Guide du conseil d’administration sur la confiance numérique dans le secteur bancaire

Ce qu’il faut décider en 2026 pour eIDAS 2.0, l’adoption des wallets d’identité numérique et le passage de l’identification vidéo à la self-identification

La discussion autour du European Digital Identity Wallet (EUDI Wallet) ne porte plus sur la question de savoir si les wallets vont arriver. Il s’agit désormais de décider et de mettre en œuvre. eIDAS 2.0 passe de l’intention législative à une mise en œuvre concrète. Parallèlement, le régime européen de lutte contre le blanchiment devient opérationnel à travers l’AMLR et les Regulatory Technical Standards (RTS) associés, y compris la question pratique de la manière dont la vérification d’identité à distance doit être réalisée. Dans le même temps, PSR et PSD3 définissent le cadre pour l’exécution des paiements et l’authentification forte du client (SCA), qui reste centrale pour l’onboarding numérique, la gestion des comptes et les parcours d’approbation.

Sur le plan opérationnel, ces cadres convergent désormais. eIDAS répond à la question « qui est cette personne ? ». Les règles AML/CFT répondent à la question « pouvons-nous établir ou poursuivre cette relation ? ». PSR et PSD3 régissent à « comment approuvons-nous et authentifions-nous les paiements de manière sécurisée ? ». Dans la pratique, l’identité, les contrôles anti-blanchiment et la sécurité des paiements deviennent une seule chaîne de confiance et de preuves plutôt que trois piles de conformité distinctes.

Ce que de nombreuses équipes de direction sous-estiment encore n’est pas la direction réglementaire, mais la réalité opérationnelle de l’adoption.

• Risque d’interopérabilité. Il n’y aura pas un seul wallet. Il y aura plusieurs wallets soutenus par les États et, selon les pays, des implémentations privées, différents formats de credentials, différentes politiques d’émetteurs, et différents régimes d’enregistrement. Les banques ont besoin d’un modèle opérationnel indépendant du wallet plutôt que d’un plan basé sur un seul wallet.
• Responsabilité et auditabilité. Accepter un wallet ne signifie pas seulement ajouter une nouvelle option de connexion. Cela modifie la manière dont l’identité est prouvée dans le cadre du Customer Due Diligence (CDD) et la robustesse de cette preuve lors d’un audit, d’une supervision ou d’un litige ultérieur. Le KYC traditionnel fondé sur des documents physiques ne disparaîtra pas. Mais lorsque la vérification à distance repose sur des documents physiques, l’approche la plus solide consiste à conclure ce parcours par une signature électronique qualifiée (QES) et à s’appuyer sur des procédures certifiées ETSI alignées sur eIDAS 2.0 afin que la banque construise une chaîne de confiance numérique juridiquement robuste de bout en bout.
• Le dernier kilomètre entre conformité et conversion. Un parcours d’identification à distance conforme mais trop lent ou trop complexe n’est pas un avantage stratégique. Un parcours à haut niveau d’assurance avec un fort taux de conversion constitue à la fois une réduction des risques et un levier de croissance.

Ces sujets sont au centre de l’attention en 2026 parce que les feuilles de route d’onboarding et d’adoption des wallets sont de plus en plus discutées publiquement et dans le secteur. La pression ne vient pas uniquement de la réglementation. Elle vient aussi des attentes des clients : les parcours numériques doivent être rapides, intuitifs et sans rupture de canal, tout en produisant des preuves capables de résister à la supervision, aux audits et aux litiges.

Le changement central en 2026 : de la vidéo-identification à la self-identification

Pour de nombreuses banques, le véritable tournant opérationnel n’est pas seulement le wallet. C’est la question de savoir quelle méthode d’identification à distance deviendra la norme à partir de maintenant. La logique émergente des RTS de l’AMLR donne la priorité aux méthodes définies par eIDAS : eID notifié, EUDI Wallet et signatures électroniques qualifiées (QES). Ce n’est que lorsque ces voies ne sont pas disponibles ou ne peuvent raisonnablement être proposées qu’une autre forme de vérification à distance basée sur des documents d’identité physiques devient pertinente. Cela fait des méthodes alternatives une solution de secours avec des exigences supplémentaires de contrôle, de documentation et de justification.

En pratique, cela signifie que les banques devraient cesser de concevoir l’onboarding futur uniquement autour des méthodes d’identification à distance définies dans les lois AML nationales actuelles, comme les appels vidéo assistés par un opérateur, simplement parce que cette approche a été utilisée au cours des dix dernières années. Lorsque les clients n’utilisent pas encore d’identité numérique, la voie recommandée avec l’entrée en vigueur de l’AMLR en juillet 2027 consistera à structurer la vérification à distance basée sur le document d’identité physique de manière alignée sur eIDAS 2.0, protégée par des contrôles basés sur les standards ETSI et conclue par une QES. Cela crée un parcours juridiquement valide et continu, ancré à un niveau élevé de la hiérarchie réglementaire, plutôt qu’un processus à assurance plus faible qui devra être justifié au cas par cas.

