eIDAS 2 et wallet européen : ce que ça change pour les entreprises françaises

eIDAS 2 et le wallet européen bouleversent l'identité numérique en France. Cet article explore les impacts sur les entreprises et les opportunités à saisir. Lisez-le maintenant !

Le règlement eIDAS 2 est en vigueur depuis avril 2024 : les entreprises françaises ont jusqu’à 2026 pour s’adapter

Identité numérique entreprise France wallet européen eIDAS 2

Le calendrier est fixé et il ne bouge pas. Le Parlement européen a adopté le règlement eIDAS 2 en février 2024. Deux mois plus tard, il était publié au Journal officiel de l’Union européenne sous la référence Règlement (UE) 2024/1183. Le compte à rebours démarre pour toutes les entreprises françaises.

Ce texte remplace et élargit considérablement le règlement eIDAS de 2014. L’ancienne version s’adressait surtout aux grandes DSI et traitait les signatures électroniques. eIDAS 2 change la donne : il touche tous les acteurs économiques, introduit de nouveaux niveaux de garantie et impose la création d’un portefeuille d’identité numérique européen – l’EUDIW (European Union Digital Identity Wallet). Tous les États membres de l’UE devront proposer ce wallet à leurs citoyens et entreprises d’ici 2026. une obligation.

Autre point clé : les très grandes plateformes en ligne désignées au sens du DSA devront obligatoirement accepter ce wallet comme moyen d’identification d’ici fin 2026. Ce détail change tout. Ce n’est plus juste une affaire de services publics ou de banques – c’est une infrastructure qui va impacter les parcours d’achat, l’intégration de nouveaux clients et la signature de contrats dans des milliers d’entreprises françaises.

Et c’est là que ça pose problème. Trop peu de dirigeants de PME et d’ETI français savent que cela les concerne directement. Si votre entreprise signe des contrats en ligne, gère des accès à des plateformes réglementées ou participe à des appels d’offres publics, eIDAS 2 va modifier vos processus. Il vaut mieux s’y préparer plutôt que le subir au dernier moment.

France Identité et le wallet européen : l’ANTS pilote un chantier à 46 millions d’euros

En France, c’est l’Agence Nationale des Titres Sécurisés (ANTS) qui porte le projet national. Elle édite depuis 2022 l’application France Identité, qui permet de créer une identité numérique officielle directement à partir de sa carte nationale d’identité électronique (CNIe). C’est le socle sur lequel le wallet européen sera construit côté français.

Le Schéma National d’Identification Électronique (SchémaID) français a été notifié à la Commission européenne avec le niveau de garantie « élevé » – le plus haut dans la hiérarchie eIDAS. Ce choix impose aux fournisseurs de services qui se connecteront à France Identité des exigences techniques strictes en matière d’authentification et de sécurité.

La France participe au pilote POTENTIAL, l’un des quatre consortiums financés par la Commission européenne pour tester le wallet EUDIW en conditions réelles. Ces quatre projets – POTENTIAL, EWC (European Wallet Consortium), DC4EU et NOBID – ont reçu un financement global de 46 millions d’euros de la Commission (2022-2024) pour expérimenter les vrais cas d’usage : mobilité, services financiers, éducation, marchés publics.

Comment anticiper dès maintenant ?

  • Suivre les publications de l’ANTS sur france-identite.gouv.fr pour connaître les dates de déploiement du wallet national
  • Identifier dans vos processus les points de friction liés à l’identification (onboarding client, signature, accès marchés publics)
  • Vérifier si vos prestataires IAM (gestion des identités et accès) ont une feuille de route compatible eIDAS 2
  • Désigner un référent interne pour suivre les actes d’exécution de la Commission européenne – les spécifications techniques évoluent encore en 2025-2026
  • Participer aux consultations publiques organisées par l’ANTS pour les secteurs professionnels concernés

Mais sur le terrain, France Identité reste peu connu des entreprises de taille intermédiaire. L’application fonctionne pour les particuliers depuis 2022 – son extension aux usages professionnels et son articulation avec l’EUDIW sont en cours, mais les PME françaises y voient encore largement du brouillard.

À découvrir aussi : Création d’entreprise en France : le ralentissement de 2026 expliqué.

Tableau comparatif : les quatre pilotes européens du wallet face aux besoins des entreprises françaises

Identité numérique entreprise France wallet européen eIDAS 2 - illustration

Les quatre Large Scale Pilots financés par la Commission européenne ne testent pas les mêmes choses. Voici leur positionnement et ce qu’ils changent concrètement pour les entreprises françaises.

