Le portefeuille européen d’identité numérique : un changement majeur pour les particuliers et les entreprises

Maitre de conférences en droit à IMT Atlantique, Claire Levallois-Barth pilote la chaire « Valeurs et politiques des informations personnelles », qui travaille sur le portefeuille européen d’identité numérique, dont l’entrée en service est prévue en novembre 2026. Elle explique les enjeux de ce vaste projet - et sa complexité.

Vous coordonnez la chaire « Valeurs et politiques des informations personnelles » (VP-IP), qui travaille notamment sur le « portefeuille européen d’identité numérique » (PEIN). En quoi consiste au juste ce portefeuille ?

C.L-B : C’est l’aboutissement d’une longue histoire. La construction du marché intérieur européen prévoit en effet la libre circulation des personnes, mais aussi des marchandises, des services et des capitaux. D’où l’idée de créer un portefeuille numérique, interopérable entre les Etats membres de l’UE, afin d’en faire un guichet unique pour les différents documents d’identité (carte d’identité, passeport, etc.). L’objectif est de permettre à chacun, particulier ou entreprise, de disposer d’une identité numérique pour accéder aisément à des services publics et privés dématérialisés toujours plus nombreux. Tout cela nécessite bien sûr une identification fiable et pratique à laquelle on adjoint, et c’est important, les données rattachées à cette identification. Des justificatifs pourront ainsi être stockés et partagés - permis de conduire, passeport européen de sécurité sociale, attestation de personne handicapée, factures d’énergie …. Mais la multiplication des fonctionnalités pose des problèmes complexes.

Concrètement, comment les choses se présenteront-elles pour l’utilisateur ? Aurons-nous une identité européenne unique ?

C.L-B : A terme, chacun pourra avoir dans son smartphone (ou son ordinateur) une application qui lui permettra de prouver son identité, de signer électriquement et donc de conclure des contrats, d’obtenir des justificatifs comme des diplômes, une procuration de vote, voire un billet de train ou une réservation d’hôtel… Avec ces attestations, on pourra aussi récupérer des données liées à son identité - appelées « attributs » - et générer de nouveaux justificatifs. 
Un point à souligner : la personne sera obligée d’utiliser son identité légale uniquement lorsque la loi impose de l’identifier ou lorsque cela est imposé par un contrat. Dans les autres cas, elle pourra générer un pseudonyme ce qui lui permettra d’utiliser plusieurs identités. Chacun conservera sa liberté de choix et d’action, puisqu’il ne sera pas obligatoire d’utiliser le portefeuille européen d’identité numérique. C’est un point très important. L’approche du PEIN est donc conforme aux valeurs européennes : il s’agit de mettre l’utilisateur au centre, et de lui permettre de choisir ses attributs et les entreprises ou organismes avec lesquels il communique. L’idée est qu’il puisse par exemple récupérer les données auprès de son assureur automobile, et les envoyer à un autre assureur pour obtenir une meilleure proposition commerciale.

Quel est le calendrier prévu ?

C.L-B : En avril 2024 a été publié le règlement (UE) eIDAS2 , qui fournit un cadre européen relatif à une identité numérique. L’horizon, désormais, c’est novembre 2026. A cette date, chaque pays de l’UE devra émettre au moins un portefeuille, avec un minimum de fonctionnalités. France Identité devra ainsi se conformer aux normes européennes, et être interopérable avec les services publics des autres Etats membres.

De nouvelles pratiques et nouveaux business

Quels sont les arguments qui ont poussé à l’élaboration de ce portefeuille ?

C.L-B : Il y a d’abord un objectif économique : faciliter des transactions sûres, partout en Europe, et créer une infrastructure qui permet le partage des données. Un autre argument fort a été celui de fluidifier les démarches administratives, de limiter le poids de la bureaucratie.

L’entrée en service du PEIN va donc générer de nouvelles habitudes pour tous les utilisateurs… 

C.L-B : Dans de nombreux domaines, le portefeuille va déboucher sur de nouvelles pratiques, pour les particuliers comme pour les entreprises. On pourra l’utiliser hors ligne, dans un hôpital en Italie par exemple ou pour prouver que l’on a plus de 18 ans lors de l’achat d’alcool. L’expérience client sera aussi transformée. Il sera par exemple possible de réserver et de louer une voiture avec son smartphone, en présentant son permis de conduire de façon sécurisée. Et il est même question de payer avec l’euro numérique.

Côté entreprises, va-t-on voir apparaître de nouveaux business en lien avec le PEIN ?