Le fait que l’expérience d’identification à distance soit accompagnée par un opérateur humain dans une session vidéo ou réalisée par l’utilisateur sous forme de parcours self-ident non assisté devient alors un choix de conception secondaire. La question principale n’est plus « opérateur ou pas d’opérateur ? », mais « comment fournir le niveau d’assurance souhaité avec la meilleure expérience client, le meilleur taux de conversion et la chaîne de preuves la plus solide ? »

Pourquoi ce changement est important

• Conversion et rapidité. Les temps d’attente détruisent la conversion. Le self-ident combiné à une QES immédiate élimine les files d’attente, commence immédiatement et peut être réalisé 24 heures sur 24.
• Scalabilité. La capacité des opérateurs humains est limitée, coûteuse et dans les modèles assistés doit souvent être multilingue. Le self-ident s’adapte plus facilement aux pics de demande, aux campagnes et aux variations saisonnières.
• Résilience opérationnelle. Le modèle opérationnel passe de la gestion des files d’attente et du personnel au contrôle qualité et à la gestion des solutions de secours : que se passe-t-il dans les cas critiques, lorsque la qualité des images est insuffisante, lorsque des signaux de fraude apparaissent ou lorsque les utilisateurs se perdent dans le parcours ?
• Adéquation réglementaire. Si les eID conformes à eIDAS, les wallets et les QES deviennent les méthodes privilégiées, chaque voie alternative doit être limitée, mesurable, documentée et défendable devant le superviseur financier. Des procédures d’identification à distance certifiées ETSI permettant l’émission d’une QES peuvent jouer ce rôle même lorsqu’il s’agit de parcours entièrement non assistés basés sur un selfie.

Un onboarding intelligent signifie aujourd’hui moins d’étapes, une meilleure orchestration et surtout aucune attente d’un opérateur, sauf dans des cas réellement exceptionnels.

Les attentes se renforcent : eIDAS devient la norme, les solutions de secours doivent être justifiées

Si l’identification vidéo assistée reste aujourd’hui l’élément principal de votre stack AML/KYC, 2026 est l’année où il faut cesser de considérer la migration comme facultative. La direction est claire : l’identification électronique alignée sur eIDAS devient la norme pour l’identification à distance, tandis que les méthodes alternatives restent possibles uniquement si elles sont justifiées, sécurisées, documentées et alignées sur le profil de risque de l’institution.

Cela concerne plus que le seul onboarding retail. Cela concerne aussi la réidentification, la récupération de compte, la gestion d’activités suspectes, les produits à haut risque et les parcours de signature où la qualité de la preuve pourrait être contestée devant un tribunal ou lors d’un examen par le superviseur.

Stratégiquement, la question n’est pas seulement « comment intégrons-nous l’utilisation des wallets ? ». C’est « quel est notre parcours KYC par défaut et comment concevons-nous des parcours de secours à la fois centrés sur le client et prêts pour l’audit ? »

Dans la pratique, l’eID et l’EUDI Wallet constituent la voie privilégiée pour les clients qui possèdent déjà et utilisent ces moyens. Pour tous les autres, l’option la plus solide est un parcours compatible QES basé sur un processus d’identification à distance aligné sur eIDAS 2.0 à partir du document d’identité physique de l’utilisateur.

Un parcours d’onboarding simplifié sans QES peut encore être possible dans certains cas, mais c’est la voie qui exige beaucoup plus de confiance de la part du superviseur et davantage de justification. Dans tous les cas, le service d’identification choisi doit être en mesure de démontrer une certification ETSI pour le processus d’identification à distance concerné.

Consultations et RTS : influencer maintenant plutôt que retravailler plus tard

AMLA travaille sur les standards techniques au cours de l’année 2026, tandis que les consultations sur la Customer Due Diligence restent très pertinentes pour les banques qui souhaitent influencer la mise en œuvre pratique. Il s’agit d’une véritable opportunité de réduire les risques futurs. Les institutions qui apportent dès maintenant leur expérience opérationnelle sur les sources de données, les méthodes de vérification, la proportionnalité et la logique de fallback peuvent réduire les révisions ultérieures des contrôles, des narratifs d’audit et des discussions avec les superviseurs. Cela est particulièrement important pour les modèles d’affaires transfrontaliers.

Ce que les boards doivent décider en 2026 : trois blocs de décision

A. Parcours cibles : où le wallet et l’identité numérique deviennent le plan de contrôle par défaut

Une erreur fréquente consiste à considérer l’adoption du wallet comme un projet unique avec une seule mise en production. Une approche plus pratique consiste à définir un portefeuille de parcours, chacun avec des exigences explicites d’assurance, de preuve et de canaux.

Pour la plupart des banques, trois processus clés devraient être définis en 2026 pour une mise en œuvre en 2027.

• Onboarding retail (initial KYC), y compris les variantes transfrontalières et les flux pour les non-citoyens.
• Parcours de réidentification tels que récupération de compte, changement d’appareil, activité suspecte et révisions de limites de transaction.
• Parcours de signature à forte valeur économique, tels que contrats de crédit, onboarding wealth mangement et pouvoirs de signature corporate.

