Conformité eIDAS 2.0 : Échéances et Préparatifs Essentiels pour les Entreprises (FR)

eIDAS 2.0 — le règlement révisé de l'UE sur l'identification électronique, l'authentification et les services de confiance — exige de chaque État membre de l'UE qu'il mette à la disposition de ses citoyens et entités juridiques un portefeuille EUDI (Identité Numérique de l'UE). C'est le plus grand changement structurel en matière d'identité numérique en Europe depuis le règlement eIDAS original de 2014, et il crée de véritables obligations d'acceptation pour les services du secteur privé à travers le bloc.

Le déploiement est échelonné et précisément synchronisé avec les progrès de la mise en œuvre des États membres, qui varient. Ce qui est clair, c'est la direction : les portefeuilles EUDI arrivent, l'acceptation sera obligatoire pour les catégories de services désignées, et les entreprises qui comprennent le cadre dès maintenant s'intégreront plus facilement que celles qui attendent.

Points clés à retenir

• eIDAS 2.0 exige que les 27 États membres de l'UE mettent des portefeuilles EUDI à la disposition des citoyens et des entités juridiques, permettant l'identification électronique et la présentation de justificatifs d'identité transfrontalière.
• Trois niveaux d'assurance (LoA) — Faible, Substantiel et Élevé — définissent la rigueur avec laquelle une accréditation a été établie ; le niveau approprié dépend du risque du service qui s'y fie.
• Les obligations d'acceptation pour les services du secteur privé sont introduites progressivement, les banques, les opérateurs de télécommunications et les grandes plateformes en ligne figurant parmi les secteurs désignés pour une acceptation obligatoire.
• Vers 2026, les États membres devraient avoir des portefeuilles EUDI opérationnels, avec des obligations d'acceptation généralisées pour le secteur privé qui seront progressivement introduites par la suite — bien que les délais de déploiement varient selon les États membres.
• Didit est le seul fournisseur d'identité officiellement attesté par un gouvernement d'un État membre de l'UE — le Tesoro / BdE / SEPBLAC / CNMV espagnol — comme étant plus sûr que la vérification en personne, offrant une base prête pour la conformité alignée sur la norme d'assurance Élevée d'eIDAS 2.0.

Qu'est-ce que eIDAS 2.0 ?

Le règlement eIDAS original, adopté en 2014, a créé un cadre de reconnaissance mutuelle des systèmes nationaux d'identification électronique entre les États membres de l'UE. Il a fonctionné pour les grands programmes nationaux d'eID — l'Online-Ausweis allemand, la carte eID belge — mais a laissé des lacunes importantes : pas de format de portefeuille commun, une couverture limitée des services du secteur privé et une interopérabilité transfrontalière qui fonctionnait mieux en principe qu'en pratique opérationnelle.

eIDAS 2.0 — formellement le Règlement (UE) 2024/1183, modifiant l'original — remplace ce modèle fragmenté de schémas nationaux par une approche européenne unique. Chaque État membre doit mettre un portefeuille EUDI à la disposition de chaque citoyen et entité juridique qui le souhaite. Chaque portefeuille doit respecter des normes techniques communes. Et surtout, les prestataires de services spécifiés doivent accepter les présentations de portefeuille de tout citoyen de l'UE, quel que soit l'État membre qui a émis le portefeuille.

Le portefeuille contient des justificatifs d'identité vérifiables : documents d'identité émis par le gouvernement, qualifications éducatives, licences professionnelles, preuve de compte bancaire — tout attribut formellement émis par un prestataire de services de confiance et présentable et vérifiable électroniquement. Un citoyen allemand présentant son portefeuille EUDI à une banque espagnole, ou un freelance polonais présentant des justificatifs professionnels à une place de marché française, devrait fonctionner aussi facilement qu'une présentation nationale.

Niveaux d'assurance : Faible, Substantiel et Élevé

eIDAS 2.0 hérite du cadre LoA du règlement original et l'étend au contexte du portefeuille. Trois niveaux définissent la confiance avec laquelle une accréditation a été établie :

Faible — l'accréditation a été établie par un processus qui offre une confiance limitée dans l'identité revendiquée. Convient aux services à faible risque où le coût de l'erreur est minime et où la friction doit être aussi faible que possible.

