Essai gratuit

Pourquoi les banques européennes doivent agir dès maintenant concernant les portefeuilles EUDI : facteurs réglementaires, échéances et ambiguïtés actuelles

Authentification
Frederik Mennes, mars 19, 2026
EUDI wallet with digital credentials

L'identité numérique dans le secteur bancaire européen est sur le point de connaître une évolution majeure. Alors que l'Union européenne s'oriente vers un marché numérique unifié, la manière dont les banques procèdent à l'inscription et à l'authentification des utilisateurs d'applications bancaires numériques est en train de changer. Au cœur de cette transformation se trouve le portefeuille d'identité numérique européenne (EUDI).

Diverses réglementations de l’Union européenne, notamment le règlement sur l’identité numérique (eIDAS 2.0), le règlement AML (AMLR) et le projet de règlement sur les services de paiement (PSR / PSD3), imposent aux banques d’adopter les portefeuilles EUDI pour l’intégration des clients et l’authentification forte de ces derniers.

Dans cet article, nous présentons une analyse détaillée des exigences contenues dans les différentes réglementations, mettons en évidence les principales échéances et abordons quelques domaines où les exigences précises restent ambiguës. Afin de respecter les échéances réglementaires à venir, les banques européennes devraient commencer dès maintenant à prendre des mesures pour prendre en charge les portefeuilles EUDI en vue de l’onboarding et de l’authentification des clients.

Le règlement européen sur l’identité numérique impose une authentification forte des utilisateurs

Le règlement sur l’identité numérique, officiellement désigné sous le nom de règlement (UE) 2024/1183 et également appelé eIDAS 2.0, est le principal moteur de l’introduction des portefeuilles EUDI. Son objectif est de fournir à chaque citoyen de l’UE une identité numérique sécurisée et souveraine pouvant être largement utilisée auprès d’organisations publiques et privées.

L'article 5f, paragraphe 2, impose aux parties de confiance de grande et moyenne taille qui (a) ont une obligation légale ou contractuelle d'utiliser une authentification forte de l'utilisateur, et (b) exercent leurs activités dans les secteurs des transports, de l'énergie, de la banque, des services financiers, de la sécurité sociale, de la santé, de l'eau potable, des services postaux, des infrastructures numériques, de l'éducation ou des télécommunications, d'accepter les portefeuilles EUDI pour l'authentification forte de l'utilisateur, à la demande volontaire de ce dernier.

Les institutions financières de l’Union européenne ont l’obligation légale d’utiliser une authentification forte de l’utilisateur, bien que sous une appellation différente. En effet, la directive révisée sur les services de paiement (PSD2) utilise la terminologie « authentification forte du client » (SCA) au lieu de « authentification forte de l’utilisateur » (SUA). De plus, la définition de la SUA ne fait pas référence au « dynamic linking », un concept clé de la SCA. Toutefois, selon la Direction générale des réseaux de communication, du contenu et des technologies (DG Connect) de la Commission européenne, qui pilote l’initiative relative au portefeuille EUDI, ces termes doivent être considérés comme synonymes. Il serait néanmoins utile d’apporter des précisions supplémentaires à ce sujet dans la version finale du PSR.

Les principales échéances du règlement sur l’identité numérique sont les suivantes :

  • 24 décembre 2026 : chaque État membre de l’UE doit veiller à ce qu’au moins un portefeuille EUDI soit mis à la disposition de ses citoyens.
  • 24 décembre 2027 : les parties de confiance susmentionnées doivent prendre en charge les portefeuilles EUDI pour une authentification forte des utilisateurs. Cela signifie qu’à la fin de 2027, les banques européennes devront permettre à leurs utilisateurs d’utiliser les portefeuilles EUDI pour la connexion et l’authentification des transactions. (Merci, Père Noël !)
Deadlines for EUDI Wallets in banking

Règlement AML tirant parti des portefeuilles EUDI pour la diligence raisonnable à l'égard de la clientèle

Parallèlement à l’obligation relative à l’identité numérique, les nouvelles réglementations européennes en matière de lutte contre le blanchiment de capitaux (AML), notamment le règlement AML (AMLR), l’Autorité de lutte contre le blanchiment de capitaux (AMLA) et la 6e directive AML (AMLD6), transforment la manière dont les institutions financières abordent la lutte contre le blanchiment de capitaux et l’intégration des clients.

De nos jours, les processus de diligence raisonnable des banques reposent souvent sur la numérisation par les utilisateurs de documents d’identité physiques (par exemple, cartes d’identité, passeports) et la prise de selfies. Avec l’avènement des portefeuilles EUDI, les banques peuvent demander des informations d’identité sous la forme de ce que l’on appelle des attestations électroniques qualifiées d’attributs (QEAA). Il s’agit de justificatifs numériques hautement sécurisés émis par des prestataires de services de confiance qualifiés (QTSP) qui offrent la plus haute garantie juridique, équivalente à celle des documents papier. L’utilisation des portefeuilles EUDI pour la diligence raisonnable vis-à-vis de la clientèle promet une expérience plus fluide, une réduction des taux d’abandon et des niveaux de sécurité plus élevés contre la fraude d’identité.

