Règlement eIDAS 2.0 : la fin du KYC fondé sur les documents
01 juin 2026Pendant des décennies, le contrôle d'identité dans les institutions financières a reposé sur un postulat simple : un document officiel, authentique et valide, suffit à établir l'identité d'une personne. Cette hypothèse a structuré l'ensemble des dispositifs KYC, façonné les parcours d'entrée en relation et défini la manière dont les organisations ont pensé la confiance. Le règlement eIDAS 2.0, entré en vigueur en mai 2024, remet ce postulat en cause. Non pas en ajoutant une nouvelle couche de contrôle documentaire, mais en changeant l'objet même du contrôle : de la vérification de documents isolés à la construction d'une chaîne de confiance continue et vérifiable.
💡 Points clés
- Le règlement eIDAS 2.0 (règlement UE 2024/1183) est entré en vigueur en mai 2024 et fait passer la preuve d'identité du document à des attestations signées cryptographiquement et vérifiables.
- Le portefeuille européen d'identité numérique (EUDIW) est l'instrument central du règlement, et chaque État membre doit le mettre à disposition d'ici fin 2026.
- Trois niveaux d'assurance, faible, substantiel et élevé, permettent d'ajuster le contrôle d'identité au risque réel et rendent opérationnelle l'approche par les risques de l'AMLR.
- D'ici décembre 2027, banques, établissements de paiement et prestataires de services sur actifs numériques devront accepter les credentials eIDAS pour l'authentification forte et l'identification.
- Le vrai défi n'est pas d'ajouter un canal, mais l'orchestration : corréler attestations, documents et signaux comportementaux en décisions explicables.
Ce qu'est réellement le règlement eIDAS 2.0
Le règlement eIDAS 2.0 (règlement UE 2024/1183) est le cadre de l'Union européenne pour l'identification électronique et les services de confiance, entré en vigueur en mai 2024. Il modifie le règlement eIDAS de 2014 et introduit le portefeuille européen d'identité numérique, permettant aux citoyens et aux entreprises de prouver leur identité dans toute l'UE au moyen d'attestations signées cryptographiquement plutôt que de documents papier ou PDF. Pour les institutions financières, il fixe les règles d'acceptation des moyens d'identité numérique dans le KYC et l'authentification.
Ce seul changement emporte une conséquence plus profonde. Il déplace le point de confiance, du support (le document) vers une preuve vérifiable et non reproductible. Un document peut être parfaitement authentique et néanmoins servir un usage frauduleux : volé, détourné ou intégré à une identité synthétique. Une attestation émise sous le règlement eIDAS 2.0 porte sa propre preuve d'origine, ce qu'un document papier ou PDF n'a jamais pu faire.
D'eIDAS 1.0 à eIDAS 2.0 : du cadre de reconnaissance à l'infrastructure d'identité
La différence entre les deux règlements est architecturale. eIDAS 1.0, adopté en 2014, était essentiellement passif. Il a créé un cadre de reconnaissance transfrontalière des signatures électroniques, des cachets et des certificats d'authentification de sites web, garantissant qu'un moyen produit dans un État membre soit accepté dans un autre. Cela a sécurisé des transactions, mais n'a jamais répondu à la question plus difficile de l'identité numérique : comment prouver qui l'on est en ligne sans répéter un contrôle documentaire à chaque interaction.
eIDAS 2.0 répond à cette question en émettant l'identité plutôt qu'en se contentant de la reconnaître. Au lieu d'un document à présenter et à re-vérifier, l'identité devient un ensemble d'attestations signées cryptographiquement que le titulaire contrôle et partage de manière sélective, via le portefeuille européen d'identité numérique (EUDIW) que chaque État membre doit mettre à disposition d'ici fin 2026. Le règlement cesse d'être une couche de reconnaissance pour devenir une infrastructure d'identité.
Le portefeuille européen d'identité numérique : des attestations vérifiables, pas des documents numérisés
L'EUDIW ne doit pas être compris comme une « carte d'identité numérique » au sens traditionnel. Il fonctionne comme un système producteur d'attestations vérifiables, émises par des prestataires de services de confiance qualifiés (QTSP) et portant sur différents attributs d'identité : données civiles, qualifications professionnelles, permis de conduire, diplômes.
La différence fondamentale avec un document PDF ou une photo de passeport tient à la nature de la preuve produite. Une attestation eIDAS est signée cryptographiquement par l'autorité émettrice, horodatée, et peut être vérifiée sans interroger de nouveau cette autorité. Cette architecture crée un ancrage certifié que l'intelligence artificielle générative, capable aujourd'hui de produire en masse de faux documents visuellement parfaits, ne peut pas reproduire.
Pour les institutions financières, cela change la nature du contrôle KYC. Au lieu de collecter des copies de documents hétérogènes et non structurées, parfois périmées au moment de leur utilisation, elles reçoivent des attributs vérifiés à la source, exploitables par machine, dont la validité est prouvée cryptographiquement. L'EUDIW ne remplace pas tous les contrôles : il déplace le point de confiance, de la vérification manuelle de l'authenticité documentaire vers la validation automatisée d'attestations numériques dont l'intégrité est garantie par la cryptographie.
