eIDAS 2.0 et l'EUDI-Wallet : ce que les parties utilisatrices doivent préparer d'ici fin 2026
Les États de l'UE doivent mettre l'EUDI-Wallet à disposition d'ici décembre 2026. Un tour d'horizon sans détour des choix techniques et juridiques que les entreprises, en tant que partie utilisatrice, devraient arrêter dès maintenant.
Dans environ six mois expire une échéance que bien des entreprises traitent encore comme une réglementation lointaine : d’ici au 24 décembre 2026, les 27 États membres de l’UE devront mettre à la disposition de leurs citoyennes et citoyens au moins un European Digital Identity Wallet (EUDI-Wallet). Le fondement en est le règlement (UE) 2024/1183 (« eIDAS 2.0 »), entré en vigueur le 20 mai 2024.
Pour la plupart des entreprises, la question la plus intéressante n’est pas de savoir quand le wallet arrive, mais quand elles devront l’accepter. Et cette échéance suit de près.
Où en est le déploiement en juin 2026
Le socle réglementaire est déjà bien avancé. L’Architecture and Reference Framework (ARF) existe en version 2.8, et 31 actes d’exécution ont d’ores et déjà été publiés, renvoyant à des dizaines de normes techniques. Le 8 avril 2026, la Commission européenne a complété ce dispositif par le règlement d’exécution relatif à l’enrôlement (Enrollment), une brique centrale puisqu’il régit la manière dont les utilisateurs déposent leur identité de façon sécurisée dans le wallet.
L’état d’avancement des États membres reste toutefois inégal. La France, avec « France Identité », fait figure de pionnière : elle exploite déjà un service en production et le fait évoluer vers l’EUDI-Wallet officiel ; l’Italie et la Pologne suivent de près. L’Allemagne a annoncé le lancement de sa variante portée par l’État pour le 2 janvier 2027, soit peu après l’expiration de l’échéance européenne.
La partie utilisatrice : un rôle qui concerne presque tout le monde
Une partie utilisatrice (relying party, partie qui se fie aux attestations) est toute entité qui souhaite s’appuyer sur les attestations du wallet pour identifier ou authentifier des personnes : de l’onboarding à la vérification de l’âge, jusqu’à l’authentification forte du client.
La logique temporelle du règlement est sans ambiguïté : dès que les wallets sont disponibles, les secteurs régulés et les très grandes plateformes en ligne doivent accepter l’EUDI-Wallet pour l’authentification environ un an plus tard. L’échéance de mise à disposition de fin 2026 se mue ainsi, pour beaucoup, en obligation d’acceptation à compter de fin 2027 environ. Les banques, les assureurs, les opérateurs de télécommunications et d’énergie, le secteur de la santé et les grandes plateformes sont en première ligne ; tous les autres peuvent accepter le wallet sur une base volontaire, et ont tout intérêt à ne pas entamer l’intégration au dernier moment.
Ce qu’une partie utilisatrice devrait clarifier dès maintenant
Enregistrement. Avant la première utilisation, les parties utilisatrices doivent s’enregistrer auprès d’une autorité d’enregistrement nationale et y déclarer quels attributs elles consultent et à quelle fin. Cet enregistrement n’est pas une formalité : c’est le fondement juridique qui autorise à demander des données.
Minimisation des données. Le wallet est conçu pour la divulgation sélective : l’utilisateur ne partage que les attributs dont un service a réellement besoin, par exemple « plus de 18 ans » plutôt que la date de naissance complète. Quiconque demande plus que ce que la finalité justifie entre en conflit aussi bien avec la logique d’eIDAS qu’avec le RGPD. Définir l’ensemble minimal d’attributs pour chaque cas d’usage est donc la première tâche métier, pas la dernière.
Intégration technique. La présentation des attestations repose sur des protocoles et des formats ouverts éprouvés, parmi lesquels OpenID for Verifiable Presentations ainsi que les formats d’attestation ISO/IEC 18013-5 (mdoc) et SD-JWT VC. S’y ajoutent les listes de confiance, qui permettent à un service de vérifier qu’un wallet présenté et ses émetteurs sont authentiques et agréés. Miser ici sur des standards plutôt que sur des adaptateurs propriétaires, c’est garder ouverte la porte aux wallets des différents États membres.
Cas d’usage et gouvernance. L’onboarding et le KYC, la preuve d’âge, l’authentification forte du client et les signatures électroniques qualifiées via le wallet sont les terrains les plus immédiats. Chacun de ces cas exige une logique de consentement et de journalisation rigoureuse : qui a demandé et obtenu quel attribut, quand et à quelle fin.
Dans notre module Datargo ID, c’est précisément ce rôle de partie utilisatrice qui sert de fil conducteur : un login fédérateur, prêt pour le parcours EUDI. Mais l’essentiel ne dépend pas de l’outil : chaque partie utilisatrice arrête pour elle-même les choix en matière d’enregistrement, de minimisation des attributs et d’intégration fondée sur les standards.
Le calendrier, sans fard
D’ici fin 2026, les wallets sont mis à disposition ; à partir de début 2027, les solutions nationales apparaissent (l’Allemagne le 2 janvier 2027) ; et environ un an après leur disponibilité, l’obligation d’acceptation s’applique aux secteurs régulés. Cela sonne comme 2027 et 2028, mais cela commence dès aujourd’hui par un travail de préparation : déterminer les besoins en attributs, clarifier la voie d’enregistrement, piloter une intégration fondée sur les standards. L’échéance est fixée ; la préparation n’est plus facultative que dans son calendrier, pas dans son principe.