Le site Portefeuille d'identité numérique de l'UE est un portefeuille numérique initié par la Commission européenne pour les identités électroniques. Elle vise à offrir aux citoyens, aux consommateurs et aux entreprises de l'UE un moyen d'identification numérique sûr et respectueux de la vie privée. Chaque portefeuille est considéré comme application personnelle qui permet de stocker et de gérer en toute sécurité des pièces d'identité officielles et d'autres documents numériques importants et de les présenter en cas de besoin. Il permet également de signer des documents électroniques de manière juridiquement contraignante.
Objectif et but du portefeuille d'identité numérique de l'UE
L'objectif principal du portefeuille d'identités numériques de l'UE est de permettre aux utilisateurs d'accéder à leurs données personnelles, de placer le contrôle des données personnelles entre les mains des utilisateurs. Les utilisateurs doivent décider eux-mêmes quelles données d'identité ils souhaitent divulguer en ligne et dans quel but.. Le portefeuille permet par exemple, vis-à-vis de services publics ou privés prouver qui on est, sans divulguer plus d'informations personnelles que nécessaire.
Cette approche suit le principe directeur de la Commission européenne selon lequel chacun doit toujours Souveraineté sur sa propre identité numérique doit conserver. En conséquence, le projet est conforme aux valeurs européennes telles que la protection des données et le principe du "once-only" (collecte des données une seule fois) et soutient l'objectif de la Décennie numériqueLa Commission européenne a décidé de donner à tous les citoyens de l'UE un accès aux identités numériques d'ici 2030.
Le portefeuille est proposé dans au moins une version par chaque État membre de l'UE et doit être utilisable au-delà des frontières son. À partir de 2026 tous les États membres doivent fournir un système de portefeuille répondant à des normes européennes uniformes. Cela permettra aux citoyens et aux entreprises de protéger leur identité numérique utiliser de manière transparente dans toute l'UE. Par exemple, pour utiliser des services en ligne à l'étranger, pour ouvrir un compte bancaire ou pour postuler à un emploi dans un autre pays de l'UE.
Base légale : eIDAS 2.0 (European Digital Identity Framework)
La base juridique du portefeuille d'identité numérique de l'UE est le Règlement eIDAS révisé, également connu sous le nom d'eIDAS 2.0 ou Cadre européen d'identité numérique. Le règlement eIDAS initial (Règlement (UE) n° 910/2014) a créé en 2014 un cadre juridique pour l'identification électronique transfrontalière et les services de confiance. Il a permis que les systèmes d'identité électronique reconnus au niveau national puissent également être utilisés dans d'autres États membres pour accéder à des services publics. Toutefois, selon la Commission européenne, cette réglementation n'est plus suffisante à l'ère du numérique, étant donné que de plus en plus de services en ligne privés nécessitent des identifications et que des inquiétudes se font jour quant à l'utilisation de ces services. Profilage et surveillance sont devenus bruyants.
En juin 2021, la Commission européenne a donc proposé une révision complète du règlement eIDAS. Cette proposition prévoyait la création d'un cadre européen pour les identités numériques. Avec le portefeuille d'identité numérique de l'UE comme instrument central, afin de mettre en œuvre le principe selon lequel les utilisateurs conservent un contrôle total sur leurs données d'identité numérique. Après les procédures législatives de l'UE, le nouveau règlement a finalement été adopté par le Parlement européen le 29 février 2024 et publié au Journal officiel en mai 2024. Il est entré en vigueur le 20 mai 2024 comme Règlement (UE) 2024/1183 en vigueur. Le présent règlement modifie et complète l'eIDAS (2014)La Commission européenne a adopté la directive relative à la protection des données à caractère personnel et à la sécurité des réseaux et de l'information (directive "vie privée et communications électroniques") en établissant le cadre européen pour l'identité numérique et en imposant notamment la création de portefeuilles d'identité numérique européens.
