Actes d’implémentation et modèle commercial du Wallet

Introduction

L’évolution du cadre réglementaire européen en matière d’identité numérique atteint une phase cruciale avec la mise en œuvre progressive des actes d’application du règlement eIDAS. Le portefeuille numérique européen (European Digital Identity Wallet) représente un tournant majeur dans la gestion de l’identité et de la certification électronique, avec des implications directes tant pour les citoyens que pour les entreprises. Cependant, la mise en œuvre du portefeuille soulève également des questions sur la durabilité économique et les modèles d’affaires qui peuvent être adoptés pour garantir une utilisation large et efficace. 

État des lieux sur les actes d’implémentation

Le premier groupe d’actes d’implémentation a été approuvé le 21 novembre 2024 et est entré en vigueur le 24 décembre 2024. Cette date marque le début d’un compte à rebours pour l’adoption des mesures réglementaires suivantes, dont certaines sont prévues pour mai 2025. Parmi les actes approuvés figurent quatre actes d’implémentation adoptés pour l’Article 5a « Portefeuilles d’identité numérique européens », comme l’exige l’Art. 5a(23) : 

• Pour les exigences de l’Art. 5a(4) : concernant les données d’identification personnelle et les attestations électroniques d’attributs délivrées aux portefeuilles d’identité numérique européens. 

• Pour les exigences de l’Art. 5a(8) : concernant l’intégrité et les fonctionnalités essentielles des portefeuilles d’identité numérique européens. 

• Pour les exigences de l’Art. 5a(18) : concernant les notifications à la Commission relatives à l’écosystème des portefeuilles d’identité numérique européens. 

• Pour les exigences de l’Art. 5a(5) : concernant les protocoles et interfaces à soutenir dans le cadre de l’identité numérique européenne. 

Le cinquième acte d’implémentation approuvé concerne la certification du Wallet EUDI, comme l’exige l’Art. 5c(6) pour les exigences des Art. 5c(1), (2) et (3), qui établit des normes pour l’application du Règlement (UE) n° 910/2014 concernant la certification des portefeuilles d’identité numérique européens. 

De plus, grâce à la publication de ce premier groupe d’actes, une date limite clé a été fixée au 24 décembre 2027, d’ici laquelle les entreprises qui utilisent déjà une authentification forte pour l’identification en ligne devront intégrer le portefeuille dans leurs processus. Cette obligation s’applique à des secteurs clés tels que les transports, l’énergie, les banques, les services financiers, la sécurité sociale, la santé, les télécommunications et l’éducation. 

Les actes d’implémentation actuellement en attente d’approbation, prévue d’ici mars 2025 et récemment soumis à consultation publique, réglementent d’autres aspects fondamentaux du cadre eIDAS, notamment : 

• Enregistrement des Relying Parties (Article 5b(11)) : définition des règles pour l’enregistrement et la certification des relying parties, c’est-à-dire des sites web et des applications qui utiliseront le portefeuille pour l’authentification. 

• Liste des Portefeuilles Certifiés (Article 5d(7)) : création de la liste officielle des fournisseurs de portefeuilles au niveau communautaire et réglementation de leurs interactions avec les mécanismes d’identification. 

• Gestion des Violations de Sécurité (Article 5e(5)) : normes pour le traitement des incidents de sécurité liés au portefeuille. 

• Gestion des Attributs Qualifiés (Articles 45d(5), 45e(2), 45f(6) et 45f(7)) : réglementation des processus d’attribution et de certification des attributs qualifiés. 

• Identification Transfrontalière (Article 11a) : règles pour la reconnaissance et l’identification sécurisée des citoyens pour les identifications transfrontalières. 

À ces actes suivra un troisième lot, qui sera vraisemblablement soumis à consultation publique en mars et approuvé ultérieurement d’ici le 21 mai 2025, pour un total d’environ 20 nouveaux actes. La consultation des deux premiers groupes a représenté un moment fondamental pour recueillir les contributions d’associations et de parties prenantes, y compris Assocertificatori, l’association italienne représentant les prestataires de services de confiance et de certification qualifiés, et les associations bancaires représentées par les European Credit Sector Associations (ECSAs). 

Ces retours se révèlent extrêmement précieux non seulement pour affiner le cadre réglementaire, mais aussi pour comprendre les impacts concrets du règlement en dehors des couloirs des législateurs. Écouter le marché permet d’identifier les défis pratiques qui pourraient émerger lors de la phase d’implémentation et d’adapter les mesures réglementaires afin qu’elles soient réellement efficaces et applicables. De plus, l’engagement actif des parties prenantes garantit une plus grande acceptation et adoption du système, facilitant la transition vers le nouveau modèle numérique et renforçant la confiance des utilisateurs et des entreprises. 

