Le portefeuille d'identité numérique européen est largement présenté dans les médias grand public comme un outil pratique pour les citoyens : une application permettant de stocker sa carte d'identité, son permis de conduire ou ses diplômes. Cette vision est exacte en surface, mais elle passe à côté du changement architectural que le portefeuille introduit pour les institutions financières. Le portefeuille n'est pas un conteneur de documents numérisés. C'est un système qui produit des attestations vérifiables, et ce seul fait transforme la manière dont les organisations construisent la confiance identitaire dans leurs processus KYC.
Le portefeuille d'identité numérique européen est une application émise par chaque État membre qui contient des attestations signées cryptographiquement portant sur les attributs d'identité vérifiés d'une personne, émises par des prestataires de confiance accrédités, que les institutions financières peuvent vérifier en temps réel au lieu de collecter et de re-contrôler des copies de documents. C'est la définition sur laquelle s'appuyer, car tout le reste en découle.
La différence fondamentale entre un PDF scanné et une attestation du portefeuille tient à la nature de l'information portée. Un document traditionnel, même authentique, reste une représentation visuelle conçue pour être lue par un humain. Il peut être copié, falsifié à l'aide d'outils d'IA générative ou réutilisé hors contexte, et sa validité repose sur la capacité de celui qui le contrôle à en repérer les anomalies.
Une attestation du portefeuille fonctionne différemment. Elle est émise par une autorité qualifiée, signée cryptographiquement, horodatée et structurée sous forme de données lisibles par machine. Elle ne contient pas une photo de votre passeport, mais les attributs vérifiés que ce passeport certifie : nom, prénom, date de naissance, nationalité, validité du document. Chaque attribut est signé numériquement, créant une preuve cryptographique que l'intelligence artificielle, aussi sophistiquée soit-elle, ne peut pas falsifier.
Cette architecture répond à une vulnérabilité que le secteur financier connaît bien : l'industrialisation de la fraude documentaire. L'IA générative a abaissé les barrières techniques et financières de la falsification au point où produire en masse de faux documents visuellement parfaits, voire des deepfakes qui contournent la vérification biométrique, est devenu trivial. Dans ce contexte, vérifier l'apparence d'un document ne garantit plus rien. Ce qui fait la différence, c'est la capacité à vérifier une signature cryptographique émise par une autorité de confiance, ce que l'EUDIW fournit précisément.
Le portefeuille introduit un mécanisme rarement présent dans les parcours KYC actuels : la divulgation sélective. Au lieu de transmettre un document entier avec toutes les informations qu'il contient, y compris des données non nécessaires à la transaction, l'utilisateur peut choisir de ne partager que les attributs strictement requis.
Un exemple concret : une institution financière doit vérifier qu'un client est majeur pour ouvrir un compte. Avec un document traditionnel, le client transmet sa date de naissance exacte, son lieu de naissance et souvent son adresse complète. Avec le portefeuille, il peut transmettre uniquement une preuve cryptographique de sa majorité, sans révéler sa date de naissance précise.
Ce n'est pas un détail mineur. Cela répond directement à l'un des angles morts majeurs du KYC traditionnel : la sur-collecte de données personnelles. Plus une institution collecte et stocke de données, plus elle s'expose au risque de fuite. Et dans l'environnement actuel, marqué par des fuites massives touchant des dizaines de millions de citoyens français (Viamedis, Cegedim Santé, Free Mobile, SFR), cette exposition devient systémique.
Les données exfiltrées ne disparaissent pas. Elles circulent, sont revendues et s'accumulent sur des places de marché criminelles pour former des kits d'identité : des ensembles cohérents d'attributs réels, suffisamment complets pour franchir un contrôle documentaire classique des mois ou des années après l'incident initial. La divulgation sélective inverse cette logique. Moins de données collectées signifie une moindre surface d'exposition, donc une moindre vulnérabilité à l'usurpation après une fuite, et un meilleur alignement avec les principes de minimisation des données du RGPD.
La confiance dans une attestation du portefeuille repose sur la chaîne d'émission. Les credentials ne sont pas auto-déclarés par l'utilisateur. Ils sont émis par des prestataires de services de confiance qualifiés (QTSP), accrédités et supervisés au niveau national. Ces prestataires jouent un rôle équivalent à celui des autorités de certification dans le règlement eIDAS 2.0 (règlement (UE) 2024/1183) et sa filiation issue de la signature électronique : ils certifient que les attributs contenus dans le portefeuille ont été vérifiés selon des procédures conformes aux niveaux d'assurance requis.
Pour une institution financière qui accepte un credential EUDIW, cela signifie que le risque de vérification initiale a déjà été supporté par une autorité de confiance accréditée. L'institution n'a plus à refaire l'ensemble des contrôles documentaires. Elle vérifie cryptographiquement que l'attestation est valide, non révoquée, émise par un QTSP accrédité, et correspond au niveau d'assurance requis pour l'opération envisagée.
Cette redistribution du risque est fondamentale. Elle fait passer le secteur d'un modèle où chaque acteur vérifie indépendamment les mêmes documents, avec des efforts dupliqués, des incohérences et des retards, à un modèle où la vérification initiale est mutualisée via une infrastructure de confiance commune. C'est précisément le modèle de conformité native : la confiance est construite à la source, dans l'architecture, plutôt qu'ajoutée après coup par des contrôles KYC redondants.
