleuses de crédits, de livrets d’épargne, de services de paiement et d’assurance. L’occasion de revenir sur quelques chiffres. Ainsi, 73 % des usurpations concernent des établissements autorisés. Aujourd’hui, l’ACPR recommande de passer par un prestataire de vérification d’identité à distance (PVID) certifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ou l’utilisation de moyen d’identification électronique de niveau substantiel ou élevé. À noter, si le texte d’origine de la Commission européenne couvrait à la fois les personnes physiques et morales, les difficultés de calendrier ont amené l’Europe à privilégier dans un premier temps les personnes physiques.

D’une part, demain, grâce aux portefeuilles d’identité, l’utilisateur aura un moyen simple et réutilisable pour prouver qui il est lors d’une mise en relation, mais également de donner son consentement et partager ses données personnelles dès que nécessaire, lors de ses futures transactions. Les justificatifs d’identité d’un utilisateur, émis par des sources fiables et sécurisées cryptographiquement, peuvent être partagés immédiatement. Les établissements reçoivent ainsi des attributs vérifiables, leur permettant de réduire les coûts liés à la fraude mais aussi d’améliorer leur connaissance client (KYC) en continu. D’autre part, en s’identifiant avec son portefeuille, l’utilisateur aura l’assurance qu’il est bien en relation avec le bon établissement, inscrit dans le registre des Parties utilisatrices.

Des travaux ont été initiés sur le KYC-KYB pour les banques dans le cadre des Large Scale Pilots Round 1 (LSP1) dans Potential et EWC. Ils se poursuivent dans les LSP2 avec Aptitude et Webuild. Bien que la prévention de la fraude et un meilleur KYC-KYB justifient à eux seuls l’investissement dans l’identité numérique, l’infrastructure d’identité numérique permet des innovations que les systèmes actuels de paiement ne peuvent pas supporter. Plusieurs axes de travail autour du paiement ont été étudiés dans le cadre des LSP1 avec les consortiums Ewc et Nobid, et se poursuivent dans les LSP2 avec Aptitude et Webuild.

Le premier axe concerne l’autorisation du paiement à travers le portefeuille d’identité en respectant les exigences eIDAS 2.0 et la seconde version de la directive sur les paiements. Des spécifications ont été écrites et des pilotes mis en place avec des banques volontaires. Des discussions ont été initiées entre DG Connect et DG Fisma, les entités en charge du dossier au niveau de la Commission européenne, pour avoir un alignement entre les règlements dans le but de répondre à l’exigence d’acceptation du portefeuille en cas d’authentification forte.

Le deuxième concerne l’initiation du paiement à travers le portefeuille. Ce point n’est pas une exigence du règlement eDAS 2.0, mais permettrait un cas d’usage récurrent susceptible de faciliter l’adoption par les utilisateurs. Le wallet d’identité devenant ainsi un wallet de paiement. Pour arriver à cette situation, les acteurs du paiement comme ApplePay ou GooglePay ont fait le chemin inverse : partis du paiement, ils intègrent maintenant des données personnelles pour devenir Apple Wallets ou Google Wallets. L’identité numérique est aussi un service qui intéresse d’autres acteurs du paiement, comme la solution Wero proposée par EPI, ou Sparkassen-Finanzgruppe en Allemagne, qui a décidé de devenir un fournisseur d’identité numérique certifié en l’intégrant dans son application bancaire (voir article, page 66).

Néanmoins, les consommateurs ont déjà aujourd’hui des solutions de paiements fournis par leurs banques ou des acteurs comme EPI, Apple ou Google. Comme elles fonctionnent correctement, on peut penser que ce n’est pas simplement en ouvrant des services de paiement de même nature dans les nouveaux portefeuilles d’identité que cela suffira à les faire basculer et adopter massivement le futur portefeuille. Un des leviers pour favoriser cette adoption serait une transformation numérique des services publics, comme cela a été réalisé en Estonie avec X-Road ou en Pologne avec mObywatel. Il s’agit de proposer de nombreux services disponibles depuis le portefeuille d’identité pour développer son usage et sa base d’utilisateurs afin de devenir attractif pour les banques et les marchands.

Un autre levier qui permettra l’adoption du futur portefeuille d’identité régalien est justement sa certification au niveau élevé garantie par l’État : elle lui permettra d’être un accélérateur pour activer d’autres applications métiers sur son téléphone avec un haut niveau de sécurité et très facilement pour l’utilisateur. L’utilisateur pourra aussi transférer des attributs depuis son portefeuille régalien vers son application métier, comme la preuve d’âge pour acheter des produits interdit aux mineurs.

