Le Forum ENISA Trust Services and eID Forum, organisé conjointement avec le CA Day à Split, a une fois de plus servi de plateforme centrale pour discuter de l’avenir de l’identité numérique, des services de confiance et des développements réglementaires en Europe. Les parties prenantes de l’industrie, les régulateurs, les organismes d’évaluation de la conformité et les représentants des utilisateurs ont débattu des opportunités et des défis liés à la mise en œuvre de eIDAS 2.0, à l’adoption des portefeuilles (EUDI wallets) et aux pratiques de supervision. Les discussions de cette année ont également abordé les développements internationaux aux États-Unis, au Japon et ailleurs, tout en explorant de nouveaux domaines tels que le European Business Wallet. Voici les dix enseignements les plus importants que clients, partenaires et observateurs du secteur devraient retenir :
1. La collaboration transfrontalière est indispensable
Le succès de l’écosystème européen d’identité numérique dépend de la coopération entre les États membres. Aucun État membre ni fournisseur privé ne peut réussir isolément. Des études de cas ont montré comment les gouvernements nationaux et les acteurs privés peuvent accélérer l’adoption en coordonnant pilotes, gouvernance et éducation des utilisateurs. Ce modèle collaboratif doit servir de référence pour les autres États membres, notamment avec les échéances obligatoires du Portefeuille d’identité numérique européen (EUDI Wallet) en 2026 et 2027.
2. Des points de départ différents façonnent les stratégies nationales
Les approches varient considérablement entre les États membres. Certains pays disposent déjà de schémas eID matures et largement adoptés, tandis que d’autres commencent presque à zéro. Sur les marchés avancés, les fournisseurs utilisent des taux d’adoption élevés pour tester les fonctionnalités des wallets de manière indépendante, parfois en dehors d’un alignement strict avec l’EUDI Wallet. Les marchés moins avancés se réfèrent aux cadres européens pour s’orienter. Cette disparité souligne la nécessité de stratégies de mise en œuvre flexibles et la complexité de l’harmonisation en Europe.
3. La monétisation des attributs : un sujet central
Le débat sur la viabilité financière des wallets se poursuit. La faisabilité technique a été démontrée à travers des pilotes à grande échelle tels que DC4EU, EWC, NOBID et POTENTIAL. Le véritable défi réside dans la construction de modèles économiques viables. La monétisation des attributs reste au cœur de la discussion : les émetteurs d’attributs et les services bénéficiaires doivent percevoir des bénéfices clairs, sinon les portefeuilles risquent de rester de simples outils de conformité, sans incitations à une adoption plus large.
Du point de vue de Namirial, il a été souligné que l’écosystème a besoin de modèles pratiques pour montrer comment la monétisation des attributs peut fonctionner en pratique. Une attention particulière a été portée aux approches respectueuses de la vie privée, notamment la norme ETSI TR 119 479-2 initiée par Namirial, visant à concilier durabilité commerciale et stricte conformité aux principes de protection des données. Bien conçue, la monétisation peut renforcer la confiance tout en fournissant des incitations aux émetteurs et aux relying parties.
4. Vérification d’identité : complexe mais essentielle
La vérification d’identité est l’un des aspects les plus gourmands en ressources dans l’identité numérique. Les normes ETSI TS 119 461 v2 et associées définissent les exigences en matière de niveaux d’assurance, mais la mise en œuvre opérationnelle reste complexe. Les fournisseurs doivent gérer simultanément prévention de la fraude, conformité réglementaire et expérience utilisateur. Une complexité excessive peut décourager l’adoption. De nombreux acteurs ont insisté sur la simplification sans compromettre la confiance, afin de garantir que la vérification d’identité reste robuste mais gérable.
5. Certification et supervision nécessitent agilité
Les organismes de supervision et l’ENISA ont souligné que les cadres de certification évoluent, mais que des lacunes persistent. Les Conformity Assessment Bodies (Organismes d’évaluation de la conformité – CABs) sont techniquement prêts à auditer les nouveaux services de confiance mais ne peuvent émettre de rapports avant d’être accrédités selon le cadre révisé. En septembre 2025, aucun CAB n’avait achevé ce processus, suscitant des inquiétudes quant aux retards de déploiement. L’ENISA a constitué un Ad-hoc Working Group (groupe de travail ad hoc – AHWG) pour élaborer un Conformity Assessment Scheme (schéma d’évaluation de la conformité – CAS), avec une revue par les pairs prévue en 2026 et une mise en œuvre à partir de 2028. D’ici là, les régimes nationaux doivent combler le vide et la reconnaissance mutuelle entre états membres sera essentielle.
6. Les données et la perspective des utilisateurs comptent
Les recherches présentées au Forum ont montré que l’adoption ne se fera que si les utilisateurs perçoivent une valeur tangible. Des avantages tels qu’un onboarding plus rapide, une réduction de la fraude et l’accès à de nouveaux services numériques stimulent l’adoption. Giorgia Dragoni, du Digital Identity Observatory de la POLIMI School of Management, a fourni des perspectives précieuses sur les dynamiques d’adoption. La communication reste cruciale : les utilisateurs doivent comprendre non seulement la disponibilité des wallets, mais pourquoi leur utilisation facilite leur quotidien. Sans conception et communication centrées sur l’utilisateur, la réglementation seule ne garantit pas l’adoption.
