Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/eIDAS/eIDAS 2.0
🪪Identité numérique

Règlement (UE) 2024/1183 — Cadre européen relatif à une identité numérique (eIDAS 2)

Analyse du 12 mai 20263 sourcesVersion originale du règlement (UE) 2024/1183 ; l'application des obligations d'acceptation et de fourniture dépend de l'entrée en vigueur des actes d'exécution.EUR-Lex Original

Quelles obligations eIDAS-2 impose-t-il à mon entreprise — acceptation du portefeuille EUDI, enregistrement comme partie utilisatrice, ou exposition aux sanctions en tant que prestataire de services de confiance ?

eIDAS-2 distingue trois groupes d'adressataires : les prestataires de services de confiance s'exposent à des amendes administratives au plafond minimum européen de 5 millions d'EUR ou 1 % du chiffre d'affaires annuel mondial [Art. 16, par. 2] ; les parties utilisatrices privées dans douze secteurs réglementés (banque, santé, télécom, etc.) doivent accepter le portefeuille EUDI dans les 36 mois suivant l'entrée en vigueur des actes d'exécution, sur demande volontaire de l'utilisateur [Art. 5 sexies, par. 2] ; les parties utilisatrices s'enregistrent dans l'État membre d'établissement [Art. 5 ter].

Réponse courte

Le règlement (UE) 2024/1183 modifie le règlement eIDAS 910/2014 et introduit le portefeuille européen d'identité numérique (EUDI). Trois ensembles d'obligations sont à distinguer clairement : (1) Les États membres fournissent au moins un portefeuille EUDI dans les 24 mois suivant l'entrée en vigueur des actes d'exécution [Art. 5 bis]. (2) Toute partie utilisatrice qui entend utiliser le portefeuille s'enregistre dans l'État membre d'établissement avec indication de l'usage prévu et des catégories de données [Art. 5 ter] ; les parties utilisatrices privées (hors micro et petites entreprises) dans douze secteurs réglementés et les fournisseurs de très grandes plateformes en ligne doivent accepter le portefeuille sur demande volontaire de l'utilisateur [Art. 5 sexies, par. 2 et 3]. (3) Les prestataires de services de confiance qualifiés et non qualifiés sont soumis aux amendes minimales spécifiques de l'Art. 16, par. 2, et à la supervision selon l'Art. 20.

Concernés

Trois groupes d'adressataires nettement séparés : (a) États membres — fourniture du portefeuille [Art. 5 bis]. (b) Parties utilisatrices — enregistrement dans l'État membre d'établissement [Art. 5 ter] ; obligation d'acceptation (i) pour les organismes du secteur public qui exigent une identification électronique [Art. 5 sexies, par. 1], (ii) pour les parties utilisatrices privées (hors micro et petites entreprises) dans les douze secteurs transport, énergie, banque, services financiers, sécurité sociale, santé, eau potable, services postaux, infrastructure numérique, éducation et télécommunications, lorsque une authentification forte de l'utilisateur est exigée par la loi ou un contrat [Art. 5 sexies, par. 2], (iii) pour les fournisseurs de très grandes plateformes en ligne au sens de l'Art. 33 DSA [Art. 5 sexies, par. 3]. (c) Prestataires de services de confiance qualifiés et non qualifiés — régime de sanctions spécifique avec amendes minimales européennes [Art. 16, par. 2].

Échéance

L'échéance centrale d'acceptation pour les parties utilisatrices privées dans les douze secteurs réglementés court jusqu'à 36 mois après l'entrée en vigueur des actes d'exécution visés à l'Art. 5 bis, par. 23, et à l'Art. 5 quater, par. 6 [Art. 5 sexies, par. 2] ; les États membres fournissent le portefeuille dans les 24 mois suivant l'entrée en vigueur des mêmes actes d'exécution [Art. 5 bis]. Le règlement est en vigueur depuis 20 jours après publication ; la date d'application des obligations d'acceptation et de fourniture dépend de l'entrée en vigueur des actes d'exécution encore à adopter.

