Qu’est-ce qu’un portefeuille européen d’identité numérique ? Quels en seront les usages, les avantages… et les risques ?

Source: The Conversation – in French – By Maryline Laurent, Professeur Directrice du département RST, Télécom SudParis – Institut Mines-Télécom

Le portefeuille européen d’identité numérique, ou PEIN, doit faciliter les démarches des citoyens et des résidents dans toute l’Union européenne. Comme les autres applications numériques, ces portefeuilles ne sont pas sans risques, et leur déploiement est encadré. Il devra aussi être contrôlé.

---

Nombre d’entre nous ont déjà entendu parler de France Identité, voire l’utilisent. Ce service offre une identité numérique nationale régalienne qui, d’ici la fin de l’année 2026, pourra être utilisée dans toute l’Union européenne – une fois qu’elle aura été mise en conformité avec le règlement européen eIDAS 2, qui établit le cadre européen relatif à une identité numérique.

Fin 2026, France Identité deviendra un portefeuille européen d’identité numérique (PEIN). Il permettra à chaque citoyen et résident européen de bénéficier d’un accès simplifié à différents services numériques en Europe, qu’ils soient étatiques (établir une procuration de vote par exemple) ou commerciaux (envoyer sa carte grise à son garagiste).

L’objectif est de lutter contre l’augmentation constante des usurpations d’identité et des cyberattaques, comme le phishing (ou hameçonnage) qui consiste à envoyer des SMS ou des mails frauduleux destinés à tromper la victime et à l’inciter à communiquer ses données personnelles et/ou bancaires.

À cette fin, le PEIN permettra à son utilisateur d’exercer un contrôle sur son identité et ses données, et d’accéder à des services numériques transfrontières publics et privés. Comme la plupart des applications numériques, l’introduction de ces portefeuilles comporte aussi des risques, notamment de vols d’identité, de fracture numérique ou d’ingérence étrangère.

Un portefeuille, pour quelle utilisation ?

Le PEIN permettra à son utilisateur de s’identifier auprès des services publics ou privés, notamment commerciaux, dans toute l’Union européenne (UE). Un citoyen français équipé de ce portefeuille pourra ainsi interagir avec l’administration allemande au même titre qu’un citoyen allemand, sans avoir à effectuer de démarches supplémentaires.

En fonction des besoins de son ou sa titulaire, le PEIN pourra contenir des informations, dont ses données d’état civil (prénom, nom, date de naissance, lieu de naissance et nationalité) ainsi que des justificatifs électroniques (permis de conduire, carte vitale, prescription médicale, titres de transport, factures…).

L’utilisateur pourra présenter à terme ce type d’attestations à un service, par exemple envoyer à son futur employeur son diplôme et un justificatif de domicile ou présenter une prescription médicale délivrée par son médecin français dans une pharmacie belge. Ce véritable trousseau de clés numérique lui permettra de franchir les frontières en présentant ses documents électroniques (passeport, visa, voire des billets d’avion).

Le portefeuille permettra également de signer électroniquement des documents avec des signatures dites « qualifiées ». La signature, apposée notamment sur un contrat d’ouverture de compte bancaire ou de location de voiture, aura alors la même valeur juridique qu’une signature manuscrite.

Enfin, deux personnes pourront interagir via leurs portefeuilles respectifs. Alice en voyage en Italie pourra ainsi transmettre sa procuration de vote électronique à Florian.

Un portefeuille, pour qui et pour quand ?

Tous les citoyens et les résidents de l’UE pourront disposer d’un PEIN qui ne sera pas obligatoire, l’ambition de la Commission européenne étant d’équiper 80 % des personnes d’ici à 2030.

2026 est une année charnière, car chaque État membre devra émettre au moins un PEIN d’ici la fin de l’année. Pour cela, le portefeuille devra fournir des fonctionnalités obligatoires (attestations électroniques simples et qualifiées, signatures qualifiées, génération de pseudonymes…), être certifié par chaque État membre conformément aux exigences fixées et figurer sur une liste européenne publique. Le fournisseur de PEIN sera libre de proposer des services additionnels, comme le paiement, l’horodatage ou l’archivage de documents.

Fin 2027, toutes les entreprises et administrations qui exigent une authentification forte du client, comme les banques et la Sécurité sociale, devront accepter qu’une personne prouve son identité au moyen d’un PEIN.

Comment utilisera-t-on un portefeuille ?

Le PEIN prend principalement la forme d’une application mobile téléchargée sur un smartphone. Il fonctionne en ligne et hors ligne (sans connexion).