C.L-B : L’apport pour l’entreprise sera majeur. Ses relations avec l’administration (française ou d’un pays de l’UE) devraient être simplifiées en facilitant l’utilisation du portail unique numérique. Elle pourra bien sûr signer électroniquement des contrats et délivrer des factures sous la forme d’attestations électroniques d’attributs, avec un certain niveau de fiabilité. Il y a peut-être là une nouvelle activité, un nouveau business à développer : émettre ces justificatifs, moyennant rémunération.
 

Claire Levallois-Barth pilote la chaire VI-IP


Quel est le rôle de la chaire VP-IP ? Comment fonctionne-t-elle ?

C.L-B : Il s’agit d’une chaire de recherche de l’Institut Mines-Télécom créée en 2013 et portée par l’école. Elle a actuellement pour mécènes IN Groupe (ex-Imprimerie nationale), spécialiste des questions d’identité et d’échanges sécurisés, l’opérateur télécom Orange, Clever Cloud une PME nantaise ainsi que la CNIL . La chaire associe quatre disciplines : le droit, l’économie, l’informatique et aussi, et c’est important, la philosophie, avec un spécialiste des questions de confiance. Elle dispose d’un représentant permanent à Bruxelles, lieu de négociation et de mise en œuvre de nombreuses régulations. L’ambassadeur de France au numérique, Henri Verdier, le député Philippe Latombe, Commissaire à la CNIL, ou le secrétaire général de l’Institut de la Souveraineté Numérique, Bernard Benhamoun, participent à nos réflexions. 
Depuis sa création, la chaire se penche surtout sur les questions posées par l’utilisation des données personnelles et les identités numériques. Nous travaillons sur les business modèles, l’impact économique, les questions liées aux pseudonymes ou les configurations techniques permettant de dévoiler le moins possible de données personnelles, les stratégies que les utilisateurs adoptent pour protéger leur vie privée … Bref, tout ce qui a trait à la confiance dans le traitement des données, y compris la question de la souveraineté. Nous sommes en contact avec de nombreux acteurs concernés par l’application du RGPD  ou du règlement sur l’intelligence artificielle, au niveau français comme européen. La chaire n’est pas seulement un espace de discussion : ses travaux débouchent sur des textes qui vont avoir un impact très concret sur la vie des citoyens. Nous essayons de faire notre part afin d'aider à garantir le bon respect de tous ces équilibres complexes et fragiles, tout en conservant fermement l'objectif du progrès apporté par le numérique.

Un enjeu : la sécurité des échanges

Les enjeux de sécurité sont donc primordiaux…

C.L-B : En effet. Tous les portefeuilles européens d’identité numérique doivent présenter le niveau de sécurité le plus haut, le niveau élevé, et se baser sur le principe de sécurité dès la conception. Ils doivent être certifiés au maximum 5 ans en s’appuyant sur des schémas de cybersécurité établis au niveau européen pour obtenir le label de confiance pour le PEIN. De son côté, le fournisseur de services (une banque, un opérateur télécom …) devra s’enregistrer au niveau national et fournir un certain nombre d’informations prouvant qu’il est digne de confiance. Il pourra alors figurer sur une « liste de confiance » publique. L’entreprise devra utiliser une interface spécifique, sécurisée, pour communiquer avec le PEIN de ses clients. De son côté, le client devra lui aussi fournir certaines données qui figureront dans son portefeuille, afin que l’entreprise puisse se fier à lui. Sur ces sujets, nous avons encore une foule de recherches à effectuer, de solutions à élaborer. Par exemple, comment prouver en ligne sa majorité, sans relever aucune autre donnée non nécessaire, y compris mes noms et prénoms.

Le portefeuille numérique ne pose-t-il pas aussi des enjeux de souveraineté ?

C.L-B : La question se pose à trois niveaux. La souveraineté de l’utilisateur, d’abord, qui est une priorité : il doit pouvoir garder la main sur son identité et ses données. C’est la raison pour laquelle le portefeuille comprendra un tableau de bord qui me permettra de voir avec qui je suis entrée en contact et quelles sont les données que j’ai transmises. Si j’ai un doute, je vais pouvoir en avertir la Cnil. Souveraineté aussi des Etats membres car l’identité est une compétence régalienne qui peut être remise en question. Et surtout, il y a la question de la souveraineté européenne. Le portefeuille doit aussi être utilisable au plan mondial, en se basant sur des normes définies dans des instances internationales comme la norme ISO sur les permis de conduire. D’où des négociations qui soulèvent un certain nombre de difficultés, pour s’assurer que les données sont utilisées conformément au RGPD. La chaire travaille justement à traduire les principes de protection des données personnelles dans les normes techniques.
Enfin, certaines données qui figurent dans le smartphone, doivent être enregistrées dans une partie sécurisée. Or pour accéder à ce « secure element », il faut l’accord du fabricant de smartphone, qui la plupart du temps n’est pas européen. D’où une négociation assez rude avec ces géants américains comme Samsung ou Apple. La même question s’est d’ailleurs posée pour les données concernant l’application TousAntiCovid. De plus chaque pays, chaque nation a son rapport propre à la souveraineté, à "sa" souveraineté. Il nous faut toutes les concilier, à la fois dans l’esprit mais surtout la pratique

