[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/eidas-2-rgpd-identite-numerique-minimisation-donnees\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/eidas-2-rgpd-identite-numerique-minimisation-donnees\/","headline":"eIDAS 2 et RGPD : ce que le portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique change pour la protection des donn\u00e9es","name":"eIDAS 2 et RGPD : ce que le portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique change pour la protection des donn\u00e9es","description":"Le r\u00e8glement eIDAS 2 impose \u00e0 chaque \u00c9tat membre de fournir un portefeuille europ\u00e9en d'identit\u00e9 num\u00e9rique d'ici fin 2026. Pr\u00e9sentation du texte, calendrier, et surtout : comment ce portefeuille s'articule avec le RGPD et le principe de minimisation des donn\u00e9es, ce que la CNIL et l'ANSSI en disent, et ce que les organisations doivent anticiper.","datePublished":"2026-07-14","dateModified":"2026-07-08","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/07\/eidas_rgpd_identite_numerique_europeenne.jpg","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/07\/eidas_rgpd_identite_numerique_europeenne.jpg","height":1080,"width":1920},"url":"https:\/\/mdp-data.com\/eidas-2-rgpd-identite-numerique-minimisation-donnees\/","about":["Conformit\u00e9 r\u00e9glementaire"],"wordCount":2167,"keywords":["Digital Omnibus","eIDAS","Identit\u00e9 num\u00e9rique","Minimisation des donn\u00e9es","Protection Des Donn\u00e9es","Signature \u00e9lectronique"],"articleBody":"eIDAS d\u00e9signe le r\u00e8glement europ\u00e9en sur l&rsquo;identification \u00e9lectronique et les services de confiance. Sa r\u00e9vision de 2024, dite eIDAS 2, impose \u00e0 chaque \u00c9tat membre de fournir \u00e0 ses citoyens et entreprises un portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique (EUDI Wallet) d&rsquo;ici fin 2026. Ce texte n&rsquo;est pas qu&rsquo;une affaire d&rsquo;infrastructure technique : il repose sur un principe qui parle directement au RGPD \u2014 la minimisation des donn\u00e9es. Voici ce qu&rsquo;il faut comprendre, et ce que \u00e7a change concr\u00e8tement pour la protection des donn\u00e9es personnelles.SommaireToggleQu&rsquo;est-ce que le r\u00e8glement eIDAS ?Le portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique (EUDI Wallet)Calendrier des \u00e9ch\u00e9ances cl\u00e9seIDAS et RGPD : une articulation pens\u00e9e d\u00e8s la conceptionCe que la CNIL et l&rsquo;ANSSI surveillentCe que les organisations doivent anticiper d\u00e8s maintenantFAQ \u2014 eIDAS 2 et RGPDEn r\u00e9sum\u00e9SourcesPour aller plus loinLes solutions MDP Data ProtectionNotre M\u00e9thode : le Continuous Compliance Operating System &#8211; CCOS\u00c0 propos de l&rsquo;auteurQu&rsquo;est-ce que le r\u00e8glement eIDAS ?Le r\u00e8glement eIDAS d&rsquo;origine (R\u00e8glement UE n\u00b0910\/2014 du 23 juillet 2014) a pos\u00e9 les bases de l&rsquo;identification \u00e9lectronique et des services de confiance au sein de l&rsquo;Union europ\u00e9enne : reconnaissance mutuelle des moyens d&rsquo;identification \u00e9lectronique notifi\u00e9s par les \u00c9tats membres, cadre juridique pour la signature \u00e9lectronique, le cachet \u00e9lectronique et l&rsquo;horodatage qualifi\u00e9.Ce premier texte