Durabilité et modèles d’affaires : un défi culturel 

La création du portefeuille engendre des coûts élevés et un nombre limité de fournisseurs certifiés. La durabilité économique de cet écosystème devient donc une question centrale. L’équilibre entre la vie privée, la sécurité et les modèles de rémunération a été l’objet de discussions intenses lors de la phase de négociation du règlement eIDAS. En Italie, nous connaissons bien le problème, compte tenu de ce qui s’est passé avec SPID, et nous espérons qu’une solution durable pourra être trouvée pour le nouveau modèle, qui devra être soutenu structurellement bien au-delà de la phase financée par le PNRR. 

L’article 5a du règlement établit la non-traçabilité des transactions des utilisateurs lors de l’utilisation des attributs, limitant ainsi les opportunités de monétisation. Ce principe s’écarte des modèles préexistants d’identité numérique adoptés en Europe, tels que SPID et CIE en Italie, BankID dans les pays nordiques et Itsme en Belgique et aux Pays-Bas, qui ont permis un équilibre entre la vie privée et la durabilité économique grâce à la traçabilité des transactions. 

Cependant, le portefeuille européen ne se limitera pas à la gestion de l’identité numérique, mais inclura également l’utilisation d’attributs et de paiements, ouvrant ainsi de nouvelles possibilités commerciales. 

Selon ce que la Commission européenne a déclaré : 

• L’utilisation du portefeuille pour les particuliers sera gratuite et sur une base volontaire. 

• Les entreprises pourraient devoir payer pour l’utilisation des services du portefeuille, selon le modèle commercial choisi par les États membres. 

• Certains fournisseurs de services, tels que les opérateurs téléphoniques ou les sociétés de cartes de crédit, pourraient être appelés à verser une redevance pour l’identification des utilisateurs via le portefeuille. 

• Le partage de documents numériques pourrait engendrer des coûts pour les fournisseurs de ces documents. 

Qui paie pour les attributs ?

La question centrale concerne la rémunération de la gestion des attributs numériques, un thème crucial qui émerge dans les tables de normalisation ETSI. En particulier, de nouvelles solutions sont explorées pour garantir un modèle de durabilité qui ne compromette pas les principes de vie privée et de sécurité établis par le règlement eIDAS. Certains attributs, comme les certificats de diplôme, sont statiques et utilisés rarement, tandis que d’autres, comme la vérification de l’habilitation professionnelle, sont dynamiques et nécessitent des mises à jour fréquentes. Cela implique que le coût de gestion des attributs peut varier considérablement en fonction de leur nature et de leur fréquence d’utilisation. 

Dans le contexte de l’ETSI, l’un des chemins les plus prometteurs a été récemment lancé par Namirial, qui explore de nouvelles méthodes de monétisation des attributs, proposant des solutions innovantes qui peuvent garantir un équilibre entre accessibilité et durabilité économique pour les acteurs impliqués. Le principal défi consiste à trouver un modèle qui permette de couvrir les coûts opérationnels sans peser excessivement sur les utilisateurs finaux ou les relying parties, tout en préservant la confiance et l’adoption généralisée du portefeuille numérique européen. 

La Commission précise que « certains certificats partagés via le portefeuille pourraient nécessiter un paiement au fournisseur, de la même manière que pour les certificats papier ». En conséquence, le coût pourrait être supporté à la fois par les citoyens et par les relying parties, en fonction du cas d’utilisation. 

Le portefeuille dans les contextes professionnels : le rôle du European Business Wallet 

L’adoption du portefeuille dans le cadre des affaires représente une opportunité sans précédent pour réformer et moderniser les processus administratifs, en les simplifiant et en les rendant plus efficaces, comme le soulignent les rapports de Draghi et Letta. Cet outil innovant, le European Business Wallet, récemment annoncé, a le potentiel de révolutionner la gestion documentaire des entreprises européennes. Grâce à sa mise en œuvre, les entreprises pourront accéder de manière plus rapide et sécurisée à des services certifiés, éliminant la nécessité de vérifications papier répétées et réduisant considérablement la bureaucratie. L’interopérabilité entre les différents acteurs économiques et institutionnels permettra d’alléger les flux documentaires, réduisant ainsi les délais et les coûts opérationnels, contribuant ainsi à la compétitivité du marché européen. 

Conclusion

L’introduction du portefeuille européen marque une importante évolution dans le paysage de l’identité numérique, avec des défis et des opportunités qui impliquent les citoyens, les entreprises et les institutions. Les plus grands acteurs s’activent déjà pour offrir des solutions capables de garantir l’interopérabilité et d’accompagner les clients dans cette phase de transition qui sera complexe et relativement courte.