De l'identité numérique à l'entreprise : EIDAS 2.0 ouvre de nouvelles perspectives pour les entreprises.

Écrit par Gianpaolo Todisco

David Ottolenghi

Le 30 juillet 2025 a marqué la fin de la publication du nouveau paquet de règlements d'application du règlement (UE) 2024/1183, connu sous le nom d'eIDAS 2.0.

Il s'agit de huit actes fondamentaux qui définissent des normes techniques communes, des exigences minimales et des critères d'interopérabilité pour le fonctionnement des portefeuilles d'identité numériques européens ( EUDI Wallets ), jetant ainsi les bases du déploiement de services numériques sécurisés, certifiés et interopérables dans toute l'Union.

L'objectif est clair: mettre à la disposition des citoyens et des entreprises un outil simple, fiable et conforme leur permettant de s’identifier en ligne et de gérer de manière vérifiable leurs informations personnelles, professionnelles ou d’entreprise.

Dans ce contexte, l'identité, les qualifications et les attributs personnels ou professionnels – tels que la majorité, la détention de certaines certifications, les exigences professionnelles ou les autorisations d'entreprise – sont en quelque sorte «tokenisés », c'est-à-dire transformés en attestations numériques vérifiables et facilement utilisables dans de multiples contextes, y compris avec des outils de Zero-Knowledge Proof (ZKP), c'est-à-dire des technologies qui permettent de prouver la possession d'un attribut (par exemple, la majorité) sans révéler d'autres détails (par exemple, le nom ou la date de naissance).

Cela permet d'automatiser les contrôles et les accès de manière sécurisée, sélective et conforme au RGPD, facilitant ainsi l'interaction entre les organismes publics, les entreprises et les particuliers à l'échelle européenne.

Dans cet article, nous essayons de proposer quelques pistes de réflexion concrètes, notamment :

- pour les entreprises technologiques qui souhaitent développer des solutions compatibles avec le nouveau cadre européen ; et

- pour les entreprises commerciales souhaitant simplifier l'accès à des services, des produits et des contrats réservés à certaines catégories de clients, notamment grâce à l'utilisation d'outils tels que les preuves à divulgation nulle de connaissance.

Que prévoient les règlements d'application de l'eIDAS 2 ?

Le nouveau paquet législatif adopté le 30 juillet 2025 définit les exigences techniques et opérationnelles essentielles à la mise en œuvre de l'identité numérique européenne. En particulier, les règlements fixent les règles communes en matière de sécurité et d'interopérabilité pour les portefeuilles EUDI, ces portefeuilles d'identité numérique que chaque État membre devra mettre à la disposition de ses citoyens. Des normes sont également introduites pour les attestations qualifiées d'attributs (qualified attestations of attributes), c'est-à-dire des certifications numériques qui prouvent certaines caractéristiques de la personne ou de l'entreprise – telles que la majorité, la possession d'un numéro de TVA, l'inscription à des registres professionnels ou l'existence d'une procuration d'entreprise – y compris sous forme sélective, afin de protéger la vie privée.

Le paquet législatif régit également la manière dont les portefeuilles pourront interagir avec les prestataires de services fiduciaires et avec les services numériques publics et privés, garantissant ainsi l’interopérabilité entre différents pays et secteurs. Il définit en outre les normes techniques régissant l’accès des tiers aux données contenues dans le portefeuille, afin que les vérifications puissent être intégrées dans les systèmes d’entreprise de manière sécurisée, traçable et transparente. Enfin, les règlements imposent des obligations précises aux fournisseurs de portefeuilles numériques et aux prestataires de services de confiance, en établissant des critères communs pour la protection des données à caractère personnel, la transparence des opérations et la vérifiabilité des interactions numériques.

Où en sommes-nous et que manque-t-il encore ?

Avec l’adoption du nouveau paquet de règlements, le cadre réglementaire européen peut être considéré comme achevé dans son architecture de base, même s’il reste encore quelques étapes fondamentales à franchir pour une mise en œuvre effective du portefeuille EUDI à grande échelle :

  • Les portefeuilles numériques ne sont pas encore très répandus: chaque État membre devra agréer au moins un portefeuille EUDI officiel, et les prestataires privés devront mener à bien les procédures de certification (en Italie, le projet IT-Wallet, confié à PagoPA, est en cours).

  • Les services publics et privés devront s'adapter: la mise en œuvre technique et organisationnelle dans les systèmes actuels nécessitera des mises à jour et de nouvelles interfaces.

  • Les normes d'attribution et de vérification devront être testées dans la pratique: en particulier dans les secteurs réglementés (par exemple, la banque, le commerce électronique, la santé), il sera nécessaire de valider sur le terrain l'efficacité des certificats et des solutions intégrées.

Les premiers services pleinement opérationnels en environnement de production devraient voir le jour entre 2026 et 2027, mais dès aujourd’hui, des perspectives concrètes s’ouvrent pour développer des solutions compatibles et préparer l’intégration.

Quelles opportunités pour les entreprises commerciales et technologiques ?

Les implications pratiques de l'eIDAS 2 sont nombreuses. Parmi les plus intéressantes, on peut citer :

1. Pour les entreprises technologiques, il existe des possibilités de développer :

ou des services de vérification des attributs et d'intégration de portefeuilles, destinés aux organismes publics ou aux entreprises privées ;

ou des systèmes documentaires ou de gestion compatibles, capables de lire les attributs EUDI de manière native ;

ou des applications spécialisées dans les domaines juridique, médical, universitaire et financier.

2. Pour les entreprises commerciales, eIDAS 2 permettra de simplifier l'accès à des produits ou services soumis à des exigences spécifiques, tels que :

ou des produits vendus uniquement aux personnes majeures ;

ou des médicaments ou des dispositifs médicaux délivrés uniquement sur ordonnance ;

ou des services réservés aux professionnels, aux entreprises et aux organismes publics ;

ou des contrats ou des actes nécessitant la vérification du pouvoir de signature ou de la propriété de l'entreprise.

Tout cela sera possible sans avoir à traiter des données à caractère personnel qui ne sont pas strictement nécessaires à la fourniture du service : les attributs pourront être vérifiés une seule fois et affichés sur demande à l'aide d'outils de preuve à divulgation nulle de connaissance.

Clovers accompagne les entreprises technologiques, les start-ups et les opérateurs commerciaux :

  • dans l'analyse des opportunités offertes par le nouveau cadre réglementaire européen eIDAS 2,

  • dans la conception de solutions compatibles avec les portefeuilles numériques et

  • dans la gestion des aspects juridiques liés à la conformité, à la protection de la vie privée et à l'interopérabilité.

Gianpaolo Todisco
Retour

Les bandes sonores des défilés. Licences musicales et droits d'auteur
Suivant

Droits d'auteur et IA générative : qui est le « véritable » auteur ?