Table des matières

Le rôle stratégique des QTSP en tant que catalyseurs de mise en œuvre

QTSP : partenaire stratégique dans la course européenne à l’identité numérique pour les institutions financières

Les institutions financières doivent être prêtes pour le portefeuille EUDI avant décembre 2027. Pourtant, peu d’entre elles ont clairement anticipé et intégré ce que cela implique concrètement.

La réponse, dans la plupart des cas, n’est pas de construire l’infrastructure d’identité seul.

Le problème de conformité dont personne ne parle ouvertement

Répondre aux exigences de l’eIDAS 2.0 peut sembler simple sur le papier. Il suffit de : Accepter un portefeuille numérique pour l’identification des clients, Se connecter à des services de confiance qualifiés, Maintenir la souveraineté des données au sein de l’UE, Et garantir l’interopérabilité transfrontalière.

En pratique, chacune de ces exigences se décompose en couches de complexité technique, juridique et opérationnelle que la plupart des institutions ne sont pas en mesure de gérer en interne à la vitesse requise notamment parce que les spécifications techniques du portefeuille EUDI sont encore en cours de finalisation.

Les États membres avancent à des rythmes différents, avec des dispositifs nationaux distincts (France Identité, l’IT-Wallet italien, la Cartera Digital espagnole, l’approche par phases allemande). Les formats de credentials, les protocoles d’interopérabilité et les voies de certification varient. Et tout cela s’ajoute aux obligations existantes au titre du RGPD, de DORA, de NIS2, de l’AMLR et encore du PSD3.

Ainsi, pour les institutions financières agir seules signifie mobiliser des équipes d’ingénierie qui seront consacrées au suivi des évolutions de protocoles dans 27 implémentations nationales, mais aussi obtenir et maintenir des certifications réglementaires dans plusieurs juridictions, et enfin absorber des risques à chaque étape de l’implémentation. Cela implique donc une mobilisation significative de ressources au détriment des décisions stratégiques et de l’innovation centrée client qui différencient réellement les institutions.

Ce qu’un QTSP apporte et qu’un intégrateur système ne peut pas offrir

C’est la distinction qui compte le plus en pratique : un intégrateur système exécute selon une spécification définie. Un Prestataire de Services de Confiance Qualifié fait partie de l’infrastructure réglementaire elle-même.

Les QTSP sont des entités accréditées au titre de l’eIDAS, inscrites sur les listes de confiance nationales et soumises à des audits de conformité continus. Leurs services qualifiés (signatures électroniques, cachets, horodatages, livraison certifiée, archivage à long terme) bénéficient d’une reconnaissance juridique transfrontalière automatique dans les 27 États membres de l’UE. Sans validation supplémentaire, sans négociation juridiction par juridiction.

Pour les institutions financières, cette distinction a des conséquences directes. Lorsqu’une banque s’associe à un QTSP pour l’intégration du wallet et la vérification d’identité, elle n’achète pas seulement un service technique. Elle se connecte à une infrastructure de qualité réglementaire qui est déjà reconnue, déjà auditée et déjà interopérable à l’échelle européenne.

C’est la différence entre construire et intégrer un partenaire déjà conforme, gage de sécurité et rapidité.

L’avantage d’exécution : comment les QTSP compriment le temps et minimisent le risque

Intégration du wallet sans gestion des protocoles : Les QTSP disposant d’une infrastructure wallet active offrent des SDK et des API qui abstraient la complexité des protocoles wallet en évolution (OpenID4VCI, OpenID4VP), des multiples formats de credentials et de l’interopérabilité transfrontalière. L’institution se connecte une fois et hérite de la couche d’interopérabilité sans avoir à la construire puis la maintenir de façon indépendante.

Reconnaissance réglementaire dans plusieurs juridictions : Un QTSP paneuropéen dispose déjà de certifications et de relations réglementaires dans plusieurs États membres. Pour les institutions opérant en mode transfrontalier, cela élimine la nécessité de naviguer dans chaque régime national de certification de façon individuelle, un processus qui peut prendre des mois et mobiliser des ressources juridiques significatives par juridiction.

Convergence eIDAS 2.0 et AMLR, déjà intégrée : L’un des aspects les plus complexes du paysage réglementaire actuel est qu’un seul processus de vérification d’identité doit désormais répondre simultanément aux exigences d’eIDAS 2.0, de l’AMLR et du PSD2/PSD3. Un QTSP aligné sur les normes ETSI TS 119 461 v2 fournit une vérification d’identité qui répond aux trois exigences, supprimant la nécessité de concevoir et de valider des processus de conformité distincts pour chaque régime réglementaire.

Souveraineté des données by design : Plusieurs grandes institutions financières européennes se doivent de garantir que les données d’identité et de signature restent sous juridiction de l’UE. Les QTSP dont le siège est en Europe et qui opèrent sous le droit européen offrent cette garantie de façon structurelle, contrairement aux prestataires non européens dont le traitement des données reste soumis à des législations extraterritoriales comme le CLOUD Act américain.

La question est donc : construire ou s’associer à un QTSP ?

Dans les entretiens menés avec des dirigeants de grandes banques européennes pour le rapport BCG x Namirial sur l’identité numérique, un schéma récurrent est apparu : la balance penche vers le partenariat avec un QTSP, en particulier pour les couches techniquement complexes de l’intégration du wallet.

Comme l’a très bien formulé, l’un des contributeurs interrogés, directeur IT senior :

« Le produit est ce qui rend les choses possibles et accélère tout ; l’intégrateur système ne fait qu’exécuter plus vite ce qui est déjà sur le papier. »

Il ne s’agit pas d’une décision d’achat. C’est une décision de séquençage stratégique. Les institutions qui s’associent pour la couche d’infrastructure technique et réglementaire peuvent diriger leur propre investissement vers les décisions qui les différencient : le positionnement stratégique dans l’écosystème d’identité, la conception de l’expérience client et les capacités de processus et de risque que les autres ne peuvent pas reproduire.

Les institutions qui passent les 18 prochains mois à construire des protocoles wallet en interne arriveront à décembre 2027 avec une infrastructure de conformité. Celles qui s’associent tôt à un QTSP pourront développer un positionnement stratégique au sein de l’écosystème.

La course au premier entrant est ouverte (mais pas indéfiniment)

Le déploiement échelonné des portefeuilles EUDI nationaux crée un avantage pour le premier adoptant qui est réel mais limité dans le temps. Le portefeuille national français est déjà opérationnel. L’Italie et l’Espagne sont en phase pilote. L’Allemagne vise le début de l’année 2027. À mesure que chaque portefeuille national atteindra une échelle d’utilisation significative, les institutions déjà intégrées seront positionnées pour capter du volume dès le premier jour. Celles qui seront encore en train de finaliser leur intégration auront à rattraper leur retard.

L’échéance de décembre 2027 est le plancher de la conformité et une obligation. Pour les institutions qui veulent définir leur position dans l’écosystème, plutôt que simplement s’y conformer, l’échéance est proche et implique de travailler sur le sujet dès le début de l’année 2027.

L’opportunité est maintenant, la question est de savoir qui s’en saisira en premier.

CONTACTEZ NAMIRIAL

Namirial est le plus grand groupe de Prestataires de Services de Confiance Qualifiés d’Europe, avec une reconnaissance réglementaire dans plusieurs pays, une infrastructure d’intégration de wallet et une plateforme complète de Gestion des Transactions Numériques. Nous aidons les institutions financières à passer de la conformité à l’avantage dans l’écosystème.

Autres articles