avait toutefois des limites : l&rsquo;usage transfrontalier des identit\u00e9s \u00e9lectroniques nationales restait faible, l&rsquo;adoption par le secteur priv\u00e9 \u00e9tait in\u00e9gale, et de fortes divergences existaient entre \u00c9tats membres sur la v\u00e9rification d&rsquo;identit\u00e9 \u00e0 distance. La r\u00e9vision du texte \u2014 eIDAS 2, R\u00e8glement (UE) 2024\/1183 du 11 avril 2024, entr\u00e9 en vigueur le 20 mai 2024 \u2014 r\u00e9pond \u00e0 ces limites en introduisant le portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique et en \u00e9largissant le champ des services de confiance qualifi\u00e9s.Le portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique (EUDI Wallet)C&rsquo;est la pi\u00e8ce centrale du texte. Le EUDI Wallet est une application personnelle qui permet \u00e0 un citoyen, un r\u00e9sident ou une entreprise de stocker et partager, de mani\u00e8re s\u00e9lective et s\u00e9curis\u00e9e, des informations certifi\u00e9es : identit\u00e9, \u00e2ge, dipl\u00f4mes, permis de conduire, comptes bancaires. Contrairement \u00e0 une base de donn\u00e9es centralis\u00e9e europ\u00e9enne, chaque portefeuille reste un outil d\u00e9centralis\u00e9, sous le contr\u00f4le exclusif de son utilisateur.Le r\u00e8glement \u00e9largit \u00e9galement la liste des services de confiance qualifi\u00e9s : signature \u00e9lectronique qualifi\u00e9e (d\u00e9sormais accessible depuis un smartphone), cachet \u00e9lectronique pour les personnes morales, horodatage qualifi\u00e9, mais aussi deux nouveaut\u00e9s : l&rsquo;archivage \u00e9lectronique qualifi\u00e9 et le registre \u00e9lectronique.Calendrier des \u00e9ch\u00e9ances cl\u00e9s20 mai 2024 : entr\u00e9e en vigueur du r\u00e8glement (UE) 2024\/1183.21 novembre 2024 : publication des premiers actes d&rsquo;ex\u00e9cution relatifs au portefeuille et aux attestations d&rsquo;attributs.21 mai 2025 : publication des actes d&rsquo;ex\u00e9cution pour les nouveaux services de confiance (archivage, registre, signature \u00e0 distance).Fin 2026 : chaque \u00c9tat membre doit mettre \u00e0 disposition au moins un EUDI Wallet conforme \u00e0 ses citoyens, r\u00e9sidents et entreprises. En France, l&rsquo;application France Identit\u00e9 doit \u00eatre mise en conformit\u00e9 avec eIDAS 2 pour devenir un portefeuille europ\u00e9en \u00e0 part enti\u00e8re.Fin 2027 : les organismes publics, les entreprises priv\u00e9es (hors micro-entreprises) exigeant une authentification forte, et les tr\u00e8s grandes plateformes en ligne au sens du Digital Services Act (plus de 45 millions d&rsquo;utilisateurs) devront accepter le portefeuille comme moyen d&rsquo;identification.2030 : objectif de la Commission europ\u00e9enne de voir 80 % des citoyens europ\u00e9ens utiliser une solution d&rsquo;identit\u00e9 num\u00e9rique.eIDAS et RGPD : une articulation pens\u00e9e d\u00e8s la conceptionC&rsquo;est le point qui concerne directement les DPO et responsables conformit\u00e9. Le EUDI Wallet repose sur un m\u00e9canisme technique appel\u00e9 divulgation s\u00e9lective (selective disclosure) : lorsqu&rsquo;un service demande une preuve \u00e0 l&rsquo;utilisateur, celui-ci ne transmet que l&rsquo;attribut strictement n\u00e9cessaire, pas l&rsquo;ensemble de son