Le portefeuille européen d’identité numérique

Une question posée par une utilisatrice de notre communauté a déclenché cet article. Elle venait de renouveler sa carte d’identité et on lui avait proposé une « identité numérique » sans vraiment lui expliquer de quoi il retournait. Elle a dit non et se demande aujourd’hui si elle a bien fait. C’est exactement le genre de question qui mérite mieux qu’une réponse rapide. La voici.
 

D’abord, un peu de contexte : pourquoi tout ça arrive maintenant ?

 
S’identifier en ligne est une opération à la fois banale et mal résolue. On crée un compte ici, on en ouvre un autre là, on envoie des scans de pièces d’identité à des acteurs qu’on ne connaît pas, on se connecte via Google ou Facebook faute de mieux. Et on a rarement une idée claire de ce que deviennent nos données dans la foulée.

La présidente de la Commission européenne Ursula von der Leyen résumait bien le problème : « Chaque fois qu’une application ou un site web nous propose de créer une nouvelle identité numérique ou de nous connecter facilement via une grande plateforme, nous n’avons aucune idée de ce que deviennent nos données. » Ce constat est au cœur d’une évolution réglementaire majeure : le règlement eIDAS 2.0, entré en vigueur le 20 mai 2024. Son outil principal : le Portefeuille Européen d’Identité Numérique, ou EUDI Wallet.

C’est une réponse directe à la domination de modèles d’identification contrôlés par des plateformes privées non européennes. Google et Apple proposent déjà leurs propres systèmes d’identité numérique, largement adoptés par défaut. L’enjeu du Wallet européen est de remettre les citoyens et les États, en position de maîtriser leurs propres données d’identité, sans dépendre d’acteurs soumis à des législations extraterritoriales comme le Cloud Act américain.
 

Concrètement, de quoi s’agit-il ?

 
Un portefeuille d’identité numérique, c’est une application sur smartphone qui permet de stocker, gérer et partager des éléments d’identité de façon sécurisée. Pas seulement votre carte d’identité : aussi votre permis de conduire, votre carte Vitale, un diplôme, une ordonnance médicale, un justificatif de domicile…

Le principe fondamental : vous gardez vos données et vous choisissez quoi partager, avec qui, et à quel moment.

L’avancée technique la plus notable s’appelle la divulgation sélective. Si un site vous demande de prouver que vous êtes majeure, le portefeuille peut confirmer « oui, cette personne a l’âge requis » sans révéler votre date de naissance exacte, votre adresse ou votre numéro de carte d’identité. C’est la technologie au service de la vie privée, une approche que la CNIL elle-même soutient, recommandant explicitement de ne pas exiger de pièce d’identité complète pour de simples vérifications en ligne.

Techniquement, lors d’une transaction, le portefeuille génère une preuve cryptographique, souvent sous forme de QR code ou via NFC, que le destinataire peut vérifier instantanément.
 

Et en France, qu’est-ce qui existe déjà ?

 
La France est l’un des États membres les plus avancés sur ce dossier. L’application France Identité, développée par l’Agence nationale des titres sécurisés (ANTS), permet déjà d’utiliser une version numérique sécurisée de sa carte d’identité sur smartphone. Elle intègre aussi le permis de conduire numérique, la carte Vitale, et bientôt la carte grise. (Deloitte France, 2026)

C’est précisément ce que proposait le guichet de mairie à notre utilisatrice : associer sa nouvelle carte d’identité électronique à cette application.

Bonne nouvelle : ce n’est pas irréversible, elle peut activer cette fonctionnalité quand elle le souhaite, sans rien perdre en attendant.

D’ici fin 2026, France Identité sera mise en conformité avec eIDAS 2.0 et deviendra officiellement un Portefeuille Européen d’Identité Numérique, utilisable dans toute l’Union.

La France coordonne par ailleurs POTENTIAL, un projet pilote européen impliquant 19 États membres pour tester les usages du portefeuille en conditions réelles.
 