Substantiel — l'accréditation a été établie par un processus qui réduit considérablement le risque d'utilisation abusive de l'identité. La vérification basée sur des documents avec des contrôles automatisés atteint généralement ce niveau. La plupart des vérifications de type KYC (Know Your Customer) sont conçues pour une assurance Substantielle.

Élevé — l'accréditation a été établie par un processus qui prévient l'utilisation abusive avec une très grande confiance. La vérification de documents combinée à la détection de vivacité biométrique de niveau iBeta 1 ou supérieur — l'équivalent de la vérification en personne ou manifestement supérieure — atteint ce niveau.

Le cadre LoA est important pour les entreprises car il met en correspondance le niveau d'assurance dont un service a besoin avec la méthode de vérification qui y répond. L'ouverture d'un compte de paiement peut nécessiter un niveau Substantiel ; l'accès à un produit financier réglementé peut nécessiter un niveau Élevé. eIDAS 2.0 codifie ces attentes et les rend portables dans toute l'UE.

Ce que le portefeuille EUDI signifie pour les entreprises

Aujourd'hui, un utilisateur présente son identité à votre plateforme en téléchargeant une image de document et en prenant un selfie — et votre plateforme la vérifie en temps réel. Avec le portefeuille EUDI, le modèle change : l'utilisateur détient un justificatif pré-vérifié émis par un prestataire de services de confiance d'un État membre, et vous présente ce justificatif. Vous vérifiez la signature cryptographique du justificatif et la fiabilité de l'émetteur — et non le document sous-jacent à partir de zéro.

Pour les entreprises réglementées, le modèle de présentation par portefeuille offre des avantages concrets. L'identité de l'utilisateur a déjà été vérifiée par un émetteur de confiance à un niveau d'assurance connu, ce qui réduit la charge de vérification de votre côté. Le justificatif de l'utilisateur porte un LoA spécifique que vous pouvez mapper directement à vos exigences de risque. Et les justificatifs réutilisables signifient que les utilisateurs ne re-téléchargent pas de documents pour chaque service avec lequel ils interagissent — réduisant ainsi la friction d'intégration pour les utilisateurs légitimes.

L'obligation est tout aussi concrète : certaines catégories de services ne peuvent refuser les justificatifs présentés par portefeuille une fois les obligations d'acceptation en vigueur. Une banque ou une grande plateforme en ligne qui relève des catégories d'acceptation obligatoire doit être capable d'accepter les présentations de portefeuille EUDI — ce qui nécessite une intégration API avec l'écosystème du portefeuille et une logique de mappage LoA dans votre pipeline d'identité.

Obligations d'acceptation et calendrier progressif

eIDAS 2.0 identifie les catégories de prestataires de services soumis à l'acceptation obligatoire des présentations de portefeuille EUDI : les très grandes plateformes en ligne en vertu de la loi sur les services numériques, les prestataires de services bancaires et de paiement, les prestataires de services de communications électroniques, les prestataires de services de transport et d'énergie, et les prestataires de services de qualifications professionnelles.

L'obligation d'acceptation est introduite progressivement au fur et à mesure que les États membres déploient leurs portefeuilles. Les projets pilotes à grande échelle — programmes de test multi-États membres couvrant les services de santé, d'éducation, de voyage, de finance et gouvernementaux — sont en cours depuis 2023 et génèrent des spécifications techniques prêtes pour la production. Les États membres devraient avoir des portefeuilles EUDI opérationnels vers 2026, les obligations d'acceptation obligatoire par le secteur privé étant introduites progressivement à mesure que l'infrastructure mûrit.

Le calendrier exact mois par mois dépend des progrès de la mise en œuvre de chaque État membre et des actes d'exécution publiés par la Commission européenne. Ce qui est clair, c'est que la direction est établie et que l'architecture technique est réelle — les leçons tirées des programmes pilotes sont actuellement intégrées dans les spécifications techniques finales.

Ce que les entreprises devraient préparer

Mappez vos exigences de niveau d'assurance. Pour chaque service que vous proposez, identifiez le LoA qu'un justificatif présenté doit satisfaire. Un service de contenu à faible risque peut nécessiter un niveau Faible ; un compte financier réglementé nécessite un niveau Élevé. Ce mappage détermine quelles présentations de justificatifs vous devez accepter et comment vous les validez.

