The European Digital Identity Wallet

07 juillet 2026

Le portefeuille d'identité numérique européen est largement présenté dans les médias grand public comme un outil pratique pour les citoyens : une application permettant de stocker sa carte d'identité, son permis de conduire ou ses diplômes. Cette vision est exacte en surface, mais elle passe à côté du changement architectural que le portefeuille introduit pour les institutions financières. Le portefeuille n'est pas un conteneur de documents numérisés. C'est un système qui produit des attestations vérifiables, et ce seul fait transforme la manière dont les organisations construisent la confiance identitaire dans leurs processus KYC.

European Digital Identity Wallet banner


💡 Points clés

  • Le portefeuille d'identité numérique européen n'est pas un stockage de documents numérisés. Il produit des attestations signées cryptographiquement et lisibles par machine, émises par des autorités accréditées.
  • La divulgation sélective permet à un client de prouver un seul attribut, comme le fait d'être majeur, sans révéler le document sous-jacent, ce qui réduit directement l'exposition aux fuites de données.
  • Les prestataires de services de confiance qualifiés émettent et garantissent les credentials EUDIW, de sorte que le risque de vérification initiale est supporté à la source plutôt que répété par chaque institution.
  • Un niveau d'assurance élevé signifie que l'essentiel du risque d'usurpation initiale est déjà maîtrisé, ce qui permet aux institutions d'alléger les contrôles redondants tout en renforçant la confiance réelle.
  • D'ici décembre 2027, les banques, les établissements de paiement et les prestataires de services sur actifs numériques devront accepter les credentials EUDIW pour l'identification et l'authentification forte.

Ce que contient réellement le portefeuille d'identité numérique européen : des attributs attestés, pas des copies de documents

Le portefeuille d'identité numérique européen est une application émise par chaque État membre qui contient des attestations signées cryptographiquement portant sur les attributs d'identité vérifiés d'une personne, émises par des prestataires de confiance accrédités, que les institutions financières peuvent vérifier en temps réel au lieu de collecter et de re-contrôler des copies de documents. C'est la définition sur laquelle s'appuyer, car tout le reste en découle.

La différence fondamentale entre un PDF scanné et une attestation du portefeuille tient à la nature de l'information portée. Un document traditionnel, même authentique, reste une représentation visuelle conçue pour être lue par un humain. Il peut être copié, falsifié à l'aide d'outils d'IA générative ou réutilisé hors contexte, et sa validité repose sur la capacité de celui qui le contrôle à en repérer les anomalies.

Une attestation du portefeuille fonctionne différemment. Elle est émise par une autorité qualifiée, signée cryptographiquement, horodatée et structurée sous forme de données lisibles par machine. Elle ne contient pas une photo de votre passeport, mais les attributs vérifiés que ce passeport certifie : nom, prénom, date de naissance, nationalité, validité du document. Chaque attribut est signé numériquement, créant une preuve cryptographique que l'intelligence artificielle, aussi sophistiquée soit-elle, ne peut pas falsifier.

Cette architecture répond à une vulnérabilité que le secteur financier connaît bien : l'industrialisation de la fraude documentaire. L'IA générative a abaissé les barrières techniques et financières de la falsification au point où produire en masse de faux documents visuellement parfaits, voire des deepfakes qui contournent la vérification biométrique, est devenu trivial. Dans ce contexte, vérifier l'apparence d'un document ne garantit plus rien. Ce qui fait la différence, c'est la capacité à vérifier une signature cryptographique émise par une autorité de confiance, ce que l'EUDIW fournit précisément.

Divulgation sélective : minimiser l'exposition aux fuites de données

Le portefeuille introduit un mécanisme rarement présent dans les parcours KYC actuels : la divulgation sélective. Au lieu de transmettre un document entier avec toutes les informations qu'il contient, y compris des données non nécessaires à la transaction, l'utilisateur peut choisir de ne partager que les attributs strictement requis.

Un exemple concret : une institution financière doit vérifier qu'un client est majeur pour ouvrir un compte. Avec un document traditionnel, le client transmet sa date de naissance exacte, son lieu de naissance et souvent son adresse complète. Avec le portefeuille, il peut transmettre uniquement une preuve cryptographique de sa majorité, sans révéler sa date de naissance précise.

Ce n'est pas un détail mineur. Cela répond directement à l'un des angles morts majeurs du KYC traditionnel : la sur-collecte de données personnelles. Plus une institution collecte et stocke de données, plus elle s'expose au risque de fuite. Et dans l'environnement actuel, marqué par des fuites massives touchant des dizaines de millions de citoyens français (Viamedis, Cegedim Santé, Free Mobile, SFR), cette exposition devient systémique.