Contenu essentiel du règlement eIDAS 2.0
Le nouveau règlement oblige tous les États membres, sous la responsabilité de l'État, à fournir des portefeuilles d'identité numérique de l'UE. Cela peut également se faire en collaboration avec des prestataires privés mandatés. Les portefeuilles doivent répondre à certaines spécifications techniques communes afin d'être interopérables dans toute l'UE. En outre, eIDAS 2.0 renforce l'utilisation des identités électroniques dans le secteur privé. Pour la première fois, il est stipulé que les fournisseurs de services privés peuvent également accepter le wallet comme moyen d'identification ou doivent l'accepter dans certains cas. En particulier, les très grandes plateformes en ligne (telles que définies par le Digital Services Act, par exemple les grands réseaux sociaux) seront désormais tenues de prendre en charge le portefeuille européen comme moyen de connexion ou d'identification, si les utilisateurs le demandent. L'objectif est d'éviter que quelques services de connexion privés ne dominent le marché et que les utilisateurs ne disposent d'une alternative neutre, mise à disposition du public.
Il est important que les preuves électroniques et les certificats numériques fournis par le biais du portefeuille (appelés certificats d'attributs électroniques) soient légalement reconnus. Le règlement précise qu'une preuve délivrée sous forme numérique ne peut être rejetée au seul motif qu'elle est électronique ou qu'elle ne répond pas à certaines exigences de qualification. Des exigences minimales communes sont définies pour les certificats électroniques qualifiés, de sorte qu'ils aient la même valeur juridique qu'un certificat officiel sur papier. De cette manière, les documents stockés numériquement dans le portefeuille (par exemple, un permis de conduire numérique ou un diplôme universitaire) auront une valeur juridique fiable dans toute l'Union.
Cadre juridique de la protection des données Portefeuille d'identité
La solution Identity Wallet est conçue dès le départ de manière à ce que les principes centraux du RGPD tels que la minimisation des données, le consentement, la limitation des finalités ainsi que les droits des personnes concernées soient respectés et soutenus techniquement. Ceci est garanti aussi bien par exigences légales du règlement eIDAS 2.0 que par les Architecture du portefeuille même assuré.
Aperçu des aspects importants de la protection des données :
- la limitation des finalités et l'interdiction de tout traitement ultérieur : Le règlement stipule que les données à caractère personnel traitées dans le cadre du portefeuille ne peuvent être utilisées qu'aux fins de la fourniture des services du portefeuille.. Tout traitement à d'autres fins - par exemple l'exploitation commerciale des données d'utilisation - est interdit. Les fournisseurs de portefeuilles n'ont pas le droit de consulter les transactions concrètes des utilisateurs ("Inobservabilité") et ne créent pas de profils sur le comportement d'utilisation. Cela permet de mettre un terme à une réutilisation abusive (p. ex. création de profils). Si, dans des cas exceptionnels, l'exploitant du portefeuille a besoin d'accéder à certaines informations (par exemple à des fins d'assistance), il ne peut le faire qu'avec l'accord de l'utilisateur. consentement explicite préalable de l'utilisateur au cas par cas et doit être pleinement conforme au RGPD.
- Minimisation des données et partage sélectif des données : Aussi peu de données que possible, autant que nécessaire. Ce principe du RGPD (art. 5, al. 1, let. c) est mis en œuvre techniquement par le portefeuille. Par défaut, seuls les attributs minimums nécessaires sont partagés. Le portefeuille dispose de Privacy-by-Design-fonctionnalités telles que divulgation sélective et Preuves de connaissance zéro. La divulgation sélective signifie que, lors d'une demande, l'utilisateur ne divulgue de manière ciblée que les informations spécifiques demandées par un prestataire de services, sans révéler de détails supplémentaires. Par exemple, au lieu de transmettre la carte d'identité complète, le portefeuille peut confirmer que l'utilisateur a plus de 18 ans, sans de divulguer leur date de naissance ou leur adresse exacte. Preuves de connaissance zéro vont encore plus loin en permettant la vérification d'une caractéristique sans divulguer les données qui la sous-tendent. Il serait ainsi possible de prouver qu'un compte bancaire présente un solde minimum, sans d'indiquer le montant exact. De telles méthodes cryptographiques doivent permettre de garantir un maximum de protection des données.