Évaluez votre exposition à l'acceptation obligatoire. Si votre service relève des catégories nommées — banque, télécommunications, grande plateforme en ligne — votre obligation d'accepter les présentations de portefeuille EUDI est réglementaire, et non optionnelle. Commencez l'évaluation technique avant que l'obligation ne soit en vigueur, et non après.

Auditez votre architecture de vérification d'identité. L'acceptation eIDAS 2.0 ne signifie pas la suppression de votre pipeline de vérification existant — cela signifie son extension. Les utilisateurs qui ont un portefeuille EUDI le présentent ; les utilisateurs qui n'en ont pas complètent le flux standard de document et de biométrie. Les deux chemins doivent converger vers le même enregistrement de conformité et la même classification LoA.

Appuyez-vous sur une infrastructure déjà attestée. Les justificatifs émis avec une assurance Élevée nécessitent un pipeline de vérification qui répond à la norme LoA Élevée — y compris une vérification biométrique comparable ou supérieure à l'identification en personne. S'appuyer sur un fournisseur avec une attestation de supervision existante réduit votre surface de conformité et simplifie le dialogue réglementaire.

Ce que eIDAS 2.0 signifie pour les fournisseurs de vérification d'identité

Le portefeuille EUDI ne remplace pas la vérification traditionnelle par document et biométrie — il ajoute un nouveau chemin de présentation à côté. À court terme, la plupart des utilisateurs n'auront pas de portefeuille EUDI. À moyen terme, l'adoption des portefeuilles augmentera à mesure que les États membres déploieront leurs implémentations et que l'expérience utilisateur mûrira. À long terme, les justificatifs de portefeuille réutilisables réduiront la charge de vérification par intégration pour les utilisateurs, tandis que le cadre LoA normalisera la manière dont les entreprises comprennent et communiquent ce qu'elles ont vérifié.

Pour les fournisseurs de vérification d'identité, cela crée un paysage à deux voies : la vérification traditionnelle à la demande pour les utilisateurs sans portefeuille, et l'infrastructure d'acceptation des justificatifs pour les utilisateurs qui présentent des justificatifs de portefeuille EUDI. Le cadre LoA est le pont entre les deux voies — une entreprise ayant une exigence d'assurance Élevée peut la satisfaire par l'un ou l'autre chemin.

Cas d'usage

Banques et institutions de paiement — désignées dès le départ dans le champ d'application de l'acceptation obligatoire. L'intégration du portefeuille EUDI aux pipelines KYC existants permet une intégration transparente pour les utilisateurs titulaires d'un portefeuille, tandis que le flux existant gère les utilisateurs sans portefeuille. Le mappage LoA remplace la décision de vérification par intégration pour les justificatifs de portefeuille à haute assurance.

Fournisseurs de télécommunications — désignés dans les catégories d'acceptation obligatoire. La vérification de l'identité de l'abonné via le portefeuille EUDI à un niveau d'assurance Élevé est la direction à suivre pour l'enregistrement réglementé des cartes SIM dans l'UE.

Grandes plateformes en ligne et places de marché réglementées — les très grandes plateformes en ligne en vertu du DSA sont soumises à des obligations d'acceptation obligatoire. La vérification des vendeurs et des utilisateurs à un niveau d'assurance Substantiel à l'aide de justificatifs de portefeuille est un cas d'usage concret d'eIDAS 2.0.

Services financiers transfrontaliers — un utilisateur espagnol s'intégrant à une néobanque néerlandaise est aujourd'hui confronté à un flux complet de documents et de biométrie. Avec les portefeuilles EUDI, son justificatif pré-vérifié émis par le gouvernement espagnol est transféré directement au niveau d'assurance approprié, réduisant la friction pour un utilisateur légitime tout en maintenant l'enregistrement de conformité.

Comment Didit aide

Didit est le seul fournisseur d'identité officiellement attesté par un gouvernement d'un État membre de l'UE — le Tesoro / BdE / SEPBLAC / CNMV espagnol — comme étant plus sûr que la vérification en personne. Cette attestation est la norme d'assurance Élevée en pratique : vérification de documents plus détection de vivacité biométrique évaluée et approuvée par une autorité de supervision financière nationale, et non une auto-certification.