Si l’on se base sur l’exemple de France Identité, il faut disposer d’une carte d’identité à puce contenant les données d’identification et d’un smartphone compatible NFC sous Android 11 ou iOS 16.6 minimum, et définir un code à six chiffres. L’utilisateur dispose alors d’un niveau de sécurité faible, qui permet de consulter des services comme Impots.gouv.fr, Amelie.fr ou son compte retraite.

Pour obtenir le niveau de sécurité élevé, le titulaire du PEIN doit se rendre en mairie pour une vérification en face-à-face. Cette vérification est indispensable pour les démarches en ligne les plus sensibles, auparavant uniquement réalisables en présentiel, comme l’établissement d’une procuration de vote ou une demande d’aide sociale.

Une ouverture à un marché privé des portefeuilles européens d’identité numérique

Dans les années à venir, il est possible que des États membres émettent des portefeuilles fournis par des acteurs privés.

C’est déjà le cas de la Belgique qui devrait notifier auprès de la Commission européenne le PEIN MyGov.be, qui permet déjà aux citoyens belges d’accéder en ligne à leurs documents administratifs, ainsi que le PEIN Itsme, fourni par un consortium d’acteurs privés.

Un portefeuille, à quel prix ?

La question de la gratuité constitue un point important. La délivrance et l’utilisation du portefeuille sont ainsi gratuites pour un individu. En ce qui concerne les signatures électroniques qualifiées à des fins non professionnelles, elles seront aussi gratuites, chaque État membre étant libre de décider des modalités. Par exemple, la Pologne offre cinq signatures gratuites par mois et par citoyen.

L’utilisation des signatures électroniques à des fins professionnelles pourra être payante. En Belgique, le fournisseur privé du portefeuille Itsme facture 4,95 euros hors TVA par signature qualifiée.

Un portefeuille, pour quels avantages ?

Le PEIN est conçu comme une réponse aux nombreuses usurpations d’identité et au phishing (hameçonnage en français). Il doit permettre aux fournisseurs de services de lutter contre la fraude et les fausses déclarations, notamment concernant l’âge minimum requis pour accéder à des sites pornographiques ou de jeux en ligne. Les démarches qui nécessitent aujourd’hui d’envoyer la photocopie de sa carte d’identité et de son permis de conduire pour louer une voiture pourront être entièrement numérisées.

Un autre avantage, conditionné par la mise en œuvre de moyens techniques adaptés, est le contrôle accru de l’utilisateur sur le traitement de ses données personnelles) : il pourra librement choisir et utiliser des pseudonymes et les utiliser, si l’authentification forte n’est pas requise. Grâce à un tableau de bord obligatoire, il pourra visualiser l’historique des données transmises, demander l’effacement de ses données, et signaler les demandes de données suspectes à la Commission nationale de l’informatique et des libertés (Cnil) – ce qui renforcera l’efficacité des contrôles. Il pourra également sélectionner les données qui figureront ou non dans un justificatif à présenter à un tiers, protégeant ainsi sa vie privée.

Le portefeuille devrait aussi intégrer des technologies de protection de la vie privée. Par exemple, un mineur pourra prouver à un réseau social qu’il a moins de 15 ans et une personne majeure qu’elle a plus de 18 ans, sans avoir à fournir ses nom, prénom et date de naissance, grâce à des technologies de preuve à divulgation nulle de connaissance (ou ZKP, pour Zero-Knowledge Proof en anglais).

De plus, seuls les fournisseurs de services publics et privés inscrits sur une liste publique pourront interagir avec les PEIN. Ces « parties utilisatrices » devront notamment indiquer les données qu’elles demanderont. Les fournisseurs d’attestations et de signatures qualifiées devront, quant à eux, obtenir une qualification préalable (délivrée en France par l’Agence nationale de la sécurité des systèmes d’information, ou Anssi) et figureront eux aussi sur une liste publique. C’est donc un véritable écosystème des identités numériques qui se met en place.

Selon certaines estimations, au moins une quarantaine de portefeuilles devraient participer à ce nouveau marché, qui, malgré les discours rassurants de la Commission européenne, n’en présente pas moins un certain nombre de risques.

Quels sont les risques d’un marché des identités numériques ?

Du côté de l’utilisateur, le premier risque est d’être contraint en pratique d’utiliser un PEIN conçu comme un véritable sésame numérique pour accéder à de nombreux services publics et privés. Cette situation pourrait conduire à laisser de côté une partie de la population qui ne pourra pas, faute d’argent ou de compétences, disposer d’un PEIN pour accéder aux services fournis.