L'article 22, paragraphe 6, point b), du règlement AML autorise les mécanismes de vérification d'identité par voie électronique. En outre, l'article 7 du projet de normes techniques de réglementation (RTS) au titre du règlement AML définit les exigences relatives à la vérification d'identité à distance. Plus précisément, l’article 7 stipule que les banques doivent utiliser des mécanismes de vérification d’identité qui satisfont aux exigences du règlement (UE) 2014/910 (eIDAS 1.0) en ce qui concerne les niveaux d’assurance « substantiel » ou « élevé ». Cela ouvre la voie à l’utilisation des portefeuilles EUDI dans le cadre de la diligence raisonnable à l’égard de la clientèle. Enfin, l’article 5f du règlement sur l’identité numérique, évoqué plus haut, est souvent interprété comme signifiant que les banques doivent prendre en charge les portefeuilles EUDI pour la diligence raisonnable à l’égard de la clientèle.

Alors que le règlement AML entrera en vigueur le 10 juillet 2027, la date limite du 24 décembre 2027 fixée par le règlement sur l’identité numérique définit la date à laquelle les banques devront prendre en charge les portefeuilles EUDI dans le cadre de la diligence raisonnable à l’égard de la clientèle.

Projet de règlement sur les services de paiement (PSR / PSD3)

Les régulateurs européens sont actuellement en train de finaliser le règlement sur les services de paiement (PSR) et la troisième directive sur les services de paiement (PSD3). Le texte final est attendu vers mai 2026. Une fois adopté, le PSR sera le principal règlement européen définissant les exigences en matière d’authentification forte des clients dans les services financiers, en remplacement de la PSD2. Le projet de PSR contient plusieurs articles relatifs à la prise en charge des portefeuilles EUDI par les banques.

Contrats d’externalisation avec les prestataires de services techniques. L’article 87 du projet de proposition de PSR de la Commission européenne stipule que chaque banque doit « conclure un contrat d’externalisation avec son prestataire de services techniques dans le cas où ce dernier fournit et vérifie les éléments de l’authentification forte du client ».

Étant donné que les banques doivent prendre en charge les portefeuilles EUDI pour l’authentification forte des clients, on pourrait faire valoir qu’elles doivent conclure des contrats d’externalisation avec tous les fournisseurs de portefeuilles EUDI. Cela constituerait une lourde charge pour les banques, car il y aura au moins 27 portefeuilles EUDI, et probablement bien plus.

Toutefois, selon la DG Connect, de tels accords d’externalisation ne sont pas nécessaires. Son raisonnement est que les banques prenant en charge les portefeuilles EUDI agissent à la fois en tant qu’émetteur et vérificateur des identifiants numériques utilisés pour l’authentification forte des clients ; elles conservent donc le contrôle total de la décision d’authentification et ne délèguent pas réellement l’authentification à un tiers. 

Nous appelons les régulateurs européens à intégrer cette clarification dans le PSR final.

Sécurité des identifiants de sécurité personnels. Les normes techniques de réglementation (RTS) relatives à l’authentification forte du client (SCA) et à la communication commune et sécurisée (CSC) au titre de la PSD2 stipulent que les banques doivent garantir la sûreté, la sécurité et la confidentialité des identifiants de sécurité personnalisés, tels que ceux utilisés pour l’authentification forte du client.

Étant donné qu’une banque ne gère pas elle-même tous les portefeuilles EUDI, on peut se demander comment cette exigence peut être satisfaite dans la pratique. La réponse actuelle à cette préoccupation est que les RTS existantes sur la SCA et la CSC seront abrogées par la nouvelle version que l’Autorité bancaire européenne (ABE) est chargée d’élaborer en vertu de l’article 89 du PSR. En vertu de l’article 89, paragraphe 3, lors de l’élaboration des nouvelles RTS, l’ABE devrait tenir compte de l’utilisation des portefeuilles EUDI pour l’authentification des paiements.

Il sera important que le PSR (ou les RTS) final clarifie la responsabilité en cas de fraude impliquant des portefeuilles EUDI, car les banques n’ont pas le contrôle total de ces portefeuilles.

Conclusions actuelles concernant les mises à jour de la réglementation relative aux portefeuilles EUDI

Les banques sont soumises à diverses obligations réglementaires existantes et à venir liées aux portefeuilles EUDI, notamment le règlement sur l'identité numérique, le règlement anti-blanchiment et le règlement sur les services de paiement. Bien que la situation soit encore en évolution, il est clair que les banques devront prendre en charge les portefeuilles EUDI pour la diligence raisonnable à l'égard de la clientèle et l'authentification forte des clients d'ici le 24 décembre 2027. Les banques devraient donc commencer à préparer et à aligner leurs programmes d'intégration et d'authentification sur le cadre réglementaire européen émergent.

Pour plus d'informations sur la manière dont OneSpan peut vous aider à prendre en charge les portefeuilles EUDI pour l'onboarding des clients et l'authentification forte des clients, veuillez contacter votre chargé de compte OneSpan ou planifier un entretien téléphonique avec l'un de nos experts.

OneSpan
Contactez nous

Parlez à un expert en cybersécurité

Nous nous ferons un plaisir de répondre à vos questions et de vous présenter nos solutions.

Contactez nous
Frederik Mennes
Frederik Mennes

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.

Sommaire
Inscrivez-vous pour recevoir les mises à jour OneSpan
Partager