Lecture : 6 min · MAJ 16/06/2026 · Sources primaires uniquement.

Le 20 mai 2024, le règlement (UE) 2024/1183 est entré en vigueur1. Il oblige les 27 États membres à fournir, avant fin 2026, au moins un portefeuille d'identité numérique européen à tout citoyen qui en veut un12. L'échéance est dans dix-huit mois. Le débat public, lui, n'a pas commencé. Pendant que l'attention se porte sur l'euro numérique, c'est la couche identité qui s'installe la première. Et c'est elle qui conditionne le reste.

L'échéance que le calendrier européen a déjà fixée

Le texte porte un nom technique : eIDAS 2.0. Il refonde le règlement de 2014 sur l'identification électronique et crée l'« EUDI Wallet », une application mobile censée prouver qui vous êtes auprès de n'importe quel service public ou privé en ligne1.

Le calendrier est ferme. Chaque État doit proposer un portefeuille conforme avant fin 20262. À partir de fin 2027, les « parties utilisatrices » qui exigent une authentification forte — banques, prestataires de paiement, grandes plateformes — devront accepter tous les portefeuilles reconnus2.

La machine technique tourne déjà. Plus de trente actes d'exécution ont été publiés, le cadre de référence d'architecture en est à sa version 2.8, et le règlement d'exécution (UE) 2026/798 du 8 avril 2026 a fixé les règles d'enrôlement dans le portefeuille2. L'architecture se fige avant que la conversation citoyenne ne s'ouvre. C'est la signature des infrastructures de contrôle : elles se déploient par actes d'exécution, pas par référendum.

Le défaut de conception que seize cryptographes ont signalé

En juin 2024, l'équipe EUDI de la Commission présente sa conception (version 1.4.0 de l'architecture) à un panel de cryptographes et leur demande un avis. Seize chercheurs répondent, parmi les plus reconnus du domaine : Anna Lysyanskaya, Jan Camenisch, Bart Preneel, Carmela Troncoso, Jaap-Henk Hoepman, René Mayrhofer et dix autres3.

Leur verdict est net. Le règlement exige, à son article 5a §16, que le système « ne permette pas » de suivre, lier ou corréler les transactions d'un utilisateur, et qu'il « rende possibles des techniques préservant la vie privée qui garantissent la non-liabilité »3. Or le mécanisme retenu — une signature sur des attributs hachés, héritée du permis de conduire mobile ISO/IEC 18013-5 — ne garantit pas cette non-liabilité : si la même attestation sert deux fois, les deux transactions deviennent reliables3.

Leur formule est restée : sans non-liabilité, un service auquel vous présentez une seule fois votre identité pourra « tracer vos activités dans tout le système et observer partout où vous êtes allé, comme un harceleur virtuel »3. Leur conclusion : « Nous ne voyons pas comment corriger la solution proposée pour satisfaire toutes les exigences de confidentialité ; une refonte plus large s'impose »3. Ils recommandent une autre brique, les « anonymous credentials » de la famille BBS — une technologie éprouvée depuis vingt ans3.

Le risque que les actes d'exécution n'ont pas levé

Dix-huit mois plus tard, l'analyse persiste. L'ONG autrichienne epicenter.works, spécialisée dans les droits numériques, a décortiqué les actes d'exécution. Son constat : ils « créent le risque que des identifiants uniques et persistants se propagent vers des secteurs qui vivent du pistage et du profilage », à rebours de l'accord trouvé en trilogue avec le Parlement européen4.

Deux glissements concrets. D'abord, le vocabulaire : l'obligation de mécanismes de révocation « empêchant » la liabilité a été réécrite en mécanismes la « gênant »4. Empêcher et gêner ne sont pas le même engagement. Ensuite, l'angle mort des « certificats d'enregistrement » : sans eux, le portefeuille ne dispose pas de l'information pour détecter une demande abusive, laissant l'utilisateur exposé à des services qui réclament plus de données que la loi ne les y autorise4. En 2026, l'ONG a adressé à la Commission une lettre ouverte sur le quatrième lot d'actes d'exécution, signe que le dossier n'est pas clos5.

Deux sources indépendantes — des cryptographes universitaires d'un côté, une ONG juridique de l'autre — pointent donc le même écart : entre ce que le texte promet et ce que l'implémentation livre.

Pour la France, le portefeuille s'appelle France Identité

La France est en avance. Son application France Identité a été certifiée au niveau « élevé » par l'ANSSI en février 2024, puis notifiée comme telle par la Commission européenne le 9 septembre 20246. C'est elle qui doit devenir le portefeuille EUDI français, reconnu dans toute l'Union6. Selon les suivis sectoriels, la France figure dans le peloton de tête, avec l'Italie et la Pologne, quand moins d'un tiers des États membres atteignent le seuil de préparation7.

L'écart d'avancement annonce un déploiement étalé : les pays prêts livreront un portefeuille utilisable, les retardataires une version minimale pour « tenir la lettre » du règlement7.