Le troisième axe, sans doute le plus prometteur pour les consommateurs ainsi que pour les sites marchands, est la convergence entre les données personnelles et le paiement. Cet axe sera aussi étudié dans Aptitude et Webuild. Un premier pilote a été réalisé dans le cadre du LSP1 EWC. Un étudiant pouvait sélectionner un ticket de Ferry sur le site web et profiter d’un Fast Check-Out avec son portefeuille d’identité numérique, en scannant un QR code. Cela lui permettait en un clic d’autoriser le paiement et communiquer un statut d’étudiant vérifiable pour avoir un prix réduit. Ce nouveau type de services est particulièrement scruté par les grands e-commerçants, car il signifie des conversions augmentées et une fraude réduite. C’est pourquoi un acteur comme Amazon participe au consortium WEBUILD pour tester ces nouveaux usages.

La question de l’acceptation vaut, certes, pour l’utilisateur final, mais elle s’applique aussi aux intermédiaires. Une analogie instructive peut être réalisée dans l’univers des paiements, avec la création des Paiement Services Providers pour aider les marchands à accepter les différents moyens de paiement en centralisant ces intégrations techniques et contractuelles. La multiplicité des futurs portefeuilles à venir, publics et privés, nécessitera sans doute des accords bilatéraux avec chaque émetteur public et privé, des intégrations techniques spécifiques basées sur les mêmes standards, mais avec des implémentations potentiellement différentes par émetteur, des tests extensifs et une maintenance continue. C’est pourquoi le règlement européen a prévu cette notion d’intermédiaire agissant pour le compte de la Partie utilisatrice.

Plusieurs acteurs privés se positionnent sur ce segment de marché, afin de faciliter l’acceptation de tous les portefeuilles sans effort supplémentaire pour les marchands. En Allemagne, ce point a été identifié et le secteur public a annoncé sa volonté de créer un Ecosystem Management Portal afin de jouer ce rôle d’intermédiaire entre les parties utilisatrices et les fournisseurs de portefeuilles. Sans infrastructure « d’intermédiaires » robuste, le risque est que ces nouveaux portefeuilles restent un projet gouvernemental que seules les grandes institutions pourront intégrer, tandis que les petits et moyens commerçants resteront à l’écart.

Aucune institution ne peut résoudre à elle seule les défis d’identité. La solution nécessite une infrastructure au niveau de l’industrie. Les banques, les commerçants, les plateformes fintechs et les autorités devront donc aligner leurs infrastructures et collaborer. Cela pose deux défis clés pour les services financiers. D’abord, l’interopérabilité entre l’EUDIW (régulation EDIF/eIDAS 2.0) et les exigences bancaires existantes (DSP2 et conformité antiblanchiment) et futures (PSR, RTS) qui devront aussi supplanter des exigences locales en matière de vérification d’identité KYC/KYB. Ensuite, il y a la question de responsabilité en cas de fraude au paiement authentifié via le portefeuille, soit par usurpation du portefeuille, soit via une autre vulnérabilité dans la transmission des données. Qui est responsable ? Le commerçant qui a accepté ? L’émetteur du portefeuille ? L’infrastructure d’intermédiation ? Des travaux seront donc encore nécessaires pour répondre à ces défis et inscrire les réponses dans les textes.

L’identité numérique a donc le potentiel pour devenir la prochaine couche d’infrastructure des services financiers français, aussi fondamentale que les rails de paiement. Ce qui commence comme une amélioration de prévention de fraude et amélioration du KYC-KYB évoluera vers une réimagination complète du rapport entre consommateurs et services financiers. D’ici 2030, un consommateur aura oublié l’époque des quittances de loyer, des selfies avec document d’identité et des codes SMS : l’authentification sera instantanée, le partage de données contrôlé et transparent, les réductions automatisées basées sur des attributs vérifiés.

Pour les institutions financières, l’enjeu est clair : transformer l’EUDIW d’une contrainte réglementaire en avantage concurrentiel. Celui qui maîtrisera l’intégration du portefeuille d’identité européen gagnera en traction client, en réduction de fraude, et en conformité réglementaire. Pour les citoyens, c’est la promesse d’une infrastructure numérique enfin contrôlée par eux. Un changement fondamental dans la relation entre services financiers et consommateurs. La question n’est plus « si » l’EUDIW transformera les services financiers, mais « quand » et « qui » en sera le leader.