Pour les Banques et les Assureurs, la gestion de l’identification et de l’authentification et leurs preuves associées est devenu un enjeu central de sécurité. Ils viennent compléter les travaux liés à la digitalisation accélérée des parcours, la mise en place du respect des exigences réglementaires (KYC/AML) et les actions de lutte contre la fraude. Dans ce contexte, le règlement eIDAS 2.0 marque un tournant majeur pour la confiance numérique en Europe en redéfinissant la manière dont les citoyens pourront prouver leur identité et signer des documents en ligne en ouvrant ainsi la voie à de nouveaux modèles de relation client.
Alors que la première version d’eIDAS avait surtout posé les bases de la signature électronique et des services de confiance, eIDAS 2.0 va plus loin avec la généralisation d’un portefeuille d’identité numérique européen (EUDI Wallet) et la notion de Justificatifs Vérifiables. Pour les acteurs régulés, il ne s’agit plus seulement de se mettre en conformité, mais de décider comment exploiter ces nouvelles briques pour simplifier l’onboarding client, sécuriser les transactions et améliorer l’expérience client sur tous les canaux.
Rappel du cadre eIDAS « 1.0 »
Le règlement eIDAS, entré en vigueur en juillet 2016, a harmonisé les règles relatives à l’identification électronique et aux services de confiance pour les transactions électroniques au niveau de l’Union Européenne. Il a notamment défini et introduit un nouveau cadre juridique pour les signatures électroniques dont la création de trois niveaux – simple, avancée et qualifiée – chacun de ces niveaux correspondant à des niveaux de sécurité, de contrôle d’identité et de valeur probante différents.
Les signatures simples permettent de couvrir des usages à faible risque, là où la signature avancée repose sur une meilleure identification du signataire et un lien plus fort avec le document. La signature qualifiée, délivrée par un prestataire de services de confiance qualifié (QTSP), bénéficie d’une présomption d’équivalence avec la signature manuscrite dans l’UE, ce qui est déterminant pour les actes à fort enjeu juridique ou financier.
Au‑delà de cette signature, eIDAS 1.0 encadrait aussi des services comme l’horodatage, les cachets électroniques, les certificats de site web et la conservation de signatures, qui structurent toute la chaîne de la preuve numérique. De nombreux acteurs comme les Banques et les Assureurs se sont appuyés sur ces briques pour digitaliser la contractualisation, l’envoi d’avenants, les réclamations ou encore la gestion des sinistres grâce à des des solutions de signature intégrées aux parcours clients.
Ce que change eIDAS 2.0
eIDAS 2.0 vise à dépasser le seul cadre de la signature pour instaurer une véritable identité numérique européenne, utilisable de manière transverse et interopérable dans les services publics et privés. L’objectif affiché est que chaque citoyen puisse disposer d’un moyen d’identification et d’un portefeuille d’identité numérique reconnus dans tous les États membres, et réutilisables auprès d’acteurs tels que les Banques, Assureurs, Services Publics ou grandes plateformes numériques.
Parmi les évolutions clés, eIDAS 2.0 introduit le portefeuille européen d’identité numérique (EUDI Wallet), la notion d’attestation d’attributs électroniques vérifiables (titres d’identité, permis de conduire, diplômes, données financières, certificats divers, …) et une liste des services de confiance étendue avec notamment le registre électronique, l’archivage électronique qualifiée ou encore l’horodatage qualifié, renforçant ainsi le rôle et le positionnement stratégique des prestataires de services de confiance qualifiés (QTSP) au sein de cet écosystème.
Le règlement ouvre également la voie à de nouveaux cas d’usage, où un client pourra prouver certains éléments (Age, adresse, revenu, statut professionnel) sans dévoiler l’intégralité de ses données, grâce à des mécanismes de présentation sélective des informations.
Le portefeuille d’identité numérique (EUDI Wallet)
Le portefeuille d’identité numérique est au cœur d’eIDAS 2.0 : il s’agit d’une application mobile permettant au citoyen de stocker, gérer et présenter des preuves d’identité et des justificatifs sous forme numérique vérifiable. Concrètement, le wallet agrège des attributs délivrés par des entités de confiance (administrations, établissements financiers, universités, etc.) et permet au détenteur de les partager de manière contrôlée avec un tiers qui souhaite les vérifier dans un écosystème encrypté.
Pour un acteur régulé, le changement est majeur : au lieu de reconstituer l’identité du client à partir de documents physiques ou d’images qu’il doit numériser, il peut s’appuyer sur des attestations numériques signées, vérifiées automatiquement par un Tiers. Cette approche promet de réduire les frictions KYC, d’améliorer la qualité des données et de limiter les falsifications de document, tout en redonnant au client la maîtrise des informations qu’il partage.