Le contre-angle qu'il faut entendre

Le portefeuille n'est pas, en soi, un instrument de surveillance. Sa conception est décentralisée et intègre la « divulgation sélective » : prouver qu'on est majeur sans révéler sa date de naissance, prouver sa nationalité sans livrer son adresse. C'est un progrès réel face à l'existant — le « se connecter avec Google », la photocopie de pièce d'identité, les courtiers en données qu'on ne voit jamais. Le texte du règlement est, sur le papier, du côté de la vie privée : il impose la non-liabilité. Plusieurs États, dont l'Allemagne, poussent des solutions techniques pour s'en approcher. La bataille ne porte pas sur le principe, mais sur l'implémentation. Un portefeuille qu'on contrôle vaut mieux qu'un fichier qu'on ignore. Reste à vérifier que la cryptographie livrée tienne la promesse du texte — c'est précisément ce que les experts contestent.

Pour la France : la conclusion stratégique

  1. Lire les actes d'exécution, pas les communiqués. Le règlement mande la non-liabilité ; c'est dans l'architecture et les actes techniques qu'elle se gagne ou se perd. Le débat utile est là, pas dans l'annonce de lancement.
  2. L'identité précède la monnaie. Le portefeuille d'identité est le titre d'accès qui conditionne les services — y compris, demain, un éventuel euro numérique. Qui maîtrise l'attestation maîtrise l'accès.
  3. « Volontaire » ne veut pas dire sans contrainte. La détention reste facultative, mais l'obligation faite aux banques et plateformes d'accepter le portefeuille dès 2027 transforme le défaut d'usage en friction croissante.
  4. Surveiller le trou des certificats d'enregistrement. C'est le risque concret pour l'utilisateur : sans eux, rien ne signale au portefeuille qu'un service en demande trop.

Ce qu'il faut retenir

Le portefeuille arrive, à l'heure ou presque. Le texte protège la vie privée ; l'implémentation, elle, est disputée. La vraie question n'est pas de savoir si l'Europe construit une identité numérique — elle la construit — mais si la cryptographie déployée tiendra la promesse de non-liabilité inscrite dans la loi.

Deux hypothèses datées et vérifiables :

  • ★★★☆ probable : la majorité des États membres livreront un portefeuille — complet ou minimal — autour de l'échéance de fin 2026, dans un déploiement étalé.
  • ★★☆☆ spéculative : les portefeuilles de première génération seront mis en service sans non-liabilité complète (anonymous credentials), en s'appuyant sur des attestations à usage unique émises par lots.

Ce spoke prolonge notre pilier sur la souveraineté numérique et complète notre lecture du portefeuille numérique européen : l'identité est la couche où la dépendance se grave, avant la donnée et avant l'euro numérique.

Pour aller plus loin :

FAQ — questions que les lecteurs posent

L'usage du portefeuille d'identité numérique européen sera-t-il obligatoire ?
Non. Le règlement rend la détention volontaire pour le citoyen1. Mais à partir de fin 2027, les services exigeant une authentification forte — banques, paiements, grandes plateformes — devront l'accepter2. Entre une détention facultative et des services qui le réclament, la pression devient structurelle.

Quand l'identité numérique européenne sera-t-elle disponible en France ?
France Identité est l'application désignée pour porter le portefeuille EUDI français6. La mise à disposition vise fin 2026, conformément au calendrier européen, avec un déploiement complet attendu en 202727.

Mes données seront-elles traçables ?
Le règlement l'interdit : son article 5a §16 prohibe le suivi, la liaison et la corrélation des transactions, et impose des techniques garantissant la non-liabilité3. Mais seize cryptographes et l'ONG epicenter.works avertissent que la conception retenue ne tient pas encore cette exigence34. La divulgation sélective fonctionne ; la non-liabilité complète, elle, est contestée.

Quelle différence avec le France Identité actuel ?
France Identité est l'application nationale, certifiée au niveau « élevé » et notifiée par la Commission en septembre 20246. Sous eIDAS 2.0, elle devient le portefeuille d'identité numérique européen de la France, interopérable et reconnu dans les 27 États membres1.

Sources

  1. EUR-Lex — Règlement (UE) 2024/1183 du 11 avril 2024 établissant le cadre européen de l'identité numérique — en vigueur le 20 mai 2024
  2. Commission européenne — EU Digital Identity Wallet, mise en œuvre et calendrier (eIDAS regulation) — 2026
  3. Cryptographers' Feedback on the EU Digital Identity's ARF — Baum, Camenisch, Lysyanskaya, Preneel, Troncoso, Hoepman, Mayrhofer et al. (16 signataires) — juin 2024
  4. epicenter.works — Privacy Analysis of the eIDAS European Digital Identity Wallet Implementing Acts — 2025
  5. epicenter.works — Open letter concerning the fourth batch of eIDAS implementing acts — 2026
  6. France Identité — France Identité franchit une étape majeure pour l'interopérabilité à l'échelle européenne (notification niveau « élevé ») — 9 sept. 2024
  7. eIDAS Pro — EUDI Wallet Rollout Status by Member State, April 2026 (suivi sectoriel — à recouper) — avr. 2026

Les signaux, avant qu'ils ne fassent les gros titres.

Analyses sourcées aux documents primaires. Prédictions datées, probabilisées, notées publiquement — sans réécriture. Gratuit.

Recevoir les prochains signaux →