D’ici novembre 2026, tous les Etats membres de l’Union européenne devront mettre à disposition de leurs citoyens des portefeuilles européens d’identité numérique. Ils permettront aux utilisateurs de services, qu’ils soient publics ou privés, de s’identifier ou s’authentifier de manière sécurisée et en fournissant uniquement les données strictement nécessaires à la fourniture du service.
« Chaque fois qu’une application ou un site web nous propose de créer une nouvelle identité numérique ou de nous connecter facilement via une grande plateforme, nous n’avons aucune idée de ce que deviennent nos données. C’est pourquoi la Commission proposera une identité électronique européenne sécurisée. Une identité fiable, que tout citoyen pourra utiliser partout en Europe pour n’importe quel usage, comme payer ses impôts ou louer un vélo. Une technologie qui nous permettra de contrôler quelles données nous partageons et l’usage qui pourra en être fait. », a déclaré Ursula von der Leyen, présidente de la Commission européenne.
Si, de prime abord, cette évolution semble renforcer la sécurité de nos données, des interrogations et des craintes subsistent en matière de protection des données personnelles et de la vie privée.
De l’identification électronique au portefeuille européen d’identité numérique
Le règlement européen n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit « eIDAS », a posé les bases de l’identification électronique au sein de l’Union européenne. Il définit l’identification électronique comme le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale. Il s’agit donc d’un processus technique permettant de prouver son identité à l’aide de moyens électroniques.
L’objectif principal de ce texte était de faciliter les transactions électroniques transfrontalières en assurant la reconnaissance mutuelle des moyens d’identification électronique et des signatures électroniques entre États membres. Ce règlement a introduit plusieurs éléments clés, dont les schémas d’identification électronique notifiés, qui permettent cette reconnaissance mutuelle. Concrètement, lorsqu’un service public en ligne exige un certain niveau de sécurité, il doit accepter un moyen d’identification étranger, à condition qu’il provienne d’un schéma notifié et qu’il offre un niveau de garantie équivalent ou supérieur. Cela permet aux citoyens de l’Union européenne d’accéder plus facilement aux services publics en ligne des autres pays membres.
Le texte a également défini trois niveaux de garantie (faible, substantiel, élevé) pour qualifier la fiabilité d’un moyen d’identification électronique. Ces niveaux garantissent que la personne qui se présente comme titulaire d’une identité en est bien la détentrice réelle.
Enfin, le règlement eIDAS a introduit les prestataires de services de confiance qualifiés (PSCo). Ce sont des entités qui fournissent des services en matière de signature électronique, de cachets électroniques, d’horodatages, d’envois recommandés électroniques ou encore de certificats d’authentification de site web. Régulièrement contrôlés, leur statut atteste de leur conformité à des exigences strictes en matière de sécurité et de fiabilité.
Si ce règlement a permis de démocratiser l’identification électronique et de renforcer la confiance des citoyens dans les transactions à distance, le cadre réglementaire est resté relativement stable alors même que les usages numériques ont profondément évolué en dix ans.
L’évaluation du règlement eIDAS a mis en évidence plusieurs limites : peu d’États membres ont notifié leurs systèmes nationaux (14 en septembre 2018, couvrant seulement 59 % des résidents de l’UE), restreignant l’accès transfrontalier fiable. Par ailleurs, le champ d’application se limitait essentiellement au secteur public, alors que la majorité des besoins d’identification se situent aujourd’hui dans le secteur privé (banques, plateformes, etc.). Le texte ne couvrait pas non plus la gestion des attributs électroniques (comme les diplômes ou certificats médicaux), ni la possibilité, pour les utilisateurs, de limiter le partage de données personnelles au strict nécessaire.
Dans un contexte marqué par le développement des échanges à distance et la généralisation des démarches administratives en ligne, la capacité à s’identifier et s’authentifier de manière fiable et sécurisée est devenue indispensable. L’identification permet de distinguer un individu au sein d’un ensemble, souvent à l’aide d’un identifiant unique, tel qu’un numéro de sécurité sociale ou un identifiant attribué par une application. L’authentification, quant à elle, vérifie que l’identité numérique utilisée correspond bien à la personne qui la revendique. Cette vérification peut reposer sur un mot de passe, la possession d’un objet (comme un smartphone), ou des données biométriques.
Face à ces nouveaux besoins, l’Union européenne a engagé une révision de sa réglementation. La nouvelle version du règlement eIDAS, entrée en vigueur le 20 mai 2024, prévoit la création d’un portefeuille européen d’identité numérique (European Digital Identity Wallet). L’objectif est d’offrir aux citoyens et aux entreprises un moyen sûr et pratique de s’identifier et de s’authentifier, en ligne comme hors ligne, d’accéder à des services publics et privés dans toute l’Union européenne, et de stocker et partager des attributs numériques (comme un permis de conduire ou un diplôme) de manière sécurisée et sous le contrôle de l’utilisateur.
