eIDAS désigne le règlement européen sur l’identification électronique et les services de confiance. Sa révision de 2024, dite eIDAS 2, impose à chaque État membre de fournir à ses citoyens et entreprises un portefeuille européen d’identité numérique (EUDI Wallet) d’ici fin 2026. Ce texte n’est pas qu’une affaire d’infrastructure technique : il repose sur un principe qui parle directement au RGPD — la minimisation des données. Voici ce qu’il faut comprendre, et ce que ça change concrètement pour la protection des données personnelles.
Qu’est-ce que le règlement eIDAS ?
Le règlement eIDAS d’origine (Règlement UE n°910/2014 du 23 juillet 2014) a posé les bases de l’identification électronique et des services de confiance au sein de l’Union européenne : reconnaissance mutuelle des moyens d’identification électronique notifiés par les États membres, cadre juridique pour la signature électronique, le cachet électronique et l’horodatage qualifié.
Ce premier texte avait toutefois des limites : l’usage transfrontalier des identités électroniques nationales restait faible, l’adoption par le secteur privé était inégale, et de fortes divergences existaient entre États membres sur la vérification d’identité à distance. La révision du texte — eIDAS 2, Règlement (UE) 2024/1183 du 11 avril 2024, entré en vigueur le 20 mai 2024 — répond à ces limites en introduisant le portefeuille européen d’identité numérique et en élargissant le champ des services de confiance qualifiés.
Le portefeuille européen d’identité numérique (EUDI Wallet)
C’est la pièce centrale du texte. Le EUDI Wallet est une application personnelle qui permet à un citoyen, un résident ou une entreprise de stocker et partager, de manière sélective et sécurisée, des informations certifiées : identité, âge, diplômes, permis de conduire, comptes bancaires. Contrairement à une base de données centralisée européenne, chaque portefeuille reste un outil décentralisé, sous le contrôle exclusif de son utilisateur.
Le règlement élargit également la liste des services de confiance qualifiés : signature électronique qualifiée (désormais accessible depuis un smartphone), cachet électronique pour les personnes morales, horodatage qualifié, mais aussi deux nouveautés : l’archivage électronique qualifié et le registre électronique.
Calendrier des échéances clés
- 20 mai 2024 : entrée en vigueur du règlement (UE) 2024/1183.
- 21 novembre 2024 : publication des premiers actes d’exécution relatifs au portefeuille et aux attestations d’attributs.
- 21 mai 2025 : publication des actes d’exécution pour les nouveaux services de confiance (archivage, registre, signature à distance).
- Fin 2026 : chaque État membre doit mettre à disposition au moins un EUDI Wallet conforme à ses citoyens, résidents et entreprises. En France, l’application France Identité doit être mise en conformité avec eIDAS 2 pour devenir un portefeuille européen à part entière.
- Fin 2027 : les organismes publics, les entreprises privées (hors micro-entreprises) exigeant une authentification forte, et les très grandes plateformes en ligne au sens du Digital Services Act (plus de 45 millions d’utilisateurs) devront accepter le portefeuille comme moyen d’identification.
- 2030 : objectif de la Commission européenne de voir 80 % des citoyens européens utiliser une solution d’identité numérique.
eIDAS et RGPD : une articulation pensée dès la conception
C’est le point qui concerne directement les DPO et responsables conformité. Le EUDI Wallet repose sur un mécanisme technique appelé divulgation sélective (selective disclosure) : lorsqu’un service demande une preuve à l’utilisateur, celui-ci ne transmet que l’attribut strictement nécessaire, pas l’ensemble de son identité. Prouver sa majorité ne nécessite plus de communiquer sa date de naissance exacte ; prouver un diplôme ne nécessite plus de transmettre l’intégralité de son dossier scolaire.
Ce mécanisme traduit très concrètement le principe de minimisation des données posé par l’article 5 du RGPD : ne collecter et ne transmettre que les données strictement nécessaires à la finalité poursuivie. Pour une organisation qui aujourd’hui demande un scan de carte d’identité complet pour vérifier un simple attribut (âge, diplôme, statut professionnel), l’EUDI Wallet permet de passer d’une logique de donnée déclarée et collectée à une logique de donnée prouvée et non conservée — un changement de paradigme qui réduit mécaniquement les risques de sur-collecte.
Le règlement prévoit aussi un tableau de bord obligatoire pour l’utilisateur, qui lui permet de visualiser l’historique des données transmises, de demander leur effacement, et de signaler les demandes suspectes à l’autorité de protection des données compétente (la CNIL en France) — un mécanisme de transparence qui rejoint directement les droits d’accès et de regard du RGPD.
Ce que la CNIL et l’ANSSI surveillent
Ni la CNIL ni l’ANSSI ne s’opposent au principe du portefeuille européen — l’ANSSI, associée aux travaux techniques via la DINUM depuis le début de la révision du texte, s’est même félicitée de son entrée en vigueur. Mais plusieurs points de vigilance ont été posés par la CNIL dès les premières consultations européennes sur le sujet, et restent d’actualité :
- Pluralité des identités numériques : la CNIL considère qu’un individu doit pouvoir disposer de plusieurs identités numériques selon les contextes (une identité régalienne pour les démarches administratives, une identité pseudonymisée pour d’autres usages), plutôt que d’un identifiant unique valable partout.