Les données exfiltrées ne disparaissent pas. Elles circulent, sont revendues et s'accumulent sur des places de marché criminelles pour former des kits d'identité : des ensembles cohérents d'attributs réels, suffisamment complets pour franchir un contrôle documentaire classique des mois ou des années après l'incident initial. La divulgation sélective inverse cette logique. Moins de données collectées signifie une moindre surface d'exposition, donc une moindre vulnérabilité à l'usurpation après une fuite, et un meilleur alignement avec les principes de minimisation des données du RGPD.

Qui émet et valide les credentials EUDIW : le rôle des prestataires de services de confiance qualifiés

La confiance dans une attestation du portefeuille repose sur la chaîne d'émission. Les credentials ne sont pas auto-déclarés par l'utilisateur. Ils sont émis par des prestataires de services de confiance qualifiés (QTSP), accrédités et supervisés au niveau national. Ces prestataires jouent un rôle équivalent à celui des autorités de certification dans le règlement eIDAS 2.0 (règlement (UE) 2024/1183) et sa filiation issue de la signature électronique : ils certifient que les attributs contenus dans le portefeuille ont été vérifiés selon des procédures conformes aux niveaux d'assurance requis.

Pour une institution financière qui accepte un credential EUDIW, cela signifie que le risque de vérification initiale a déjà été supporté par une autorité de confiance accréditée. L'institution n'a plus à refaire l'ensemble des contrôles documentaires. Elle vérifie cryptographiquement que l'attestation est valide, non révoquée, émise par un QTSP accrédité, et correspond au niveau d'assurance requis pour l'opération envisagée.

Cette redistribution du risque est fondamentale. Elle fait passer le secteur d'un modèle où chaque acteur vérifie indépendamment les mêmes documents, avec des efforts dupliqués, des incohérences et des retards, à un modèle où la vérification initiale est mutualisée via une infrastructure de confiance commune. C'est précisément le modèle de conformité native : la confiance est construite à la source, dans l'architecture, plutôt qu'ajoutée après coup par des contrôles KYC redondants.

Comment les institutions financières interagissent avec le portefeuille lors de l'entrée en relation

L'interaction entre une institution financière, la partie utilisatrice, et le portefeuille d'identité numérique européen suit un schéma standardisé actuellement en cours de finalisation au niveau européen. Le parcours d'entrée en relation type se déroule en quatre étapes :

  1. Demande d'attributs. L'institution précise quels attributs elle requiert, par exemple l'identité civile, un justificatif de domicile et un niveau d'assurance minimum.
  2. Autorisation de l'utilisateur. Le détenteur du portefeuille reçoit la demande dans son application, voit quels attributs sont demandés, et autorise ou refuse le partage.
  3. Transmission cryptographique. Si l'utilisateur accepte, les attributs sélectionnés sont transmis sous forme de credentials signés, accompagnés de preuves cryptographiques de leur validité.
  4. Vérification automatisée. L'institution vérifie la signature du QTSP émetteur, contrôle que le credential n'a pas été révoqué et valide que le niveau d'assurance correspond au risque de l'opération.

Le parcours d'entrée en relation avec le portefeuille d'identité numérique européen : l'institution demande les attributs, le détenteur autorise, les credentials signés sont transmis, et l'institution les vérifie automatiquement.

Ce qui change fondamentalement par rapport à un parcours documentaire classique, c'est l'entrée elle-même : l'institution reçoit des données structurées, lisibles par machine et vérifiables en temps réel. Il n'y a plus de ressaisie manuelle, de comparaison visuelle ni d'interprétation de formats hétérogènes. Le contrôle devient automatisable sans perte de fiabilité. Au contraire, la fiabilité augmente, car elle repose sur une preuve cryptographique plutôt que sur un jugement humain nécessairement faillible.

Niveau d'assurance élevé : ce que cela signifie concrètement pour le KYC

Les niveaux d'assurance définis par le règlement, faible, substantiel et élevé, ne sont pas des catégories abstraites. Ils traduisent opérationnellement le degré de confiance qu'une institution peut accorder à une identité vérifiée, et donc le niveau de vigilance complémentaire nécessaire.

Un credential à niveau d'assurance élevé certifie que l'identité a été vérifiée en présence physique, avec le contrôle d'un document authentique et une capture biométrique incluant une détection du vivant pour repérer les deepfakes et les attaques par présentation. Pour une banque ou un établissement de paiement, accepter un credential à assurance élevée signifie que l'essentiel du risque d'usurpation initiale est déjà maîtrisé par l'autorité émettrice.

Conséquence directe : les institutions peuvent alléger considérablement les contrôles redondants. Il n'est pas nécessaire de redemander un selfie avec une pièce d'identité si une vérification biométrique avec détection du vivant a déjà été réalisée par un QTSP accrédité. Dans le même temps, le niveau de confiance réel augmente. Cette équation, une documentation réduite combinée à une valeur probante accrue, est exactement ce que le cadre de vigilance fondée sur les risques de l'AMLR (règlement (UE) 2024/1624) appelle de ses vœux : des contrôles proportionnés au risque, démontrables et efficaces.