Ce portefeuille repose sur le concept d’identité numérique, qui regroupe l’ensemble des informations permettant d’identifier une personne physique dans un environnement numérique : nom, prénom, âge, lieu de naissance ou pseudonyme, par exemple. Ces données, enregistrées sous format numérique, permettent d’associer une personne à d’autres informations et d’accéder à divers services, en ligne ou non. Une même personne peut posséder plusieurs identités numériques selon les contextes d’usage — sphère sociale, professionnelle ou de loisirs — et selon le niveau de fiabilité requis.
L’identité numérique peut se décliner en deux formes :
- l’identité « régalienne », directement liée à l’état civil, généralement utilisée pour des démarches administratives ou officielles ;
- l’identité « non régalienne », comme un pseudonyme ou un nom d’usage, davantage utilisée dans des contextes informels, tels que les réseaux sociaux ou les plateformes de commerce en ligne.
Elle repose sur un moyen d’identification électronique (MIE), tel qu’une application mobile ou une carte à puce. Le portefeuille européen d’identité numérique est précisément un type de MIE qui permet de gérer et d’utiliser cette identité numérique dans divers contextes, facilitant ainsi les démarches nécessitant une identification électronique.
Si ce projet ambitieux présente des avantages certains, il soulève également de nombreux défis et risques croissants.
Les atouts et défis du portefeuille d’identité numérique européen
Parmi les avantages notables du futur portefeuille d’identité numérique européen figure le contrôle accru que les citoyens pourront exercer sur leurs données personnelles. Il sera par exemple possible de prouver son âge sans divulguer son identité complète, ce qui constitue une avancée majeure en matière de protection de la vie privée. Cette capacité est particulièrement pertinente dans un contexte où la vérification de l’âge en ligne est devenue une priorité pour les pouvoirs publics, notamment pour encadrer l’accès des mineurs aux réseaux sociaux et aux contenus pour adultes. À cet égard, la Cnil recommande explicitement de ne pas collecter de pièces d’identité comme la carte nationale, ce qui renforce l’intérêt d’une solution numérique fiable et sécurisée pour la transmission d’informations personnelles.
L’identité numérique pourrait également contribuer à améliorer la cybersécurité au quotidien, en limitant la prolifération de mots de passe, souvent faibles ou stockés de manière peu sécurisée. Un système unifié d’identification, sécurisé par des mécanismes robustes d’authentification, faciliterait l’accès aux services tout en réduisant les risques liés à la gestion individuelle des identifiants.
Autre avantage stratégique : cette solution publique européenne pourrait représenter une alternative aux outils d’authentification proposés par les géants du web tels que Google ou Facebook. En redonnant aux citoyens la maîtrise de leurs données, elle contribuerait à réduire la dépendance à ces plateformes privées et à renforcer la souveraineté numérique européenne.
Malgré ses promesses, le projet de portefeuille d’identité numérique doit relever plusieurs défis, notamment en matière de protection des données personnelles. La Cnil insiste sur la nécessité de garantir à l’utilisateur une liberté de choix : l’identité numérique ne doit pas devenir le seul moyen d’accéder aux services publics ou privés. Des alternatives physiques devront impérativement être proposées.
Enfin, la Cnil insiste sur le fait qu’il est essentiel d’éviter toute centralisation excessive des données. L’autorité recommande que ces services soient fournis par une diversité d’acteurs, publics et privés, afin de prévenir les risques de surveillance de masse et de garantir un équilibre entre innovation et respect des libertés individuelles.
En réponse à cette dynamique européenne, la France a lancé l’application France Identité, qui permet aux citoyens d’utiliser une version numérique sécurisée de leur carte d’identité. L’objectif est de simplifier l’accès aux services en ligne — et à terme hors ligne — tout en assurant un haut niveau de sécurité. Le déploiement se fait progressivement, avec pour ambition d’intégrer de nouvelles fonctionnalités et d’assurer la compatibilité avec le portefeuille européen en cours de développement.
Avec ce futur portefeuille d’identité numérique, l’Union européenne affirme donc sa volonté de reprendre le contrôle d’un champ aujourd’hui largement dominé par les géants du numérique. Il ne s’agit plus seulement de simplifier l’accès aux services, mais de redonner aux citoyens la maîtrise de leurs données dans un espace numérique de confiance. La France, avec l’application France Identité, s’inscrit activement dans cette dynamique. Reste à garantir que cette identité numérique ne devienne ni un vecteur d’exclusion numérique, ni un outil de surveillance généralisée. Le véritable défi est là : bâtir un outil à la fois efficace, souverain et fidèle aux valeurs européennes de liberté et de protection des droits fondamentaux.