Les acteurs régaliens, qui ont pour ligne de mire une date limite de déploiement en Décembre 2026, travaillent dès à présent sur des wallets numériques conformes à eIDAS 2.0. C’est le cas par exemple de France Identité qui partage ses avancées au sein d’initiative telle que EUDIW Unfold. Avec une ambition d’adoption de plus de 80% de la population d’ici 2030, l’ambition derrière cet EUDI Wallet est d’être un accélérateur de l’omnicanalité sécurisée.
Enjeux pour la Banque et l’Assurance
Pour les Banques et les Assureurs, eIDAS 2.0 touche les processus les plus sensibles : ouverture de compte, souscription de produits à distance, octroi de crédit, parcours d’assurance vie, gestion des sinistres et signature d’actes à fort enjeu. Dans chacun de ces parcours, la combinaison identité numérique vérifiée + signature qualifiée renforce la sécurité et la valeur probante, tout en réduisant le nombre d’étapes et de pièces justificatives à collecter.
Les bénéfices potentiels sont multiples :
- Réduction des coûts et délais réduits d’onboarding grâce à des vérifications d’identité plus rapides et réutilisables entre institutions.
- Diminution de la fraude documentaire via l’utilisation d’attestations électroniques d’attributs vérifiables à la source et de signatures qualifiées.
- Amélioration de l’expérience client, avec des parcours 100% digitaux, plus linéaires, plus fluides et adaptés au mobile tout en étant moins intrusif.
Ces gains doivent toutefois être mis en regard d’une complexité accrue en matière de gouvernance des données, d’intégration et d’architecture SI qu’il va falloir travailler.
Une intégration complexe
L’intégration technique est clé : intégrer des EUDI Wallets et permettre l’échange d’attestations électroniques et d’attributs suppose de repenser l’ouverture de son système, de ses référentiels, des contrôles d’accès et des interactions entre les différentes briques techniques des partenaires pour permettre l’opérabilité de cet écosystème. Au sein d’un parcours eIDAS 2.0‑compliant, le module d’identification et d’authentification comme l’outil de signature doivent dialoguer avec le wallet client, le SI front to back ainsi qu’avec les systèmes de gestion des attributs selon les protocoles OpenID. De plus, la journalisation des opérations, la conservation des preuves et la gestion des consentements doivent être pensées de bout en bout, afin de pouvoir démontrer la conformité des processus en cas de contrôle ou de litige.
Les acteurs concernés doivent également surveiller la maturité des standards techniques et la capacité de l’écosystème associé (wallets, prestataires, autorités) pour délivrer des solutions robustes et interopérables. Une dépendance excessive à un nombre limité de fournisseurs ou une architecture trop complexe peuvent ainsi créer des risques opérationnels et de continuité d’activité.
La gestion des données d’identité, particulièrement sensibles, impose un haut niveau d’exigence en matière de cybersécurité et de protection de la vie privée. Les Banques et Assureurs devront établir leurs critères juridiques, clarifier le partage des responsabilités avec leurs prestataires, documenter les contrôles mis en place et s’assurer que les mécanismes de consentement et de transparence offerts au client sont à la hauteur des attentes réglementaires. Pour une Banque ou un Assureur, il sera nécessaire de revisiter la relation avec les tiers de confiance établie afin de s’assurer que les services proposés répondent aux nouvelles exigences réglementaires et de s’assurer de disposer de toutes les autorisations nécessaires auprès des autorité compétentes pour aussi bien la lecture que l’émission des attestations électroniques d’attributs.
Pour les acteurs régulés, eIDAS 2.0 marque la transition d’une logique de digitalisation des signatures vers une véritable refonte de la gestion de l’identité numérique et de la Preuve. Ceux qui sauront anticiper et expérimenter dès maintenant cette opportunité disposeront d’un avantage compétitif en termes de qualité de service et d’attractivité pour le client, de maîtrise du risque et d’agilité réglementaire. L’enjeu n’est donc pas seulement de se mettre en conformité, mais de transformer ce nouveau cadre en levier de simplification, de confiance et de différenciation sur un marché bancaire et assurantiel de plus en plus concurrentiel. Sans compter que l’Union Européenne et les acteurs de l’écosystème eIDAS 2.0 préparent déjà les étapes suivantes : un wallet professionnel, le Business Digital Wallet.
L’adoption d’eIDAS 2.0 est donc belle et bien une opportunité pour les acteurs concernés et doit être adressé comme un véritable projet d’entreprise dont l’échéance approche désormais à grands pas. La mise en conformité eIDAS 2.0 nécessite un programme de transformation dédié impliquant le Métier, le Juridique, la Direction de la transformation et la DSI pour mener à bien sa transformation afin de respecter le date de mise en conformité imposée par l’Union Européenne en Décembre 2027.
Fort de ses premiers déploiement eIDAS 2.0, Valthena saura vous aider dans cette transformation majeure et structurer une démarche adapté au contexte de votre organisation.