Pour les entreprises qui se préparent à la conformité eIDAS 2.0, cela signifie :

• Vérification d'identité au standard de niveau LoA Élevé via la vérification d'identité Didit — vérification de document plus détection de vivacité passive ou active plus correspondance faciale, le tout certifié iBeta Niveau 1 PAD et attesté par un gouvernement de l'UE.
• KYC réutilisable (gratuit) — une fois qu'un utilisateur est vérifié par Didit, cette vérification est portable. L'utilisateur ne se vérifie pas à nouveau pour chaque service ; le justificatif et son niveau d'assurance sont fiables en aval.
• Infrastructure attestée par l'UE — construire votre posture de conformité eIDAS 2.0 sur un fournisseur avec une attestation de supervision nationale existante réduit à la fois votre charge de conformité et votre charge d'explicabilité auprès des régulateurs.

À mesure que les obligations d'acceptation du portefeuille EUDI sont introduites progressivement, le pipeline de vérification de Didit sert de complément : les utilisateurs sans portefeuille se vérifient via le flux standard de document et de biométrie ; les utilisateurs présentant un portefeuille complètent le chemin d'acceptation du portefeuille ; les deux convergent vers le même enregistrement de conformité dans votre console d'entreprise.

Foire aux questions

Quand exactement les entreprises doivent-elles accepter les portefeuilles EUDI ?

Le règlement fixe une direction et nomme des catégories d'acceptation obligatoire ; les délais précis varient selon l'État membre, la catégorie de service et les actes d'exécution publiés par la Commission. Les États membres devraient avoir des portefeuilles opérationnels vers 2026, les obligations d'acceptation par le secteur privé étant introduites progressivement à mesure que le déploiement des portefeuilles mûrit. Suivez votre autorité de mise en œuvre nationale et les actes d'exécution pertinents de l'UE pour le calendrier officiel.

Quelle est la différence entre eIDAS 1.0 et eIDAS 2.0 ?

eIDAS 1.0 (2014) a créé un cadre de reconnaissance mutuelle transfrontalière pour les schémas nationaux d'eID. eIDAS 2.0 ajoute un format de portefeuille EUDI commun disponible pour chaque citoyen et entité juridique de l'UE, étend la couverture au secteur privé avec des obligations d'acceptation obligatoire, introduit les attestations électroniques qualifiées d'attributs (QEAA) comme nouveau type de justificatif portable, et élargit le champ d'application des services de confiance réglementés.

L'acceptation des portefeuilles EUDI remplace-t-elle la vérification KYC ?

Non. L'acceptation d'un justificatif présenté par portefeuille est une entrée dans votre programme d'identité. Le niveau d'assurance du justificatif vous indique avec quelle fiabilité l'identité a été établie. Votre programme de conformité détermine toujours le niveau suffisant pour chaque service, et d'autres contrôles — criblage AML (Anti-Blanchiment d'Argent), surveillance continue, surveillance des transactions — s'appliquent toujours.

Combien coûte la vérification d'identité Didit ?

Le flux principal — document d'identité (0,15 $) + détection de vivacité passive (0,10 $) + correspondance faciale (0,05 $) + analyse IP (0,03 $) — coûte 0,33 $ par vérification. 500 vérifications gratuites par mois. Pas de minimums, paiement à l'appel.

Quelle est l'attestation gouvernementale de Didit par l'UE ?

Le Tesoro (Trésor), le BdE (Banque d'Espagne), le SEPBLAC (autorité de supervision anti-blanchiment d'argent) et la CNMV (régulateur des valeurs mobilières) espagnols ont officiellement attesté que le processus de vérification de Didit est plus sûr que l'identification en personne. Il s'agit d'une évaluation par une autorité de supervision nationale — et non d'une auto-certification ou d'un prix de l'industrie. Tous les détails sont disponibles sur le centre de confiance.

Prêt à commencer ?

Lisez la documentation sur la vérification d'identité pour comprendre le pipeline de vérification, consultez le produit complet sur la page produit de vérification d'identité, et vérifiez les prix par appel sur la page des tarifs. Lorsque vous êtes prêt, commencez gratuitement — 500 vérifications gratuites par mois, sans contrat, sans minimum.