L'interaction entre une institution financière, la partie utilisatrice, et le portefeuille d'identité numérique européen suit un schéma standardisé actuellement en cours de finalisation au niveau européen. Le parcours d'entrée en relation type se déroule en quatre étapes :
Le parcours d'entrée en relation avec le portefeuille d'identité numérique européen : l'institution demande les attributs, le détenteur autorise, les credentials signés sont transmis, et l'institution les vérifie automatiquement.
Ce qui change fondamentalement par rapport à un parcours documentaire classique, c'est l'entrée elle-même : l'institution reçoit des données structurées, lisibles par machine et vérifiables en temps réel. Il n'y a plus de ressaisie manuelle, de comparaison visuelle ni d'interprétation de formats hétérogènes. Le contrôle devient automatisable sans perte de fiabilité. Au contraire, la fiabilité augmente, car elle repose sur une preuve cryptographique plutôt que sur un jugement humain nécessairement faillible.
Les niveaux d'assurance définis par le règlement, faible, substantiel et élevé, ne sont pas des catégories abstraites. Ils traduisent opérationnellement le degré de confiance qu'une institution peut accorder à une identité vérifiée, et donc le niveau de vigilance complémentaire nécessaire.
Un credential à niveau d'assurance élevé certifie que l'identité a été vérifiée en présence physique, avec le contrôle d'un document authentique et une capture biométrique incluant une détection du vivant pour repérer les deepfakes et les attaques par présentation. Pour une banque ou un établissement de paiement, accepter un credential à assurance élevée signifie que l'essentiel du risque d'usurpation initiale est déjà maîtrisé par l'autorité émettrice.
Conséquence directe : les institutions peuvent alléger considérablement les contrôles redondants. Il n'est pas nécessaire de redemander un selfie avec une pièce d'identité si une vérification biométrique avec détection du vivant a déjà été réalisée par un QTSP accrédité. Dans le même temps, le niveau de confiance réel augmente. Cette équation, une documentation réduite combinée à une valeur probante accrue, est exactement ce que le cadre de vigilance fondée sur les risques de l'AMLR (règlement (UE) 2024/1624) appelle de ses vœux : des contrôles proportionnés au risque, démontrables et efficaces.
L'échéance de décembre 2027 impose aux entités du secteur régulé, banques, établissements de paiement et prestataires de services sur actifs numériques, d'accepter les credentials EUDIW comme moyen d'identification et d'authentification forte. Cette obligation n'est pas optionnelle. Elle s'applique dans le cadre des exigences d'authentification forte du client (SCA) déjà en vigueur pour les services de paiement.
Concrètement, les institutions doivent adapter quatre choses :
Cette transformation ne peut pas être traitée uniquement comme un projet informatique. Elle impose de repenser la manière dont les organisations conçoivent la confiance identitaire : passer d'une logique de collecte, archivage, vérification à une logique qui reçoit des preuves vérifiables, orchestre les signaux et maintient la cohérence dans le temps.
Les institutions qui saisissent le portefeuille d'identité numérique européen ne le traiteront pas comme un document de plus à contrôler. Elles y verront le basculement architectural qu'il permet : de la conformité documentaire à la conformité intégrée à l'infrastructure. Le portefeuille n'est pas un canal supplémentaire greffé sur un processus existant. C'est la couche qui rend enfin possible une conformité proportionnée, automatisée et démontrable. Avec l'obligation d'acceptation qui arrive en décembre 2027, les institutions qui se préparent dès maintenant transformeront une exigence réglementaire en avantage opérationnel.
Le portefeuille d'identité numérique européen (EUDIW) est une application que chaque État membre de l'UE doit mettre à disposition, permettant aux citoyens et aux entreprises de stocker et de partager des preuves signées cryptographiquement de leurs attributs d'identité. Pour les institutions financières, il fournit des données d'identité vérifiées et lisibles par machine, contrôlables en temps réel plutôt que de s'appuyer sur des documents scannés.
Un document scanné est une représentation visuelle qui peut être copiée ou falsifiée, et sa validité dépend de la capacité d'un humain à repérer les anomalies. Une attestation EUDIW est signée cryptographiquement, horodatée et lisible par machine, émise par une autorité accréditée. Son origine est prouvable, ce qu'un PDF ou une photo ne pourra jamais offrir.
D'ici décembre 2027, les entités régulées, dont les banques, les établissements de paiement et les prestataires de services sur actifs numériques, devront accepter les credentials du portefeuille pour l'identification et l'authentification forte. Cette obligation s'inscrit dans les exigences d'authentification forte du client existantes et n'est pas optionnelle.
Oui, lorsque le credential porte un niveau d'assurance élevé. Comme la vérification d'identité initiale a déjà été réalisée et garantie par un prestataire qualifié, les institutions peuvent supprimer des contrôles redondants, comme les vérifications répétées par selfie, tandis que le niveau de confiance réel augmente.
Les prestataires de services de confiance qualifiés (QTSP), accrédités et supervisés au niveau national, émettent et garantissent les credentials du portefeuille. Ils certifient que les attributs ont été vérifiés au niveau d'assurance requis, de sorte que le risque de vérification est supporté à la source plutôt que répété par chaque institution.
Harmoney propose une plateforme numérique de pointe qui simplifie les procédures d'onboarding et de conformité, avec des fonctionnalités de screening automatisé. Vous souhaitez en savoir plus sur notre solution innovante ? Contactez-nous pour plus d'informations ou restez informé via notre newsletter ⬇️.