Le calendrier à retenir

• Fin 2026 : chaque État membre de l’UE doit proposer au minimum un portefeuille à ses citoyens et résidents. (Commission européenne)
• Fin 2027 : les grandes plateformes numériques, les entreprises soumises aux obligations anti-blanchiment et les services publics désignés devront l’accepter comme moyen d’identification. (Deloitte France, janvier 2026)
• 2030 : l’UE vise 80 % de citoyens utilisateurs.

Point important : l’utilisation reste volontaire pour les citoyens. Personne ne sera contraint d’adopter le portefeuille, et des alternatives physiques devront obligatoirement être maintenues. (Portail de l’IE, mai 2024)
 

Les avantages réels, sans naïveté

• Une alternative souveraine aux GAFAM : Aujourd’hui, « Se connecter avec Google » ou « Se connecter avec Facebook » sont devenus des réflexes. Pratiques, mais au prix d’une dépendance forte à des acteurs privés américains qui monétisent les données comportementales de leurs utilisateurs. L’EUDI Wallet offre une alternative publique, européenne, qui redonne aux citoyens la maîtrise de leur identité numérique, sans modèle publicitaire derrière. C’est une logique que nous défendons depuis la création de Whaller : vos données n’ont pas à être la contrepartie d’un service.
• Moins de mots de passe, plus de sécurité : La multiplication des comptes et des mots de passe est l’un des principaux vecteurs de cyberattaques. Un système unifié d’identification, sécurisé par des mécanismes d’authentification robustes, réduit mécaniquement ce risque.
• Des démarches simplifiées à l’échelle européenne : Ouvrir un compte bancaire dans un autre pays de l’UE, accéder à des services publics lors d’un déménagement, faire reconnaître un diplôme à l’étranger : autant de situations où l’interopérabilité européenne de l’identité numérique apporte une valeur concrète.
• La signature électronique qualifiée gratuite : Le portefeuille permettra à tout citoyen de signer électroniquement des documents avec la même valeur juridique qu’une signature manuscrite, sans frais supplémentaires.

Les questions qu’on a le droit de se poser

 
Ce serait rendre un mauvais service que de ne présenter que les aspects positifs. Des autorités sérieuses, dont la CNIL, ont documenté des zones d’ombre qui méritent d’être nommées clairement.

• Qui peut fournir le portefeuille ? : Le règlement autorise des prestataires privés à proposer leur propre Wallet. Or, comme le souligne le Portail de l’Intelligence Économique, « la possibilité que le portefeuille soit fourni par un prestataire hors UE soulève des doutes quant à la sécurité des données, notamment s’il s’agit d’une solution américaine. » La souveraineté dépend donc largement du prestataire retenu et de la vigilance des États membres.
• Risque de centralisation et de surveillance : Rassembler autant de données d’identité dans une même infrastructure présente un risque structurel. La CNIL a insisté sur la nécessité d’éviter toute centralisation excessive, recommandant que les services soient fournis par une diversité d’acteurs afin de prévenir les risques de surveillance de masse.
• L’inclusion numérique : Tout le monde n’a pas de smartphone, il est indispensable que le portefeuille reste une option parmi d’autres et non le seul chemin d’accès aux services essentiels.
• L’interopérabilité entre États membres : Chaque pays conçoit son propre Wallet. Les rendre compatibles entre eux est un défi technique et politique considérable, d’autant que l’UE n’a pas la compétence pour imposer une solution unique.
• La résilience en cas de cyberattaque : Des experts insistent sur la nécessité de maintenir des alternatives physiques aux documents numériques pour que les États et les citoyens, conservent leur liberté de choix, même en cas d’incident majeur.

Et pour les organisations, qu’est-ce que ça change concrètement ?

 
L’identité numérique n’est pas seulement un sujet de citoyens. Pour les administrations, les collectivités, les entreprises et les organisations qui gèrent des espaces collaboratifs et des données sensibles, les implications sont directes.