Privacy Dashboard : transparence et droits des personnes concernées
Le site consentement actif L'autonomie de l'utilisateur est le principe de base de tout le système de l'Identity Wallet. Les utilisateurs décident de manière autonome à qui ils mettent à disposition quelles informations de leur portefeuille. Chaque libération de données nécessite une action consciente dans le portefeuille (par ex. confirmation via l'application), de sorte qu'aucune transmission involontaire ne puisse avoir lieu. Cela correspond à l'exigence du RGPD d'un consentement informé, volontaire et spécifique, lorsqu'il est nécessaire comme base juridique. Le règlement eIDAS 2.0 souligne explicitement que l'accès aux données du portefeuille ne peut se faire qu'avec le consentement préalable de l'utilisateur et conformément au RGPD.. Dans de nombreux cas, la transmission de données est également limitée à des données de base. nécessité contractuelle ou d'obligations légales (par exemple dans le secteur bancaire) ; néanmoins, le portefeuille garantit que la personne concernée garde toujours le contrôle et autorise le transfert.
Afin de pouvoir Aperçu de ses propres données les applications de portefeuille doivent disposer d'une fonction intégrée de Tableau de bord de la protection des données disposent. Celui-ci fait office de Journal des transactions et indique clairement à l'utilisateur quel service a demandé ou reçu quelles données et à quel moment. Toutes les transactions de données via le portefeuille sont documentées ici et peuvent être consultées par l'utilisateur, même si un processus a été interrompu. L'objectif est de créer une grande transparence et d'éviter les utilisations de données incompréhensibles.
En outre, le tableau de bord permet aux utilisateurs de Droits des personnes concernées conformément au RGPD. Il est notamment possible d'obtenir directement via le portefeuille, pour chaque transaction, une Suppression des données partagées auprès du fournisseur de services. Le règlement exige qu'une telle demande de suppression (basée sur l'article 17 du RGPD, droit à l'oubli) puisse être faite en quelques clics. De même, il doit être possible de notifier directement à l'autorité nationale de contrôle de la protection des données un prestataire de services qui demande des données de manière illégale ou suspecte.
Privacy by Design/Default et mesures de sécurité
La conformité à la protection des données est ancrée techniquement. Le règlement eIDAS 2.0 oblige les fournisseurs de l'Identity Wallet à garantir la protection des données. par la conception technique et des paramètres par défaut respectueux de la vie privée à mettre en œuvre. L'architecture elle-même sépare logiquement les données de portefeuille personnelles des autres traitements de données du fournisseur afin d'éviter tout mélange.
Toutes les données du portefeuille sont en local sur l'appareil de l'utilisateur et non dans un cloud central, ce qui devrait renforcer le contrôle et la sécurité des données. L'accès au portefeuille est protégé par les caractéristiques de sécurité du terminal (code PIN, sécurité biométrique, etc.), de sorte que seules les personnes autorisées peuvent utiliser le contenu. En outre, les Code open source et Audits de sécurité afin d'assurer la transparence et de détecter les points faibles à un stade précoce. Si un risque de sécurité important devait toutefois survenir, la solution de portefeuille concernée peut exposé être retiré du marché jusqu'à ce que le problème soit résolu. Toutes ces mesures visent à garantir que le portefeuille répond aux exigences strictes du RGPD et à inspirer confiance aux utilisateurs.