Pilote Pays coordinateur Principaux cas d’usage testés Participation française Pertinence PME françaises (sur 5)
POTENTIAL Espagne Mobilité, identité régalienne, services publics Oui 4/5
EWC Finlande Services financiers, KYC, banque-assurance Non 4/5
DC4EU Suède Éducation, diplômes, marchés publics, professions réglementées Non 3/5
NOBID Norvège Paiements, e-commerce, identité marchande Non 3/5

Les actes d’exécution de mars 2024 ont retenu deux formats techniques : ISO/IEC 18013-5 (hérité du permis de conduire mobile) et SD-JWT VC (un standard de credentials vérifiables à divulgation sélective). Ces choix structurent toute l’architecture – vos prestataires IAM doivent déjà les connaître. EWC intéresse particulièrement les entreprises françaises du secteur banque-assurance, même sans participation française directe, parce que les banques françaises devront intégrer le wallet pour leurs processus KYC.

Les attestations d’attributs qualifiés (QEAAs) vont transformer la gestion de l’identité juridique des entreprises

C’est la notion la plus importante d’eIDAS 2 pour les entreprises et la moins connue. Les QEAAs – Qualified Electronic Attestations of Attributes sont des attestations certifiées que le wallet peut stocker et présenter pour prouver des données professionnelles sans papier ni PDF signés.

Concrètement, pour une PME française, cela signifie :

  • La preuve du numéro SIRET directement depuis le wallet, sans extrait Kbis
  • Le statut juridique certifié (SARL, SAS, auto-entrepreneur) pour un onboarding bancaire
  • Les habilitations professionnelles sectorielles : certification RGE dans le BTP, autorisation d’exercice en pharmacie, statut CIF en finance
  • Les délégations de pouvoir : prouver qu’un collaborateur est habilité à signer au nom de la société
  • L’accès aux marchés publics : dossier de candidature pré-rempli et certifié

Les formats ISO/IEC 18013-5 et SD-JWT VC publiés en mars 2024 structurent techniquement ces attestations. La divulgation sélective (selective disclosure) permet de ne partager que les attributs nécessaires à chaque interaction. Une entreprise qui répond à un appel d’offres n’a pas à exposer l’intégralité de ses données légales : elle communique uniquement ce que le donneur d’ordre exige.

Le gain arrive sur deux fronts. D’abord l’efficacité : les démarches B2B et B2G qui demandent aujourd’hui des stacks documentaires fastidieuses se réduisent à une présentation de wallet. Ensuite la sécurité : la fraude documentaire – faux Kbis, fausses habilitations – devient structurellement plus difficile quand les attestations viennent de fournisseurs qualifiés au sens d’eIDAS 2.

Très grandes plateformes, banques, administrations : qui devra accepter le wallet européen avant fin 2026 ?

eIDAS 2 crée des obligations différentes selon le type d’acteur. Les très grandes plateformes désignées au sens du DSA – réseaux sociaux dépassant 45 millions d’utilisateurs mensuels en Europe, grandes marketplaces, moteurs de recherche – devront obligatoirement accepter le wallet EUDIW comme moyen d’identification avant fin 2026. Pour les entreprises qui utilisent ces plateformes comme canal de distribution ou d’acquisition, cela signifie des changements dans les flux d’authentification et potentiellement dans les conditions d’accès aux outils publicitaires ou marchands.

À lire aussi : Statut auto-entrepreneur 2026 : toutes les nouvelles règles.

Les banques et établissements financiers sont également visés : le wallet deviendra un moyen d’accomplir le KYC réglementaire. Les professions réglementées (avocats, experts-comptables, notaires) et les services publics en ligne seront progressivement intégrés dans le périmètre obligatoire.

Mon entreprise est-elle obligée d’adopter le wallet eIDAS 2 avant 2026 ?

Non, sauf si votre entreprise est désignée comme très grande plateforme au sens du DSA. Pour les PME et ETI, il n’y a pas d’obligation directe avant 2026. En revanche, si vous travaillez avec des donneurs d’ordre publics ou des banques, ces partenaires pourront exiger le wallet dans leurs processus. L’anticipation reste fortement recommandée.

Quelles sanctions sont prévues en cas de non-conformité pour les plateformes ?

Le règlement renvoie aux mécanismes de sanction des États membres. Les très grandes plateformes qui refusent d’intégrer le wallet s’exposent à des procédures d’infraction au niveau européen, similaires à celles du DSA. Les montants précis dépendent de la transposition nationale – la législation française d’adaptation n’est pas encore finalisée à ce stade.