identit\u00e9. Prouver sa majorit\u00e9 ne n\u00e9cessite plus de communiquer sa date de naissance exacte ; prouver un dipl\u00f4me ne n\u00e9cessite plus de transmettre l&rsquo;int\u00e9gralit\u00e9 de son dossier scolaire.Ce m\u00e9canisme traduit tr\u00e8s concr\u00e8tement le principe de minimisation des donn\u00e9es pos\u00e9 par l&rsquo;article 5 du RGPD : ne collecter et ne transmettre que les donn\u00e9es strictement n\u00e9cessaires \u00e0 la finalit\u00e9 poursuivie. Pour une organisation qui aujourd&rsquo;hui demande un scan de carte d&rsquo;identit\u00e9 complet pour v\u00e9rifier un simple attribut (\u00e2ge, dipl\u00f4me, statut professionnel), l&rsquo;EUDI Wallet permet de passer d&rsquo;une logique de donn\u00e9e d\u00e9clar\u00e9e et collect\u00e9e \u00e0 une logique de donn\u00e9e prouv\u00e9e et non conserv\u00e9e \u2014 un changement de paradigme qui r\u00e9duit m\u00e9caniquement les risques de sur-collecte.Le r\u00e8glement pr\u00e9voit aussi un tableau de bord obligatoire pour l&rsquo;utilisateur, qui lui permet de visualiser l&rsquo;historique des donn\u00e9es transmises, de demander leur effacement, et de signaler les demandes suspectes \u00e0 l&rsquo;autorit\u00e9 de protection des donn\u00e9es comp\u00e9tente (la CNIL en France) \u2014 un m\u00e9canisme de transparence qui rejoint directement les droits d&rsquo;acc\u00e8s et de regard du RGPD.Ce que la CNIL et l&rsquo;ANSSI surveillentNi la CNIL ni l&rsquo;ANSSI ne s&rsquo;opposent au principe du portefeuille europ\u00e9en \u2014 l&rsquo;ANSSI, associ\u00e9e aux travaux techniques via la DINUM depuis le d\u00e9but de la r\u00e9vision du texte, s&rsquo;est m\u00eame f\u00e9licit\u00e9e de son entr\u00e9e en vigueur. Mais plusieurs points de vigilance ont \u00e9t\u00e9 pos\u00e9s par la CNIL d\u00e8s les premi\u00e8res consultations europ\u00e9ennes sur le sujet, et restent d&rsquo;actualit\u00e9 :Pluralit\u00e9 des identit\u00e9s num\u00e9riques : la CNIL consid\u00e8re qu&rsquo;un individu doit pouvoir disposer de plusieurs identit\u00e9s num\u00e9riques selon les contextes (une identit\u00e9 r\u00e9galienne pour les d\u00e9marches administratives, une identit\u00e9 pseudonymis\u00e9e pour d&rsquo;autres usages), plut\u00f4t que d&rsquo;un identifiant unique valable partout.Refus de la centralisation excessive : la CNIL recommande que les portefeuilles soient fournis par une diversit\u00e9 d&rsquo;acteurs publics et priv\u00e9s, pour \u00e9viter qu&rsquo;une infrastructure unique concentre un volume de donn\u00e9es d&rsquo;identit\u00e9 disproportionn\u00e9 \u2014 un risque structurel de surveillance de masse en cas de faille ou de d\u00e9tournement.Maintien d&rsquo;alternatives non num\u00e9riques : l&rsquo;usage du portefeuille reste volontaire pour les citoyens ; des moyens d&rsquo;identification physiques devront obligatoirement rester disponibles pour ceux qui ne souhaitent pas ou ne peuvent pas l&rsquo;utiliser.Proportionnalit\u00e9 de l&rsquo;authentification : un syst\u00e8me d&rsquo;authentification tr\u00e8s robuste complique aussi la r\u00e9cup\u00e9ration d&rsquo;identit\u00e9 en cas d&rsquo;usurpation. La CNIL appelle \u00e0 un \u00e9quilibre entre le niveau de garantie exig\u00e9 et la capacit\u00e9 de recours en cas de probl\u00e8me.Ce que