Conseil de lecture : Pseudonymisation - L'EDSA publie de nouvelles lignes directrices
Fournisseurs et exposants de portefeuilles d'identité
Le portefeuille d'identité numérique de l'UE est basé sur un cadre technique commun et des rôles clairement définis afin de permettre leur utilisation transfrontalière. Tant technique ainsi que juridique est un tout Écosystème d'acteurs et d'infrastructures est prévue pour que les portefeuilles fonctionnent de manière fiable :
- Fournisseurs de portefeuilles (Wallet Providers) : Il s'agit des organismes qui développent le portefeuille et le mettent à la disposition des utilisateurs pour le compte d'un État membre.. Dans de nombreux cas, il s'agira du gouvernement ou d'une autorité publique elle-même. Alternativement, un prestataire de services informatiques privé peut être mandaté. Le fournisseur de portefeuilles assure le fonctionnement technique, les mises à jour régulières et l'assistance. Sur le plan juridique, c'est l'État membre concerné qui est responsable de la conformité de "son" wallet. Chaque État membre de l'UE doit proposer au moins un portefeuille, même s'il est possible d'en proposer plusieurs en parallèle, tant qu'ils sont tous des normes communes de l'UE
- Émetteur (Issuer) : Ainsi, les organisations de confiance qui utilisent des preuves d'identité numériques et d'autres documents numériques peuvent alimenter le portefeuille. Il s'agit par exemple des autorités publiques (pour les documents d'identité officiels, les permis de conduire, les actes d'état civil), mais aussi d'autres organismes tels que les universités (pour les diplômes) ou les banques et les services de certification. Chaque émetteur fournit à un utilisateur une certificat électronique (Attestation) sur un attribut ou un document donné, qui est enregistré dans le portefeuille. Techniquement, cela se fait par certificats numériques ou enregistrements signésqui garantissent l'authenticité et l'inaltérabilité. D'un point de vue juridique, les émetteurs doivent remplir certaines conditions en fonction du type de certificat - notamment prestataires de services de confiance qualifiés être, lorsqu'il s'agit de certificats électroniques d'attributs qualifiés qui produisent des effets juridiques particuliers. Le nouveau règlement énumère des catégories d'attributs (par exemple le nom, la date de naissance, le statut de la licence) pour lesquelles exposants qualifiés doivent être disponibles. Les exposants sont tenus de Exactitude des données de vérifier avant d'émettre un certificat dans le portefeuille, afin que les utilisateurs puissent se fier aux informations stockées dans le portefeuille.
Service Provider (fournisseur de services)
Cela comprend tous les des organismes publics ou privés, les informations du portefeuille consulter, pour fournir un service à l'utilisateur. Par exemple : une compagnie aérienne qui exige une identification pour la réservation en ligne ; une société de location de voitures qui veut voir le permis de conduire numérique ; une banque qui demande les données d'identification numérique pour l'ouverture d'un compte. Fournisseur de services (Relying Parties) utilisent le portefeuille pour authentifier les utilisateurs ou de faire vérifier certains attributs (par exemple l'âge, la qualification).
Légalement, ils doivent s'inscrirelorsqu'ils souhaitent consulter des données de portefeuille. Cet enregistrement auprès d'une autorité compétente (désignée par l'État membre) est un gage de transparence et permet de contrôler la légalité des demandes de données. Lors de l'enregistrement, les fournisseurs doivent indiquer quelles données ils souhaitent consulter et dans quel but. Les demandes de données inutiles ou disproportionnées peuvent ainsi être évitées.
En outre, le règlement impose aux fournisseurs de services une Analyse d'impact sur la protection des données (AIPD) et, le cas échéant, consulter l'autorité de contrôle de la protection des données, avant ils traitent des données de portefeuille. C'est notamment le cas lorsque des catégories particulières de données à caractère personnel (p. ex. données relatives à la santé) ou des profils étendus sont concernés. Cette mesure vise à garantir que les nouvelles applications de portefeuille soient examinées de manière approfondie afin d'en évaluer les risques.
Dans l'ensemble, l'obligation d'enregistrement doit permettre de garantir que seuls des services fiables accèdent aux données du portefeuille et que les utilisateurs sachent exactement qui utilise leurs données d'identité.