Pour les banques ayant une forte orientation corporate, un quatrième parcours peut être ajouté : l’onboarding corporate (KYB) et la vérification des pouvoirs de signature. Les vérifications numériques d’attestations peuvent déjà aujourd’hui réduire significativement le travail manuel de contrôle et de rapprochement, tandis qu’à l’avenir le futur European Business Wallet promet également des processus beaucoup plus simples dans ce domaine.

Pour chaque parcours, le board devrait décider :

• Posture digital first. Utiliser eID ou l’EUDI Wallet chaque fois que possible. Pour les utilisateurs qui disposent déjà de ces moyens d’identification, c’est généralement le parcours client le plus simple et le moins coûteux pour la relying party.
• Conception du fallback. Pour les clients qui utilisent encore des documents d’identité physiques, utiliser des procédures d’identification à distance compatibles avec la QES. Les modèles self-ident non assistés devraient dépasser les modèles assistés en termes de scalabilité et de coût, même si les deux peuvent coexister pendant un certain temps.
• Couverture des canaux. Définir comment le parcours fonctionne dans l’application, le web mobile, le desktop, les canaux assistés et les scénarios cross-device.

B. Stratégie de preuve : « pouvoir le démontrer en 2027 et au-delà » est la véritable exigence

La preuve ne se limite pas au stockage des logs. Pour la supervision, les litiges, les procédures transfrontalières et les incidents de sécurité, chaque parcours client doit disposer d’un ensemble de preuves défini.

Les boards devraient exiger des décisions claires sur ce qui est collecté, sur la manière dont l’intégrité et l’horodatage sont protégés, sur la manière dont les auditeurs peuvent examiner le matériel et sur la manière dont la conservation, la minimisation et la limitation de finalité sont mises en œuvre opérationnellement.

Cet ensemble de preuves devrait inclure les artefacts de vérification capturés, les résultats de vérification, les évaluations de risque, les décisions, les consentements des clients et les raisons de tout traitement spécial ou parcours de fallback.

Ce point devient encore plus important si une banque souhaite encore utiliser des flux de vidéo-identification sans QES dans certains cas exceptionnels. L’ensemble de preuves pour ces exceptions doit rester solide, vérifiable et défendable, non seulement lorsque le parcours fonctionne parfaitement, mais surtout lorsqu’il ne fonctionne pas.

C. Modèle opérationnel et gouvernance : l’introduction du wallet n’est pas un projet ponctuel

La préparation aux wallets concerne la conformité, les canaux numériques, la prévention de la fraude, la sécurité informatique, le juridique et les opérations. Les boards devraient donc définir un modèle opérationnel durable avec un sponsor exécutif responsable, un product owner de bout en bout pour les parcours d’identité et de confiance et des responsabilités explicites pour la certification et l’enregistrement lorsque cela est pertinent, la gestion des incidents, la supervision des prestataires de services, la gouvernance des contrôles automatisés et des modèles de risque ainsi que la mise en œuvre des changements liés aux nouveaux standards et aux nouvelles règles.

La question stratégique n’est pas « wallet oui ou non ? ». Elle est « quel modèle opérationnel nous amènera en toute sécurité jusqu’en 2027 et nous permettra de rester scalables ensuite ? »

À quoi ressemblent les bonnes décisions en 2026

• Financer les parcours clés de bout en bout : expérience utilisateur, contrôles, preuves et opérations ensemble.
• Définir une politique cohérente d’assurance d’identité et réduire le nombre de méthodes parallèles utilisées au quotidien.
• Faire du wallet et de l’eID la voie par défaut lorsque cela est possible, sans s’attendre à obtenir toutes les attestations nécessaires uniquement par ce biais.
• Proposer la self-identification comme alternative standard scalable pour les utilisateurs sans wallet ni eID.
• Maintenir les procédures assistées comme solution de secours plutôt que comme modèle principal.
• Traiter l’interopérabilité comme un risque de premier ordre entre plusieurs wallets, formats de justificatifs numériques et variantes nationales.
• Définir l’auditabilité comme une exigence produit afin que les parcours restent reconstructibles même des années plus tard.

C’est ainsi que la fenêtre 2026–2027 peut devenir un avantage durable en matière de confiance numérique : transfrontalière, indépendante du wallet et plus conviviale pour les clients, car ils n’ont plus à attendre un opérateur pour poursuivre leur parcours.

---

Recommandations pour approfondir la lecture

• Bitkom e.V. (with BMDS) – “Memorandum of Understanding zur erfolgreichen Einführung der EUDI-Wallet”
• Agence France Titres and signatories – “Mémorandum d’Entente pour la mise en œuvre et l’adoption du portefeuille européen d’identité numérique”
• Johannes Wirtz; Chantal Raab (Bird & Bird) – “Videoident nur noch als Fallback: Die EBA setzt auf eIDAS”
• AMLA – “Consultation on the draft RTS on Customer Due Diligence”
• European Commission – “European Commission adopts new round of EU Digital Identity Wallet implementing regulations”
• PwC Netherlands – “PSD3/PSR is coming: New regulations affect all parties within the payment sector”
• European Parliament Legislative Train – “Revision of EU rules on payment services”