les organisations doivent anticiper d\u00e8s maintenantCartographier vos parcours d&rsquo;identification actuels : recrutement, inscription, ouverture de compte, signature de convention \u2014 identifiez o\u00f9 vous collectez aujourd&rsquo;hui plus de donn\u00e9es que n\u00e9cessaire pour une simple v\u00e9rification d&rsquo;attribut, et o\u00f9 le passage \u00e0 un syst\u00e8me d&rsquo;attestation v\u00e9rifiable pourrait r\u00e9duire cette collecte.V\u00e9rifier votre calendrier d&rsquo;obligation : si votre organisation exige une authentification forte de ses usagers ou clients (secteur bancaire, assurance, sant\u00e9, s\u00e9curit\u00e9 sociale, t\u00e9l\u00e9communications notamment), l&rsquo;\u00e9ch\u00e9ance de fin 2027 pour accepter le portefeuille vous concerne directement.Anticiper la documentation RGPD : l&rsquo;int\u00e9gration du EUDI Wallet dans vos parcours utilisateurs implique de mettre \u00e0 jour votre registre des traitements, vos mentions d&rsquo;information, et potentiellement de r\u00e9aliser une analyse d&rsquo;impact (AIPD) si le traitement pr\u00e9sente un risque \u00e9lev\u00e9 pour les personnes concern\u00e9es.Suivre l&rsquo;articulation avec le Digital Omnibus : le Digital Omnibus propose un point d&rsquo;entr\u00e9e unique pour la notification des incidents de cybers\u00e9curit\u00e9, couvrant \u00e0 la fois NIS2, le RGPD, DORA et l&rsquo;eIDAS \u2014 un chantier que le S\u00e9nat fran\u00e7ais a r\u00e9cemment comment\u00e9, notamment sur le risque de \u00ab\u00a0point de faille unique\u00a0\u00bb point\u00e9 par l&rsquo;ANSSI.Ne pas confondre avec la double authentification : l&rsquo;EUDI Wallet est un moyen d&rsquo;identification et de preuve d&rsquo;attributs, pas un simple facteur d&rsquo;authentification. Pour la s\u00e9curisation de vos acc\u00e8s internes au quotidien, la double authentification reste un sujet distinct, compl\u00e9mentaire.FAQ \u2014 eIDAS 2 et RGPDLe portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique est-il obligatoire pour les citoyens ?Non. L&rsquo;utilisation du EUDI Wallet reste volontaire pour les citoyens. Des alternatives non num\u00e9riques devront obligatoirement continuer \u00e0 exister pour les personnes qui ne souhaitent pas ou ne peuvent pas l&rsquo;utiliser.Mon organisation doit-elle accepter le portefeuille europ\u00e9en ?\u00c7a d\u00e9pend de votre activit\u00e9. \u00c0 partir de fin 2027, les organismes publics et les entreprises priv\u00e9es (hors micro-entreprises) exigeant une authentification forte, ainsi que les tr\u00e8s grandes plateformes en ligne, devront l&rsquo;accepter comme moyen d&rsquo;identification.Le EUDI Wallet est-il conforme au RGPD ?Le r\u00e8glement eIDAS 2 a \u00e9t\u00e9 con\u00e7u pour int\u00e9grer les principes du RGPD d\u00e8s sa conception, notamment via la divulgation s\u00e9lective des attributs et la minimisation des donn\u00e9es transmises. Cela ne dispense toutefois pas les organisations qui l&rsquo;int\u00e8grent \u00e0 leurs services de respecter leurs propres obligations RGPD (information, base l\u00e9gale, dur\u00e9e de conservation).Quel est le principal risque identifi\u00e9 par la CNIL ?Le risque de centralisation excessive des donn\u00e9es d&rsquo;identit\u00e9, qui pourrait cr\u00e9er un point