Niveaux d'assurance du règlement eIDAS 2.0 : la proportionnalité du risque enfin opérationnelle
Le règlement eIDAS 2.0 définit trois niveaux d'assurance : faible, substantiel et élevé. Cette gradation traduit concrètement le principe de proportionnalité du risque que l'AMLR impose désormais aux institutions financières.
Un wallet à niveau d'assurance élevé certifie que l'identité a été vérifiée en présence physique, avec contrôle d'un document authentique et capture biométrique incluant la détection du vivant pour prévenir les attaques par présentation (deepfakes, photos, vidéos). Pour une institution financière qui accepte un credential EUDIW à niveau élevé, l'essentiel du risque de vérification initiale a déjà été supporté par l'autorité émettrice qualifiée.
Les diligences complémentaires peuvent alors être allégées tout en augmentant le niveau de confiance réel, car la preuve produite est cryptographique et non reproductible. Cette équation, moins de frictions documentaires et davantage de fiabilité probatoire, est exactement ce qu'appelle le cadre de vigilance fondée sur les risques de l'AMLR : démontrer que le niveau de contrôle est adapté au risque réel, et non appliqué de manière indifférenciée. À l'inverse, un niveau substantiel peut suffire pour des opérations à moindre risque, autorisant une approche différenciée plutôt que l'uniformisation actuelle des contrôles.
Pacquet AML : de la vigilance harmonisée à la conformité stratégique
L'AMLR arrive. Êtes-vous réellement prêt ?
AMLA et normalisation technique : comment le Pack AML6 construit un véritable single rulebook européen
Du KYC périodique au KYC perpétuel (pKYC) : pourquoi les modèles historiques ne fonctionnent plus et ce que change l’IA
Le calendrier du règlement eIDAS 2.0 : septembre 2026 et décembre 2027
Deux dates structurent la mise en œuvre du règlement eIDAS 2.0 pour les institutions financières. D'ici septembre à décembre 2026, chaque État membre doit mettre à disposition un wallet conforme. En décembre 2027, les entités du secteur régulé, banques, établissements de paiement et prestataires de services sur actifs numériques, devront accepter les credentials eIDAS comme moyen d'authentification forte et d'identification.
Cette seconde échéance marque le passage à une obligation d'acceptation qui impose de repenser les architectures d'entrée en relation et d'authentification. Les institutions devront adapter leurs parcours d'authentification forte (SCA, Strong Customer Authentication) pour accepter les credentials EUDIW, ce qui implique des modifications des systèmes d'information, des processus de back-office et des politiques de risque.
Pour les responsables conformité et les officiers AML/KYC, les 18 prochains mois sont décisifs. Il ne s'agit pas seulement d'ajouter un nouveau canal d'entrée en relation, mais de préparer la coexistence orchestrée de plusieurs moyens d'identification : documents traditionnels pour les clients non équipés, credentials EUDIW pour ceux qui le sont, et la capacité à corréler ces sources en une vision cohérente de l'identité contrôlée.
Vérification et authentification : la distinction que le règlement impose de maîtriser
Une confusion persiste dans la plupart des architectures numériques, y compris dans des environnements fortement régulés : celle entre vérification d'identité et authentification. Les deux notions sont souvent employées comme synonymes, alors qu'elles recouvrent des fonctions radicalement différentes, et leur mauvaise articulation constitue aujourd'hui un point de fragilité majeur des dispositifs de conformité.
La vérification d'identité établit, à un instant T, que les attributs présentés (nom, prénom, date de naissance, adresse) sont cohérents et correspondent à une identité réelle. C'est ce qui se produit lors de l'entrée en relation. Mais elle ne prouve rien quant à la personne qui, trois mois plus tard, se connectera au compte, modifiera des coordonnées ou initiera un virement sensible. L'authentification prouve que la personne qui interagit est bien celle qui a été vérifiée initialement, tout au long du cycle de vie de la relation. Sans authentification continue et adaptée au risque, la meilleure vérification initiale devient un angle mort pour l'usurpation post-entrée en relation.
Le règlement eIDAS 2.0 structure cette chaîne de confiance continue. Le wallet ne sert pas qu'à l'entrée en relation : il peut ré-authentifier le client lors d'opérations sensibles, en fournissant une preuve cryptographique que c'est bien le détenteur légitime du wallet qui agit. Cette continuité transforme la conformité d'un exercice ponctuel (vérifier à l'entrée) en un système dynamique qui maintient la confiance dans le temps.
L'orchestration d'identité : le défi opérationnel central
L'arrivée de l'EUDIW ne signifie pas que les institutions financières abandonneront du jour au lendemain la vérification documentaire traditionnelle. La transition sera progressive, avec une période prolongée de coexistence entre parcours documentaires classiques et parcours fondés sur les credentials EUDIW.
