eIDAS 2.0 : sortir du flou de l’identité numérique
Septembre 2026. Inès arrive à Lyon pour commencer un master. Elle a vingt-quatre ans, un passeport espagnol, une attestation d’inscription à l’université, un bail provisoire pour une chambre meublée à Villeurbanne et trois démarches à faire avant la fin de la semaine : ouvrir un compte bancaire, activer une ligne téléphonique, transmettre ses justificatifs à l’université.
Tout se passe en ligne. Du moins, c’est ce qui était annoncé.
Depuis la table étroite de son studio, Inès commence par la banque. Le formulaire lui demande une pièce d’identité, une preuve d’adresse, une photo, parfois une courte vidéo. Pour la ligne téléphonique, une autre plateforme lui demande presque les mêmes documents. L’université, de son côté, réclame encore une copie du passeport et une attestation de diplôme. À chaque fois, Inès doit prouver quelque chose de légèrement différent : son nom, son âge, son adresse, son droit à ouvrir un service, son inscription, son parcours académique. À chaque fois, pourtant, la réponse technique ressemble à la même scène : scanner, téléverser, attendre, recommencer.
C’est là que le mot “identité numérique” devient trompeur.
Inès n’a pas une seule identité à prouver. Elle a plusieurs éléments d’elle-même à faire reconnaître dans des contextes différents. La banque n’a pas besoin de connaître toute son histoire. L’opérateur téléphonique n’a pas besoin de conserver une copie complète de son passeport. L’université n’a pas besoin de redemander une information déjà certifiée ailleurs. Chaque service reconstitue pourtant son propre petit système de confiance, avec ses formulaires, ses fichiers, ses contrôles et ses risques.
eIDAS 2.0 part de cette situation très concrète. Il ne cherche pas à remplacer l’état civil, les comptes utilisateurs, les annuaires internes ou les infrastructures techniques. Il encadre une question plus précise : comment une personne peut-elle présenter une preuve fiable, vérifiable, limitée à ce qui est nécessaire, et reconnue au-delà d’un seul service ou d’un seul pays ?
Le sujet n’est donc pas seulement l’identité numérique. C’est le passage d’une copie de document à une preuve maîtrisée. Et, derrière cette preuve, une question plus ancienne : que doit révéler un individu pour être reconnu par un groupe, une institution ou un système ?
La situation d’Inès n’a rien d’exceptionnel. Elle condense au contraire une scène devenue ordinaire : une personne entre dans un service numérique, mais ce service ne peut pas encore lui faire confiance. Il doit vérifier quelque chose d’elle, sans toujours savoir si ce qu’il cherche relève de son identité civile, de son droit d’accès, de son statut, de son âge, de son diplôme ou de sa capacité à agir au nom d’une organisation. À partir de ce moment, la question cesse d’être seulement individuelle. Elle devient organisationnelle.
Pour le juriste, l’identité renvoie à l’état civil, au titre d’identité, à la reconnaissance par l’État. Pour le RSSI, elle renvoie à l’authentification, aux droits d’accès, aux comptes compromis. Pour l’équipe IAM, elle désigne un utilisateur, un rôle, une habilitation. Pour l’infrastructure, elle peut désigner un certificat, un domaine, une clé, un serveur ou une API. Pour le DPO, elle devient une question de données personnelles et de minimisation. Pour le métier, enfin, elle reste souvent une pièce justificative à demander, stocker, contrôler, puis oublier.
C’est de là qu’il faut partir : l’identité numérique n’est pas un objet unique. C’est un ensemble de couches qui se recouvrent sans toujours se confondre. Identité civile, identité applicative, identité technique, identité organisationnelle, preuve d’attribut, mandat, signature, authentification : toutes ces réalités participent à la confiance numérique, mais elles ne relèvent pas du même plan.
eIDAS 2.0 intervient précisément dans cette zone de confusion. Il ne remplace pas l’état civil, les annuaires internes, les comptes applicatifs, les politiques IAM ou les infrastructures techniques. Il vient encadrer une couche plus précise : celle des preuves numériques d’identité et d’attributs lorsqu’elles doivent être fiables, vérifiables, juridiquement reconnues et interopérables à l’échelle européenne.
Le sujet n’est donc pas seulement de déployer un portefeuille d’identité numérique. Il est d’abord de comprendre quelle identité est en jeu, qui la reconnaît, qui la présente, qui la vérifie, et dans quelles conditions cette preuve peut circuler d’un contexte à un autre.
C’est à partir de ce point de départ que je vous propose une série d’article pour comprendre les enjeux posés par eIDAS 2.0. Non comme un règlement isolé, ni comme une simple évolution de la signature électronique, mais comme une nouvelle architecture européenne de la preuve numérique.
Le prochain article présentera l’architecture eIDAS 2.0 : wallet, PID, attestations d’attributs, parties utilisatrices, prestataires qualifiés et chaînes de confiance. Le troisième précisera les obligations selon les acteurs concernés : États membres, fournisseurs de wallets, prestataires de confiance, émetteurs d’attributs, plateformes et organisations utilisatrices. Le quatrième reviendra sur l’articulation française avec RGS, PVID, France Identité et les référentiels ANSSI. Le dernier article abordera le passage au terrain : comment qualifier son rôle, cadrer son exposition, préparer son SI et éviter de transformer eIDAS 2.0 en projet fantôme.
La suite commence donc ici : par la chaîne d’acteurs qui permet à une information personnelle, professionnelle ou administrative de devenir une preuve reconnue.