Où seront stockées les données personnelles ?

C.L-B : Certaines sont stockées dans le smartphone lui-même, d’autres dans le cloud, ou sur les serveurs des organismes avec lesquels l’utilisateur communique. II n’y a pas d’obligation de stockage dans l’UE. Les discussions portant sur la certification cloud européenne (EUCS) ont pour l’instant conduit à ne pas exiger un stockage sur le sol européen pour les niveaux les plus élevés de la sécurité. Or, fin décembre 2023, une loi autorisant les services de renseignement américains à accéder aux données des entreprises et citoyens non-américains (le Foreign intelligence surveillance act ou FISA) a été étendue son champ d’application au nom de la sécurité nationale. Le risque est que, contre notamment l’avis de la France qui dispose d’un référentiel Cloud de haut niveau, l’UE n’assure pas un niveau suffisant de sécurité des données, à l'abri des législations extra-européennes. On se privera alors de la possibilité de rester autonome et de faire émerger des clouds sur le continent réduisant notre dépendance économique. Reste que l’objectif est quand même de remettre la main sur nos propres données, qu’il s’agisse des données des individus ou des entreprises.

Un chantier particulièrement complexe

Les fournisseurs de portefeuille pourront-ils être des entreprises privées ?

C.L-B : Oui, et cela pose forcément question. En France, ce sujet est confié à France Identité. Mais chaque pays pourra émettre plusieurs portefeuilles numériques - et choisir une entreprise privée comme Itsme en Belgique pour gérer l’identité numérique de ses citoyens ou ressortissants. D’ailleurs, les Apple Wallet, Google Wallet and Samsung Wallet sont utilisés lors des contrôles de sécurité effectués dans les aéroports américains.

Quel est le principal point d’achoppement entre les pays européens ?

C.L-B : Tous les Etats sont d’accord sur le niveau de sécurité. A mon avis, le principal problème réside dans la mise en application des règles du RGPD, notamment pour éviter que des identifiants numériques aussi parlant que notre numéro de sécurité sociale circulent à tout va. Les dispositions actuelles laissent chaque Etat décider s’il inclut ou non un tel numéro dans les données qui permettent de m’identifier. La France et l’Allemagne ne le feront pas. Un autre point de discussion porte sur la preuve à divulgation nulle de connaissance. Par exemple, sur la base de ma date de naissance, il est possible de construire une preuve mathématique de la réponse (oui/non) à une question comme : « avez-vous plus de 18 ans ? » sans révéler mon âge et encore moins ma date de naissance

Existe-t-il des différences d’approche, ou de culture, qui peuvent expliquer ces divergences ?

C.L-B : Les pays du Nord de l’Europe, notamment, sont bien plus numérisés que la France. Par exemple, certains Etats n’ont plus aucune version papier des différents documents personnels. Toutes les données sont numérisées, avec un back-up dans un autre Etat.

Reste-t-il encore beaucoup de points à régler avant l’entrée en service de ce portefeuille ?

C.L-B : Sa mise au point nécessite des négociations très complexes entre la Commission européenne et les Etats membres. Elle implique l’adoption de 10 règlements d’exécution, dont 5 seulement ont été adoptés fin novembre 2024, et 5 autres sont en cours de négociation... Le tout assorti de 63 standards et spécifications techniques (33 existants à ce jour). Nous avons encore beaucoup de travail devant nous ! Mais une fois en service, ce portefeuille européen sera un changement majeur pour les entreprises et les particuliers.

Publié le 28.01.2025

par Fabienne MILLET-DEHILLERIN

Témoignages associés
Energy Efficiency Manager chez STX France
Data Scientist chez Micropole
Doctorant en robotique au CEA
Département automatique, productique et informatiq…
Responsable R&D et innovation HENGEL Industrie
Responsable du département systèmes énergétiques e…
Responsable du département automatique, productiqu…