Risque

Les sanctions diffèrent selon l'adressataire. Pour les prestataires de services de confiance qualifiés et non qualifiés, l'Art. 16, par. 2 fixe des plafonds minimums européens d'amendes administratives : pour les personnes physiques, au moins 5 millions d'EUR ; pour les personnes morales, au moins 5 millions d'EUR ou 1 % du chiffre d'affaires annuel mondial total de l'entreprise à laquelle appartenait le prestataire au cours de l'exercice précédant l'infraction, le montant le plus élevé étant retenu. Les prestataires de services de confiance qualifiés peuvent perdre leur statut qualifié après procédure de supervision [Art. 20]. Pour tous les autres adressataires du règlement — notamment les parties utilisatrices privées et les fournisseurs de très grandes plateformes en ligne — la clause générale de sanctions de l'Art. 16, par. 1, s'applique : les États membres établissent des sanctions effectives, proportionnées et dissuasives, complétées par une application sectorielle (par ex. au titre du DSA, de la supervision nationale des télécoms ou des banques). Le règlement ne fixe pas de montants minimaux européens pour ces adressataires.

Preuves

Statut juridique

  • En vigueur
  • au 2026-05-12
  • Version originale du règlement (UE) 2024/1183 ; l'application des obligations d'acceptation et de fourniture dépend de l'entrée en vigueur des actes d'exécution.

Sources primaires

À faire maintenant

Juridique / DPO

  • Vérifier si votre organisation entre dans le champ des parties utilisatrices privées tenues d'accepter le portefeuille EUDI (secteurs listés à l'article 5 septies, par. 2) et évaluer l'exclusion PME [Art. 5 septies, par. 2].
  • Mettre à jour les conditions générales et les politiques de confidentialité pour intégrer l'obligation d'enregistrement des parties utilisatrices et la déclaration des données demandées [Art. 5 ter, par. 1 et 2].
  • Examiner la responsabilité civile renforcée : les prestataires de services de confiance qualifiés supportent désormais une présomption de faute inversée — adapter les clauses contractuelles en conséquence [Art. 13, par. 1].

Conformité

  • Établir un calendrier de mise en conformité avec les trois échéances échelonnées : rapport de conformité des prestataires qualifiés d'ici le 21 mai 2026, fourniture du portefeuille 24 mois après les actes d'exécution, acceptation sectorielle 36 mois après [Art. 51, par. 4 ; Art. 5 bis, par. 1 ; Art. 5 septies, par. 2].
  • Réaliser une analyse d'impact relative à la protection des données (AIPD) avant tout traitement de données via le portefeuille EUDI, conformément aux obligations de la partie utilisatrice [Art. 5 ter en lien avec les articles 35 et 36 du RGPD, considérant 17].
  • Cartographier les flux de données d'identification personnelle et d'attestations électroniques d'attributs pour garantir la minimisation des données et la limitation des finalités requises par le règlement [Art. 5 bis, par. 14].

IT / Sécurité

  • Préparer l'intégration technique des protocoles et interfaces communs du portefeuille EUDI, y compris la validation des données d'identification et le mécanisme d'authentification des parties utilisatrices [Art. 5 bis, par. 5 et Art. 5 ter, par. 7 et 9].
  • Planifier la certification de cybersécurité conformément aux schémas européens établis en vertu du règlement (UE) 2019/881, avec une évaluation des vulnérabilités tous les deux ans [Art. 5 quater, par. 2 et 4].
  • Mettre en place un processus de réponse aux incidents de sécurité du portefeuille EUDI avec un seuil de suspension immédiate et un délai de correction de trois mois avant retrait définitif [Art. 5 sexies, par. 1 et 2].

Produit / Ingénierie

  • Intégrer la prise en charge du portefeuille EUDI dans les parcours d'authentification utilisateur, en veillant à la divulgation sélective de données et à l'utilisation de pseudonymes lorsque l'identification n'est pas requise [Art. 5 bis, par. 4, point a) ; Art. 5 ter, par. 9].
  • Implémenter un tableau de bord de transparence pour les utilisateurs du portefeuille, incluant l'historique des transactions, la liste des parties utilisatrices et la possibilité de demander l'effacement des données [Art. 5 bis, par. 4, point d)].
  • S'assurer que les fonctionnalités liées au portefeuille EUDI sont accessibles aux personnes handicapées conformément à la directive (UE) 2019/882 (Acte européen sur l'accessibilité) [Art. 5 bis, par. 21].