Le wallet européen remplace-t-il la signature électronique qualifiée existante ?

Non. Le wallet est un contenant : il peut embarquer une signature électronique qualifiée (QES), mais il n’en est pas un substitut. Les signatures qualifiées existantes restent valables. Ce qui change, c’est que le wallet permettra d’y accéder et de les utiliser plus facilement, depuis un seul point d’entrée standardisé.

Interopérabilité technique, RGPD et cybersécurité : les trois chantiers que les DSI français ne peuvent pas ignorer

Intégrer le wallet EUDIW dans les systèmes existants n’est pas un projet de quelques semaines. Trois chantiers s’imposent en parallèle.

L’interopérabilité est le premier défi. La plupart des entreprises françaises de taille moyenne fonctionnent avec des stacks IAM (gestion des identités et des accès) basés sur OAuth 2.0, OpenID Connect ou SAML. Les formats ISO/IEC 18013-5 et SD-JWT VC introduits par les actes d’exécution de mars 2024 ne sont pas nativement supportés par ces systèmes. Une mise à jour des connecteurs d’authentification est inévitable.

Le RGPD pose une question intéressante. La divulgation sélective est une vraie avancée pour la protection des données personnelles – on ne partage que l’essentiel. Mais côté entreprise, la réception d’attestations via wallet soulève des questions sur leur durée de conservation, leur intégration dans les CRM et leur traitement ultérieur. Les DPO devront mettre à jour les registres de traitement.

La cybersécurité est le troisième front. Un wallet d’identité devient une cible prioritaire pour les attaquants. Les entreprises qui l’intégreront dans leurs parcours clients devront réviser leur analyse de risques EBIOS ou ISO 27005 et vérifier que leurs fournisseurs de services de confiance sont bien qualifiés eIDAS 2.

Sur le même sujet : Organiser un séminaire à Lyon et sa région : guide complet pour les entreprises.

Actions préparatoires concrètes pour les équipes techniques :

  • Auditer les systèmes IAM et SSO existants pour identifier les gaps de compatibilité
  • Mettre en place une veille active sur les actes d’exécution de la Commission (publication en cours jusqu’en 2026)
  • Contacter l’ANTS pour les consultations sectorielles ouvertes aux entreprises
  • Réviser la politique de gestion des identités dans les contrats fournisseurs
  • Former les équipes sécurité aux spécificités du modèle de menaces lié au wallet
Attention : le niveau « élevé » visé par France Identité impose des exigences strictes aux fournisseurs de services qui s’y connectent. Si votre application métier doit s’interfacer avec le wallet national, votre propre niveau de sécurité sera audité. Ce n’est pas une contrainte à minima.

Mon avis de rédacteur : eIDAS 2 est une opportunité concrète, mais la France doit accélérer sous peine de rater le coche

J’ai passé plusieurs heures à éplucher les actes d’exécution de mars 2024 et les documents du pilote POTENTIAL. Ce qui m’a le plus marqué, c’est le fossé énorme entre la qualité du travail technique réalisé – c’est du bon travail – et l’absence quasi totale de communication vers les entreprises de taille intermédiaire.

46 millions d’euros européens investis dans des pilotes réels, une application France Identité opérationnelle depuis 2022, des formats techniques publiés. Et la plupart des dirigeants de PME françaises n’en ont jamais entendu parler. un problème de communication institutionnelle.

Mais je me refuse à voir eIDAS 2 comme une contrainte réglementaire de plus. C’est une infrastructure de confiance. Prouver son SIRET, ses habilitations et ses délégations de pouvoir directement depuis un wallet – sans PDF, sans Kbis, sans vérification manuelle – ça va réduire des frictions réelles dans les échanges B2B et B2G. Les entreprises qui répondent à des appels d’offres publics ou qui gèrent des onboardings clients lourds le savent bien : chaque document éliminé du processus vaut de l’argent réel.

Et les organisations professionnelles ? Les CCI et les fédérations sectorielles ont un rôle évident à jouer pour accompagner leurs membres. Ce rôle est aujourd’hui largement absent du dossier eIDAS 2.

Ma position est simple : les entreprises qui anticipent dès maintenant la migration de leurs processus d’identification – onboarding client, signature de contrats, accès aux marchés publics – prendront une avance réelle sur celles qui attendront 2026. Pas une avance de papier. Une avance mesurable en délais, en coûts de traitement documentaire et en taux de conversion.

Le calendrier est serré. Mais pour une fois, la contrainte réglementaire européenne arrive avec une vraie infrastructure derrière elle.