• L’authentification des accès collaboratifs : Aujourd’hui, gérer les identités dans un outil collaboratif, qui est qui, qui accède à quoi, comment on révoque un accès quand quelqu’un quitte l’organisation, est une opération lourde et souvent insuffisamment sécurisée. Le portefeuille européen ouvre la voie à une authentification forte, certifiée, sans multiplier les comptes et les mots de passe. Pour une organisation qui travaille avec des partenaires extérieurs (prestataires, élus, agents d’autres services), c’est une simplification et un renforcement simultanés.
• La signature de documents sensibles : Délibérations, conventions, marchés, actes administratifs : beaucoup d’organisations signent encore des documents par voie papier ou via des outils dont la valeur juridique reste floue. La signature électronique qualifiée eIDAS intégrée à Whaller, offre la même valeur juridique qu’une signature manuscrite, partout dans l’Union, directement depuis vos espaces collaboratifs. C’est une brique concrète de l’écosystème de confiance numérique que le portefeuille européen vient compléter.
• La gestion des identités partenaires : Dans un réseau collaboratif impliquant plusieurs organisations, une fédération, un groupement hospitalier, un écosystème territorial, vérifier et gérer les identités des parties prenantes est un enjeu de sécurité quotidien. Une infrastructure d’identité numérique certifiée réduit les risques d’usurpation, de fuite de données, et de non-conformité réglementaire. C’est notamment ce que permet Whaller DONJON, conçu pour les organisations qui traitent des données sensibles ou de niveau Diffusion Restreinte.

Ces enjeux sont au cœur de notre réflexion depuis la création de Whaller. L’architecture en sphères cloisonnées, où chaque espace est étanche, où un utilisateur ne voit que ce à quoi il a accès, où l’administrateur contrôle précisément les droits, répond à la même logique que la divulgation sélective du portefeuille numérique : partager uniquement ce qui est nécessaire, à ceux qui en ont besoin, dans le cadre défini.
 

Le regard de Whaller : une conviction, pas un argument commercial

 
Nous ne sommes ni dans le camp de l’enthousiasme inconditionnel, ni dans celui du rejet par principe, nous sommes dans celui de la vigilance informée.

La raison est simple : nous avons fait ce choix nous-mêmes. Whaller DONJON est qualifié SecNumCloud 3.2 par l’ANSSI, le plus haut niveau de qualification pour un service cloud en France et l’une des trois seules suites collaboratives SaaS à l’avoir obtenu : sécurité de bout en bout, hébergement en France, immunité aux législations extraterritoriales, absence totale d’exploitation des données.

Pour les organisations qui doivent aller plus loin encore, continuité d’activité en situation dégradée, gestion de crise cyber, Whaller RÉSILIENCE offre une plateforme activable à tout moment, 100 % étanche vis-à-vis du système d’information principal, hébergée en France.

Ce que le portefeuille européen d’identité numérique cherche à construire, la confiance, la maîtrise des données, la souveraineté, nous le mettons en œuvre depuis plusieurs années dans notre domaine. Les deux démarches partagent la même conviction fondamentale : la technologie doit servir les individus et les organisations, pas les surveiller.

Un portefeuille d’identité numérique bien conçu, certifié, hébergé sous juridiction européenne, peut être un vrai outil de liberté. Mal conçu ou confié aux mauvaises mains, il peut devenir un outil de contrôle. C’est pourquoi les questions posées dans cet article, qui fournit le portefeuille ? où sont hébergées les données ? qui y a accès ? ne sont pas des détails techniques. Ce sont les questions qui déterminent si ce projet tient ses promesses.
 

Alors, notre utilisatrice a-t-elle bien fait de dire non ?

 
Oui et non. Elle a bien fait de ne pas accepter quelque chose qu’on ne lui expliquait pas, c’est le bon réflexe face à n’importe quel outil numérique.

Mais le portefeuille d’identité numérique n’est pas mauvais en soi. Avec France Identité, la France propose une solution publique, encadrée, qui mérite d’être considérée sérieusement, à condition de comprendre ce qu’on accepte, et ce qu’on garde le droit de refuser.

La vraie question n’est pas « faut-il ou non adopter le portefeuille ? » C’est : dans quelles conditions, avec quelles garanties, en gardant quelles alternatives et en s’assurant que les briques technologiques sur lesquelles il repose sont dignes de confiance ?