Termes clés

Portefeuille européen d'identité numérique (EUDI Wallet)
Moyen d'identification électronique sécurisé fourni par ou au nom d'un État membre, permettant aux personnes physiques et morales de stocker, partager et présenter des données d'identification et des attestations d'attributs de manière contrôlée.
Partie utilisatrice
Personne physique ou morale qui se fie à une identification électronique, au portefeuille EUDI ou à un service de confiance pour la fourniture de ses services [Art. 3, point 6 modifié].
Attestation électronique d'attributs
Attestation sous forme électronique permettant l'authentification d'attributs tels que des qualifications académiques, des titres professionnels ou d'autres caractéristiques vérifiables d'une personne [Art. 3, point 45].
Prestataire de services de confiance qualifié
Prestataire fournissant un ou plusieurs services de confiance qualifiés (signatures, cachets, horodatages, envoi recommandé, archivage) et ayant obtenu le statut qualifié auprès de l'organe de contrôle national [Art. 3, point 20].
Niveau de garantie élevé
Degré de confiance le plus élevé dans un moyen d'identification électronique, offrant une assurance renforcée quant à l'identité revendiquée. Le portefeuille EUDI doit satisfaire à ce niveau [Art. 8 et considérant 28].
Divulgation sélective
Capacité de l'utilisateur du portefeuille EUDI de ne partager que les données d'identification strictement nécessaires pour une transaction donnée, conformément au principe de minimisation des données [Art. 5 bis, par. 4, point a)].
Registre électronique
Nouveau service de confiance introduit par eIDAS 2 : séquence de données électroniques enregistrées garantissant l'intégrité et l'ordre chronologique des enregistrements [Art. 3, point 53 et Art. 45 quater].
?

Questions fréquentes

Le portefeuille européen d'identité numérique est-il obligatoire pour les citoyens ?
Non. L'utilisation du portefeuille EUDI est volontaire pour les personnes physiques et morales. Les États membres ne peuvent pas limiter l'accès aux services publics ou privés pour les personnes qui ne souhaitent pas l'utiliser, et doivent mettre à disposition des solutions de substitution [Art. 5 bis, par. 1 et considérant 15].
Les microentreprises et petites entreprises sont-elles dispensées de l'obligation d'accepter le portefeuille EUDI ?
Oui. L'obligation d'acceptation imposée aux parties utilisatrices privées dans les secteurs réglementés ne s'applique pas aux microentreprises et petites entreprises au sens de la recommandation 2003/361/CE [Art. 5 septies, par. 2].
Quand les très grandes plateformes en ligne devront-elles accepter le portefeuille EUDI ?
Les très grandes plateformes au sens de l'article 33 du règlement (UE) 2022/2065 (DSA) doivent accepter et faciliter l'utilisation du portefeuille EUDI dès qu'il est disponible, lorsqu'elles exigent une authentification pour accéder à leurs services en ligne [Art. 5 septies, par. 3]. Aucun délai supplémentaire de 36 mois ne leur est accordé.
Le code source du portefeuille EUDI est-il public ?
Oui. Les composants logiciels de l'application des portefeuilles EUDI font l'objet d'une licence open source. Les États membres peuvent néanmoins restreindre la divulgation de composants spécifiques non installés sur les appareils utilisateurs, pour des raisons de sécurité publique dûment justifiées [Art. 5 bis, par. 3].
Quel est le niveau de garantie requis pour le portefeuille EUDI ?
Le portefeuille EUDI repose sur le niveau de garantie élevé. Les moyens d'identification électronique au niveau substantiel ne peuvent être utilisés pour l'enrôlement que s'ils sont combinés à des moyens complémentaires de vérification permettant d'atteindre collectivement le niveau élevé [Art. 5 bis, par. 24 et considérant 28].
La signature électronique qualifiée via le portefeuille EUDI est-elle payante ?
Non pour un usage non professionnel. Les personnes physiques doivent pouvoir signer au moyen de signatures électroniques qualifiées par défaut et gratuitement via le portefeuille EUDI, sans procédure administrative supplémentaire. Les États membres peuvent prévoir des mesures limitant la gratuité pour un usage professionnel [considérant 19 et 20].
Que se passe-t-il en cas de faille de sécurité du portefeuille EUDI ?
L'État membre émetteur suspend immédiatement la fourniture et l'utilisation du portefeuille. Si la faille n'est pas corrigée dans les trois mois, le portefeuille est retiré et sa validité révoquée. L'État doit informer les utilisateurs, les parties utilisatrices et la Commission [Art. 5 sexies, par. 1 et 2].
3

Facteurs d’évaluation et liste de contrôle

Premium
Essai gratuit 7 jours
4

Questions pour votre avocat

Premium
Essai gratuit 7 jours
5

Conclusion et résumé

Premium
Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours

Keine Kreditkarte heute. Kündigung jederzeit.