eIDAS 2.0 : l’Europe renforce sa souveraineté numérique avec le portefeuille d’identité européen

Règlement eIDAS 2.0 : vers une identité et souveraineté numérique européenne de confiance

Sécurité, Souveraineté, Identité ! Avec eIDAS 2.0, adopté en 2024, l’Europe exprime sa souveraineté sur l’identité numérique et la signature en ligne avec de belles promesses de simplicité d’usage.

De l’eIDAS 1 à eIDAS 2 : une décennie d’apprentissage et de maturité réglementaire

Adopté en 2014, la première version du règlement eIDAS avait  édicté des premiers principes d’un espace européen de confiance numérique en se focalisant sur des cas d’usage dont les preuves de confiance étaient garanties « physiquement » (présence physique dans un lieu, reçu physique, présentation d’une carte d’identité…).

Cette première version avait permis l’émergence de services concrets :

• la signature électronique a pris une valeur légale (utile pour signer un bail, un contrat ou un acte notarié à distance) ;
• les recommandés électroniques ont acquis la même force probante qu’un courrier papier;
• et des solutions comme FranceConnect+ ou France Identité ont facilité l’accès sécurisé aux services publics en ligne.

Dans la pratique, son adoption est restée hétérogène. Chaque état membre a avancé à son rythme, développant ses propres schémas de confiance et niveaux d’assurance (LoA), souvent sans interopérabilité effective.

Cette première étape a permis de mettre en place un système européen de gestion des certificats de confiance (PKI*) et de créer un réseau d’entreprises reconnues pour fournir des services de confiance numériques, ouvrant la voie à la version 2.0 du règlement.

Renforcement de la souveraineté numérique : le portefeuille européen d’identité numérique (PEIN)

La version 2.0 du règlement publiée l’année dernière, marque un tournant structurel avec la création du Portefeuille Européen d’Identité Numérique (PEIN), une application mobile sécurisée.

Celle-ci permet à chaque citoyen européen de :

• prouver son identité de manière décentralisée sans faire appel à un service tiers comme les impôts ou la sécurité sociale,
• stocker et partager des documents officiels (permis, diplôme, prescription médicale, etc.),
• signer électroniquement avec un haut niveau de preuves opposables comme le jour et l’heure de signature… (ce que la première version ne proposait pas sans investir de manière conséquente dans certains matériels),
• ou encore attester de certaines informations comme prouver sa majorité sans révéler sa date de naissance par exemple.

Voici quelques promesses :

• Une banque vous demande un justificatif de revenus pour un prêt ?
  Avec le portefeuille, vous pourrez partager uniquement le revenu fiscal de référence certifié par l’administration, sans exposer le reste de votre déclaration d’impôts.
• Un service d’administration vous demande une preuve de domicile ?
  Inutile d’envoyer votre facture EDF complète : le portefeuille permettra de transmettre uniquement l’adresse certifié par votre fournisseur à la date du jour en 1 clic.
• Besoin de prouver votre âge pour accéder à un service ?
  Le PEIN permettra de confirmer votre majorité sans révéler votre date de naissance ni d’autres données personnelles.

Techniquement, le PEIN adopte le principe d’une identité numérique décentralisée, dite « auto-souveraine », où chaque utilisateur garde la maîtrise de ses données. Il s’appuie sur des standards internationaux du W3C et sur des composants de sécurité certifiés. Chacun pourra ainsi utiliser son PEIN pour simplifier des démarches dans les autres états de l’union, à l’image de ce qu’il peut faire en France.

Chaque État devra proposer gratuitement ce portefeuille à ses citoyens d’ici 2027, mais son utilisation restera facultative.

Souveraineté et gouvernance : des opportunités concrètes au prix d’une révolution culturelle !

Derrière la contrainte réglementaire, eIDAS 2.0 ouvre de nombreuses opportunités : 

• Pour les citoyens, un accès simplifié aux services publics européens ou aux démarches administratives à distance ;
• Pour les entreprises, une simplification des parcours clients et une meilleure sécurité juridique ;
• Pour les prestataires de confiance, un cadre clair et reconnu pour offrir de nouveaux services certifiés

Les usages à venir sont multiples : ouverture de compte bancaire, inscription universitaire, démarches de voyage, stockage de documents médicaux…

Les applications PEIN seront proposées par les Etats mais aussi par des initiatives privées (comme Docaposte par exemple). Chacun d’entre nous aura le loisir de choisir dans quelle application PEIN il envisage de partager et stocker ses informations. Beaucoup aiment à penser qu’ils ne mettront pas tous leurs œufs numériques dans le même PEIN en installant 2 ou 3 PEIN dans leurs smartphones : un pour les services administratifs, un autre pour les services de consommations...

Au-delà de la technologie, le défi sera celui de la mise en œuvre : instaurer la confiance du citoyen envers un outil géré (en partie) par l’État, garantir la sécurité des terminaux mobiles, et accompagner les publics moins familiers du numérique.

Avec eIDAS 2.0, l’Europe trace la voie d’une identité numérique unifiée, plus simple, plus sûre et surtout… plus européenne.

*PKI (acronyme pour infrastructure à clé publique ou Public Key Infrastructure en anglais) est un système qui permet de gérer, distribuer et vérifier les certificats numériques afin d’assurer l’authenticité, la confidentialité et la sécurité des échanges sur les réseaux.