Fonctionnement technique des portefeuilles
Sur le plan technique, l'interaction entre ces acteurs est assurée par une une architecture et des normes communes est possible. L'UE a publié à cet effet une Cadre d'architecture et de référence (ARF) ainsi que techniques Spécifications élabore. Tous les portefeuilles nationaux, les systèmes émetteurs et les fournisseurs de services doivent respecter ces règles. des protocoles et des formats de données uniformes de sorte qu'un portefeuille dans un pays A puisse communiquer facilement avec un fournisseur de services dans un pays B. Par exemple, il existe des normes européennes Modèles de données (catalogues de schémas) pour certains documents, afin que, par exemple, un "document numérique de permis de conduire" soit structuré de la même manière dans chaque État membre. De même, une infrastructure commune de confiance est construit : Une sorte de annuaire public des organismes de confiance (par exemple Émetteur-catalogue), dans lequel sont répertoriés tous les émetteurs et prestataires de services certifiés. Le portefeuille peut ainsi vérifier automatiquement si un certificat entrant provient d'un Émetteur agréé et si un site de service demandeur est effectivement enregistré et légitime. Cette reconnaissance mutuelle est assurée par certificats numériques et des signatures. Similaire aux certificats SSL sur le web, mais ici pour les identités et les attributs.
Un aspect technique et juridique important est la Sécurité: Les applications de portefeuille doivent respecter des règles strictes Normes de sécurité informatique de se conformer à ces exigences. Le règlement fait référence au cadre juridique de l'UE en matière de cybersécurité (règlement (UE) 2019/881) et prévoit que les portefeuilles doivent être sécurisés conformément aux dispositions européennes ou nationales. Schémas de certification être contrôlés au niveau de la sécurité informatique. Concrètement, cela signifie que chaque système de portefeuille d'une Évaluation de la conformité qui confirme le respect des exigences techniques et de sécurité. Cette certification doit, dans la mesure du possible, être harmonisée au niveau de l'UE (le cas échéant, avec la participation de l'agence européenne ENISA). Les portefeuilles qui réussissent l'examen sont considérés comme "Certifié en cybersécurité". Pour les utilisateurs et les fournisseurs de services, cela donne confiance dans le fait que l'application de portefeuille en question est sûre (par ex. protégée contre les attaques de pirates et exempte de logiciels malveillants connus).
Fonctionnement pratique de l'Identity Wallet
Pour utiliser un portefeuille, l'utilisateur passe généralement par un Processus d'onboardingIl télécharge l'application Wallet de son pays, la sécurise (par ex. avec un code PIN/biométrie) et la connecte une seule fois à un source d'identité de l'État. Par exemple, en lisant la carte d'identité électronique ou en s'identifiant en ligne.. Ensuite, il peut choisir différents documents numériques en les demandant aux émetteurs concernés (par exemple, le bureau des permis de conduire pour le permis de conduire numérique). Les certificats ajoutés sont stockés dans le portefeuille et peuvent être utilisés dès lors. Si l'utilisateur se connecte à un service en ligne qui prend en charge le portefeuille, il peut, via le portefeuille partager les données sélectionnées.
L'authentification se fait alors le plus souvent par une Combinaison de la validation du portefeuille et éventuellement d'une confirmation supplémentaire (par exemple une signature numérique ou une authentification par smartphone). Important : la confirmation de l'identité juridique se fait au moment de la validation - le prestataire de services reçoit, par exemple, une confirmation signée numériquement de l'identité ou de l'attribut demandé, qu'il peut utiliser en tant que équivalent à la carte d'identité classique doit traiter. Étant donné que les preuves de portefeuille sont mutuellement reconnues, un citoyen du pays A bénéficie d'un service en ligne dans le pays B la même acceptation juridiqueLe demandeur d'asile a été informé qu'il n'était pas en mesure de présenter une pièce d'identité locale.
Au total, les portefeuilles d'identité numérique de l'UE devraient être une technologie de pointe avec des engagements juridiques clairs combiner les deux : Une infrastructure européenne unifiée garantit l'interopérabilité et la sécurité, tandis que des règles contraignantes assurent que tous les acteurs (États, fournisseurs, utilisateurs) remplissent leur rôle de protection des données d'identité. Les wallets devraient ainsi constituer un pilier pour des transactions numériques fiables en Europe. La question ne sera toutefois pas seulement de savoir si la mise en œuvre technique est réussie comme décrit, mais aussi si les citoyens et les consommateurs accepteront et utiliseront les EUDI wallet à grande échelle.
French 
German 
English 
Italian