de vuln\u00e9rabilit\u00e9 unique en cas de faille de s\u00e9curit\u00e9. La CNIL recommande une pluralit\u00e9 de fournisseurs de portefeuilles et le maintien de plusieurs identit\u00e9s num\u00e9riques contextuelles pour un m\u00eame individu.Quelle est la diff\u00e9rence entre eIDAS et la double authentification ?L&rsquo;eIDAS encadre l&rsquo;identification et la preuve d&rsquo;attributs certifi\u00e9s (identit\u00e9, \u00e2ge, dipl\u00f4me) au niveau europ\u00e9en. La double authentification est une mesure de s\u00e9curit\u00e9 pour v\u00e9rifier qu&rsquo;un utilisateur est bien celui qu&rsquo;il pr\u00e9tend \u00eatre lors d&rsquo;une connexion, ind\u00e9pendamment de tout cadre eIDAS. Les deux sujets sont compl\u00e9mentaires mais distinctEn r\u00e9sum\u00e9eIDAS 2 (R\u00e8glement UE 2024\/1183) impose \u00e0 chaque \u00c9tat membre de fournir un portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique d&rsquo;ici fin 2026, avec une obligation d&rsquo;acceptation pour de nombreuses organisations d\u00e8s fin 2027. Son m\u00e9canisme de divulgation s\u00e9lective traduit concr\u00e8tement le principe de minimisation des donn\u00e9es du RGPD, en permettant de prouver un attribut sans transmettre l&rsquo;identit\u00e9 compl\u00e8te. La CNIL reste vigilante sur les risques de centralisation excessive et appelle \u00e0 pr\u00e9server la pluralit\u00e9 des identit\u00e9s num\u00e9riques et des moyens d&rsquo;acc\u00e8s non num\u00e9riques. Les organisations concern\u00e9es doivent d\u00e8s maintenant cartographier leurs parcours d&rsquo;identification et anticiper les impacts sur leur documentation RGPD.Anticiper l&rsquo;impact d&rsquo;eIDAS 2 sur vos parcours utilisateursSourcesR\u00e8glement (UE) 2024\/1183 (eIDAS 2) \u2014 EUR-LexL&rsquo;ANSSI se f\u00e9licite de l&rsquo;entr\u00e9e en vigueur de la r\u00e9vision du r\u00e8glement eIDAS \u2014 cyber.gouv.frCommission Nationale de l&rsquo;Informatique et des Libert\u00e9s (CNIL)MDP Data Protection &#8211; Digital Omnibus : ce que le S\u00e9nat fran\u00e7ais demande de d\u00e9fendre \u00e0 BruxellesPour aller plus loinCNIL -  Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesMDP Data Protection - Logiciel RGPD : comment choisir la solution id\u00e9ale pour votre entrepriseLes solutions MDP Data ProtectionMDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformit\u00e9 multi-r\u00e9glementaire (RGPD, NIS2 et IA Act...), avec une approche op\u00e9rationnelle et \u00e9volutive.SimplyRGPD : Pilotage de votre conformit\u00e9 au quotidien.MDP CAMPUS : Notre parcours de sensibilisation en vid\u00e9os p\u00e9dagogiques de 3 \u00e0 7 minutes.MDP Diagnostic : Diagnostic instantan\u00e9 de votre niveau de conformit\u00e9.Notre M\u00e9thode : le Continuous Compliance Operating System - CCOSEt si votre conformit\u00e9 vivait en continu, au lieu d'\u00eatre un livrable de plus ?D\u00e9couvrir la m\u00e9thode CCOS\u00c0 propos de l&rsquo;auteur Christophe SAINT-PIERRE&nbsp; \u2013 Fort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"eIDAS 2 et RGPD : ce que le portefeuille europ\u00e9en d&rsquo;identit\u00e9 num\u00e9rique change pour la protection des donn\u00e9es","item":"https:\/\/mdp-data.com\/eidas-2-rgpd-identite-numerique-minimisation-donnees\/#breadcrumbitem"}]}]