L'obligation d'acceptation de 2027 : implications techniques et organisationnelles

L'échéance de décembre 2027 impose aux entités du secteur régulé, banques, établissements de paiement et prestataires de services sur actifs numériques, d'accepter les credentials EUDIW comme moyen d'identification et d'authentification forte. Cette obligation n'est pas optionnelle. Elle s'applique dans le cadre des exigences d'authentification forte du client (SCA) déjà en vigueur pour les services de paiement.

Concrètement, les institutions doivent adapter quatre choses :

  • Leurs parcours d'entrée en relation, pour intégrer le portefeuille comme canal de vérification d'identité, aux côtés des moyens documentaires traditionnels pour les clients qui ne sont pas encore équipés.
  • Leurs systèmes d'authentification forte, pour accepter les credentials du portefeuille lors des connexions, des modifications de coordonnées sensibles ou des opérations à risque élevé.
  • Leurs architectures de back-office, pour traiter des données structurées issues des credentials plutôt que des documents scannés nécessitant une ressaisie et une interprétation manuelle.
  • Leurs politiques de risque, pour intégrer les niveaux d'assurance dans leurs grilles d'évaluation et ajuster la vigilance complémentaire selon le niveau de credential présenté.

Cette transformation ne peut pas être traitée uniquement comme un projet informatique. Elle impose de repenser la manière dont les organisations conçoivent la confiance identitaire : passer d'une logique de collecte, archivage, vérification à une logique qui reçoit des preuves vérifiables, orchestre les signaux et maintient la cohérence dans le temps.

Conclusion

Les institutions qui saisissent le portefeuille d'identité numérique européen ne le traiteront pas comme un document de plus à contrôler. Elles y verront le basculement architectural qu'il permet : de la conformité documentaire à la conformité intégrée à l'infrastructure. Le portefeuille n'est pas un canal supplémentaire greffé sur un processus existant. C'est la couche qui rend enfin possible une conformité proportionnée, automatisée et démontrable. Avec l'obligation d'acceptation qui arrive en décembre 2027, les institutions qui se préparent dès maintenant transformeront une exigence réglementaire en avantage opérationnel.

Foire aux questions sur le portefeuille d'identité numérique européen

Qu'est-ce que le portefeuille d'identité numérique européen ?

Le portefeuille d'identité numérique européen (EUDIW) est une application que chaque État membre de l'UE doit mettre à disposition, permettant aux citoyens et aux entreprises de stocker et de partager des preuves signées cryptographiquement de leurs attributs d'identité. Pour les institutions financières, il fournit des données d'identité vérifiées et lisibles par machine, contrôlables en temps réel plutôt que de s'appuyer sur des documents scannés.

En quoi une attestation du portefeuille diffère-t-elle d'un document scanné ?

Un document scanné est une représentation visuelle qui peut être copiée ou falsifiée, et sa validité dépend de la capacité d'un humain à repérer les anomalies. Une attestation EUDIW est signée cryptographiquement, horodatée et lisible par machine, émise par une autorité accréditée. Son origine est prouvable, ce qu'un PDF ou une photo ne pourra jamais offrir.

Quand les institutions financières doivent-elles accepter le portefeuille ?

D'ici décembre 2027, les entités régulées, dont les banques, les établissements de paiement et les prestataires de services sur actifs numériques, devront accepter les credentials du portefeuille pour l'identification et l'authentification forte. Cette obligation s'inscrit dans les exigences d'authentification forte du client existantes et n'est pas optionnelle.

Accepter les credentials du portefeuille réduit-il le travail de KYC ?

Oui, lorsque le credential porte un niveau d'assurance élevé. Comme la vérification d'identité initiale a déjà été réalisée et garantie par un prestataire qualifié, les institutions peuvent supprimer des contrôles redondants, comme les vérifications répétées par selfie, tandis que le niveau de confiance réel augmente.

Qui émet et garantit les credentials du portefeuille ?

Les prestataires de services de confiance qualifiés (QTSP), accrédités et supervisés au niveau national, émettent et garantissent les credentials du portefeuille. Ils certifient que les attributs ont été vérifiés au niveau d'assurance requis, de sorte que le risque de vérification est supporté à la source plutôt que répété par chaque institution.

Harmoney propose une plateforme numérique de pointe qui simplifie les procédures d'onboarding et de conformité, avec des fonctionnalités de screening automatisé. Vous souhaitez en savoir plus sur notre solution innovante ? Contactez-nous pour plus d'informations ou restez informé via notre newsletter ⬇️.

Ce site est protégé par reCAPTCHA et les Politique de confidentialité de Google ainsi que les Conditions d'utilisation s'appliquent.

Derniers articles