Le vrai défi ne réside pas dans l'ajout d'un canal, mais dans l'orchestration : la capacité à corréler des signaux issus de sources hétérogènes (attestations EUDIW, documents traditionnels, empreinte numérique, comportements observés) pour construire une compréhension cohérente et évolutive de l'identité. Additionner des contrôles ne suffit plus. Ce qui fait la différence, c'est la capacité à pondérer ces signaux selon le contexte et à les traduire en décisions explicables.
Les plateformes d'orchestration d'identité pour l'ère eIDAS 2.0 combinent vérification documentaire traditionnelle, biométrie avec détection du vivant, validation d'attestations EUDIW et authentification forte continue. Cette approche modulaire maintient l'inclusion, car tous les clients ne seront pas équipés d'un wallet immédiatement, tout en construisant progressivement les capacités nécessaires à une conformité native plutôt que subie.
Ce que les institutions financières doivent faire maintenant
Bien que le cadre réglementaire eIDAS 2.0 soit adopté, de nombreuses questions de mise en œuvre restent ouvertes et feront l'objet de spécifications techniques élaborées jusqu'en 2027. Les institutions doivent suivre l'évolution de ces standards, notamment les mécanismes de révocation des attestations, l'interopérabilité entre wallets nationaux et les schémas d'attributs standardisés définis dans l'Architecture and Reference Framework du portefeuille européen.
L'enjeu n'est pas d'attendre que tout soit finalisé pour agir, mais de commencer dès maintenant à bâtir des architectures suffisamment flexibles pour absorber ces évolutions. Les organisations qui abordent le règlement eIDAS 2.0 comme un simple ajout de conformité technique passeront à côté de l'essentiel : l'opportunité de repenser la maîtrise du risque identitaire en passant d'une vérification documentaire fragmentée à l'orchestration d'identités vérifiables.
Conclusion
Le règlement eIDAS 2.0 n'est pas un document de plus à archiver. Il redéfinit ce qui fait preuve d'identité dans l'Union européenne et donne aux institutions financières un moyen reconnu de faire confiance à des credentials numériques de niveau substantiel ou élevé. Les institutions qui prépareront leurs capacités d'entrée en relation, d'authentification et d'orchestration avant décembre 2027 ne se contenteront pas de respecter l'obligation : elles en feront un avantage structurel en matière de prévention de la fraude et d'expérience client.
Questions fréquentes sur le règlement eIDAS 2.0
Qu'est-ce que le règlement eIDAS 2.0 ?
Le règlement eIDAS 2.0 (règlement UE 2024/1183) est le cadre européen pour l'identification électronique et les services de confiance, entré en vigueur en mai 2024. Il modifie le règlement eIDAS de 2014 et introduit le portefeuille européen d'identité numérique, permettant de prouver son identité dans toute l'UE au moyen d'attestations signées cryptographiquement plutôt que de documents.
Que signifie eIDAS ?
eIDAS signifie « electronic IDentification, Authentication and trust Services », soit identification électronique, authentification et services de confiance. C'est le règlement européen qui régit la reconnaissance des identités électroniques, signatures, cachets et services de confiance entre États membres. eIDAS 2.0 en est la révision de 2024, qui ajoute le portefeuille européen d'identité numérique.
Quand le règlement eIDAS 2.0 s'applique-t-il aux institutions financières ?
Deux dates comptent. D'ici fin 2026, chaque État membre doit mettre à disposition un portefeuille européen d'identité numérique conforme. D'ici décembre 2027, les entités régulées comme les banques, les établissements de paiement et les prestataires de services sur actifs numériques devront accepter les credentials eIDAS pour l'authentification forte et l'identification.
Qu'est-ce que le portefeuille européen d'identité numérique dans eIDAS 2.0 ?
Le portefeuille européen d'identité numérique (EUDIW) est l'instrument central du règlement eIDAS 2.0. Il stocke des attestations d'identité signées cryptographiquement, émises par des prestataires de services de confiance qualifiés, que l'utilisateur partage de manière sélective. Pour les institutions financières, il fournit des attributs vérifiés à la source plutôt que des copies de documents déclaratives.
Comment les institutions financières doivent-elles se préparer au règlement eIDAS 2.0 ?
Elles doivent cartographier leurs méthodes actuelles de vérification et d'authentification, identifier les parcours encore purement documentaires, et bâtir une orchestration capable de combiner attestations du wallet et contrôles traditionnels. Commencer avant l'échéance de 2027 permet une transition progressive plutôt qu'une refonte précipitée.
Harmoney propose une plateforme numérique de pointe qui simplifie les procédures d'onboarding et de conformité, avec des fonctionnalités de screening automatisé. Vous souhaitez en savoir plus sur notre solution innovante ? Contactez-nous pour plus d'informations ou restez informé via notre newsletter ⬇️.