Un autre risque concerne la vie privée des utilisateurs, car il est à craindre que le portefeuille numérique n’augmente la quantité de données personnelles collectées à leur insu. En effet, si nous avons insisté sur l’avantage que représente la lutte contre la collecte abusive de données (grâce à la possibilité de générer des pseudonymes), encore faut-il que le portefeuille soit mis en œuvre dans le respect du règlement général sur la protection des données (RGPD). Il faut donc s’assurer, par exemple, qu’un fournisseur de portefeuille n’insère pas de numéro unique à chaque transaction, ce qui permettrait de tracer l’utilisateur malgré toutes les précautions prises pour ne pas révéler son identité et ses données.

Pour contrer cette menace, le droit de l’UE impose que les portefeuilles soient certifiés avant leurs notifications à la Commission européenne et leurs mises sur le marché. Cette certification apportera donc certaines garanties qui ne seront pas absolues, comme l’ont démontré plusieurs événements par le passé, par exemple l’affaire PEGASUS en 2021 et celle des cartes ID électroniques en Estonie en 2017.

De fait, les cyberattaquants pourront chercher à voler non seulement l’identité d’une personne, mais aussi les données associées à son identité. Certaines d’entre elles, comme les noms, les prénoms et les diplômes, seront de haute qualité, car leur authenticité aura été vérifiée auprès de sources authentiques, comme le registre d’état civil.

Du côté des États de l’UE, le PEIN questionne leur souveraineté, car ceux-ci sont les seuls aujourd’hui à pouvoir établir l’identité d’une personne avec un niveau de fiabilité élevé.

La fourniture des PEIN par des entreprises privées non européennes augmente les risques d’ingérence étrangère qui sont loin de constituer une simple hypothèse. Par exemple, Nicolas Guillou, juge français à la Cour pénale internationale, est placé sous le coup de sanctions états-uniennes depuis août 2025. Comme Thierry Breton, ancien commissaire européen, il est interdit de séjour aux États-Unis, en raison de son implication dans le dossier du mandat d’arrêt visant le premier ministre israélien Benyamin Nétanyahou. Il est privé d’accès aux services numériques états-uniens, d’Airbnb à Amazon. Sa carte Visa lui a même été retirée.

Pour éviter ce type de sanctions, le projet européen APTITUDE travaille à l’intégration dans le PEIN d’une solution de paiement souverain fourni par WERO.

Ce qu’il reste à faire : des choix à opérer, des audits, des alternatives

Le PEIN pourrait être un formidable outil du quotidien. Cependant, de nombreux choix restent encore à opérer, en particulier en matière d’implémentation, d’enrôlement, de révocation et de cybersécurité pour lutter efficacement contre les usurpations d’identités. Pour tenir la promesse d’un monde numérique plus sûr, des contrôles effectifs (comme des audits des fournisseurs de PEIN) et des sanctions dissuasives à l’encontre des acteurs (européens et non européens) devront être mis en place.

Pour autant, il reste essentiel de disposer d’une alternative physique aux documents numériques. Le maintien de documents physiques permettra non seulement de préserver la résilience et la souveraineté d’un État en cas de cyberattaque, mais aussi à chaque citoyen de choisir ou non d’utiliser un PEIN.

---

Les projets Traceability for trusted multi-scale data and fight against information leak in daily practices and artificial intelligence systems in healthcare – TracIA et More on the adoption of a healthy Mediterranean diet – MoreMedDiet sont soutenus par l’Agence nationale de la recherche (ANR), qui finance en France la recherche sur projets. L’ANR a pour mission de soutenir et de promouvoir le développement de recherches fondamentales et finalisées dans toutes les disciplines, et de renforcer le dialogue entre science et société. Pour en savoir plus, consultez le site de l’ANR.

Maryline Laurent a reçu des financements de la Fondation Mines-Télécom, de l’Agence Nationale de la Recherche (ANR) et de plusieurs partenaires industriels tels que EDF et Orange.

Claire Levallois-Barth a reçu des financements de la Fondation Mines-Télécom. Les partenaires de la Chaire VP-IP qu’elle coordonne sont BNPP, IN Groupe, France Titres, Orange.

– ref. Qu’est-ce qu’un portefeuille européen d’identité numérique ? Quels en seront les usages, les avantages… et les risques ? – https://theconversation.com/quest-ce-quun-portefeuille-europeen-didentite-numerique-quels-en-seront-les-usages-les-avantages-et-les-risques-278837