7. Compétitivité et sur-réglementation
L’avenir de l’écosystème européen dépend de l’équilibre entre ambition réglementaire et compétitivité. La réglementation est nécessaire pour assurer confiance et sécurité, mais une rigidité excessive risque de freiner l’innovation. Les acteurs du secteur rappellent que l’Europe doit conserver des opérateurs privés compétitifs à l’échelle mondiale. La consolidation du marché est attendue avec l’augmentation des exigences de conformité, la dimension transfrontalière devenant un avantage décisif. Une surréglementation pourrait nuire à cette compétitivité, alors que les acteurs internationaux avancent rapidement.
8. Sécurité et résilience : NIS2, DORA, CRA
Les prestataires de services de confiance opèrent sous plusieurs régimes réglementaires : eIDAS 2.0, NIS2, Cyber Resilience Act (CRA), Digital Operational Resilience Act (DORA). Ces cadres superposés entraînent des risques de duplications d’audits et de rapports fragmentés. Les régulateurs explorent l’harmonisation afin que la conformité aux exigences eIDAS satisfasse également les obligations NIS2. Les fournisseurs doivent adopter des stratégies globales de gestion des risques et de cybersécurité, tout en se préparant aux pressions de consolidation liées aux coûts élevés de conformité.
9. Les pilotes à grande échelle démontrent la faisabilité mais pas les incitations
Les pilotes financés par l’UE ont montré que l’interopérabilité des wallets fonctionne en pratique, dans des secteurs tels que la finance, la santé et la mobilité. Cependant, la faisabilité technique ne suffit pas : il manque des incitations. Les émetteurs d’attributs, les relying parties et les fournisseurs de wallets doivent percevoir une véritable justification économique. Sans cela, les portefeuilles risquent de stagner malgré des démonstrations techniques réussies. Les décideurs politiques sont encouragés à intégrer les incitations dans le cadre dès le départ.
10. Perspectives : adoption, Business Wallet et PQC
Trois priorités stratégiques :
- Adoption : l’usage des wallets est volontaire ; l’adoption dépend d’une valeur claire pour l’utilisateur, soutenue par l’éducation et la communication.
- European Business Wallet (EUBW) : d’ici fin 2025, la Commission européenne devrait publier une proposition permettant aux entreprises de conserver et présenter des credentials tels que LEI, mandats et attestations d’entreprise, élargissant considérablement le concept de wallet au-delà des individus.
- Post-Quantum Cryptography (PQC) : nécessité urgente d’agilité algorithmique ; les prestataires doivent planifier dès aujourd’hui les chemins de migration, même si les normes finales PQC ne sont pas encore stabilisées.
Contexte mondial : développements hors UE
Aux États-Unis, plus de 18 États émettent des mobile IDs conformes à ISO/IEC 18013-5, acceptés par la TSA dans les aéroports. Une solution digitale intégrée aux passeports est prévue fin 2025. Le Royaume-Uni a avancé avec le Digital Identity and Attributes Trust Framework (DIATF) et annoncé l’identité numérique obligatoire pour prouver le droit au travail. Le 28 septembre, les citoyens suisses ont approuvé l’introduction d’une identité électronique. Le Japon, le Canada et l’Australie étendent les pilotes de wallets, tandis que la OpenWallet Foundation promeut des infrastructures open-source. Le LEI vérifiable (vLEI) de GLEIF gagne en importance comme credential d’entreprise mondial fiable. Les parties prenantes européennes participent activement pour garantir interopérabilité et reconnaissance mutuelle.
Perspective Namirial
Pour Namirial, le Forum a réaffirmé trois messages stratégiques :
- Adoption d’abord : les wallets ne réussiront que si utilisateurs et entreprises perçoivent des bénéfices clairs.
- Consolidation à venir : les exigences pour les QTSP augmentent, et Namirial construit activement le plus grand QTSP paneuropéen pour y répondre.
- Inciter les attributs : la monétisation des attributs doit être une opportunité pour les émetteurs et les tiers bénéficiaires, pas une charge pour les utilisateurs.
Ces priorités se reflètent dans les produits et solutions Namirial :
- Namirial Onboarding : simplifie la vérification d’identité tout en respectant les standards réglementaires les plus élevés.
- Namirial Sign : offre des signatures électroniques sécurisées, évolutives et accessibles.
- Namirial Wallet Platform : permet une participation complète à l’EUDI Wallet et au futur European Business Wallet.
Le Forum 2025 a confirmé que l’Europe est à un point critique : les fondations réglementaires progressent, les pilotes prouvent la faisabilité, et de nouveaux services comme le Business Wallet émergent. Des incertitudes subsistent : certification, connectivité aux sources authentiques et incitations pour l’adoption. Les comparaisons internationales montrent que d’autres régions progressent rapidement, et l’Europe doit rester agile. La collaboration entre régulateurs, fournisseurs et utilisateurs reste décisive.
Namirial est fière de se trouver en première ligne de ce processus continu d’innovation et de changement, confirmant son engagement à façonner l’avenir des services de confiance et de l’identité numérique avec l’écosystème européen.