- Refus de la centralisation excessive : la CNIL recommande que les portefeuilles soient fournis par une diversité d’acteurs publics et privés, pour éviter qu’une infrastructure unique concentre un volume de données d’identité disproportionné — un risque structurel de surveillance de masse en cas de faille ou de détournement.
- Maintien d’alternatives non numériques : l’usage du portefeuille reste volontaire pour les citoyens ; des moyens d’identification physiques devront obligatoirement rester disponibles pour ceux qui ne souhaitent pas ou ne peuvent pas l’utiliser.
- Proportionnalité de l’authentification : un système d’authentification très robuste complique aussi la récupération d’identité en cas d’usurpation. La CNIL appelle à un équilibre entre le niveau de garantie exigé et la capacité de recours en cas de problème.
Ce que les organisations doivent anticiper dès maintenant
- Cartographier vos parcours d’identification actuels : recrutement, inscription, ouverture de compte, signature de convention — identifiez où vous collectez aujourd’hui plus de données que nécessaire pour une simple vérification d’attribut, et où le passage à un système d’attestation vérifiable pourrait réduire cette collecte.
- Vérifier votre calendrier d’obligation : si votre organisation exige une authentification forte de ses usagers ou clients (secteur bancaire, assurance, santé, sécurité sociale, télécommunications notamment), l’échéance de fin 2027 pour accepter le portefeuille vous concerne directement.
- Anticiper la documentation RGPD : l’intégration du EUDI Wallet dans vos parcours utilisateurs implique de mettre à jour votre registre des traitements, vos mentions d’information, et potentiellement de réaliser une analyse d’impact (AIPD) si le traitement présente un risque élevé pour les personnes concernées.
- Suivre l’articulation avec le Digital Omnibus : le Digital Omnibus propose un point d’entrée unique pour la notification des incidents de cybersécurité, couvrant à la fois NIS2, le RGPD, DORA et l’eIDAS — un chantier que le Sénat français a récemment commenté, notamment sur le risque de « point de faille unique » pointé par l’ANSSI.
- Ne pas confondre avec la double authentification : l’EUDI Wallet est un moyen d’identification et de preuve d’attributs, pas un simple facteur d’authentification. Pour la sécurisation de vos accès internes au quotidien, la double authentification reste un sujet distinct, complémentaire.
FAQ — eIDAS 2 et RGPD
Le portefeuille européen d’identité numérique est-il obligatoire pour les citoyens ?
Non. L’utilisation du EUDI Wallet reste volontaire pour les citoyens. Des alternatives non numériques devront obligatoirement continuer à exister pour les personnes qui ne souhaitent pas ou ne peuvent pas l’utiliser.
Mon organisation doit-elle accepter le portefeuille européen ?
Ça dépend de votre activité. À partir de fin 2027, les organismes publics et les entreprises privées (hors micro-entreprises) exigeant une authentification forte, ainsi que les très grandes plateformes en ligne, devront l’accepter comme moyen d’identification.
Le EUDI Wallet est-il conforme au RGPD ?
Le règlement eIDAS 2 a été conçu pour intégrer les principes du RGPD dès sa conception, notamment via la divulgation sélective des attributs et la minimisation des données transmises. Cela ne dispense toutefois pas les organisations qui l’intègrent à leurs services de respecter leurs propres obligations RGPD (information, base légale, durée de conservation).
Quel est le principal risque identifié par la CNIL ?
Le risque de centralisation excessive des données d’identité, qui pourrait créer un point de vulnérabilité unique en cas de faille de sécurité. La CNIL recommande une pluralité de fournisseurs de portefeuilles et le maintien de plusieurs identités numériques contextuelles pour un même individu.
Quelle est la différence entre eIDAS et la double authentification ?
L’eIDAS encadre l’identification et la preuve d’attributs certifiés (identité, âge, diplôme) au niveau européen. La double authentification est une mesure de sécurité pour vérifier qu’un utilisateur est bien celui qu’il prétend être lors d’une connexion, indépendamment de tout cadre eIDAS. Les deux sujets sont complémentaires mais distinct
En résumé
eIDAS 2 (Règlement UE 2024/1183) impose à chaque État membre de fournir un portefeuille européen d’identité numérique d’ici fin 2026, avec une obligation d’acceptation pour de nombreuses organisations dès fin 2027. Son mécanisme de divulgation sélective traduit concrètement le principe de minimisation des données du RGPD, en permettant de prouver un attribut sans transmettre l’identité complète. La CNIL reste vigilante sur les risques de centralisation excessive et appelle à préserver la pluralité des identités numériques et des moyens d’accès non numériques. Les organisations concernées doivent dès maintenant cartographier leurs parcours d’identification et anticiper les impacts sur leur documentation RGPD.
Anticiper l’impact d’eIDAS 2 sur vos parcours utilisateurs
Sources
- Règlement (UE) 2024/1183 (eIDAS 2) — EUR-Lex
- L’ANSSI se félicite de l’entrée en vigueur de la révision du règlement eIDAS — cyber.gouv.fr
- Commission Nationale de l’Informatique et des Libertés (CNIL)
- MDP Data Protection – Digital Omnibus : ce que le Sénat français demande de défendre à Bruxelles
Pour aller plus loin
- CNIL - Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection - Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
Les solutions MDP Data Protection
MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.
- SimplyRGPD : Pilotage de votre conformité au quotidien.
- MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.
Notre Méthode : le Continuous Compliance Operating System - CCOS
Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.


