Votre wallet européen "souverain" dépendra-t-il toujours d'Apple et Google ?

D'ici fin 2026, chaque État membre de l'Union européenne devra fournir à ses citoyens un portefeuille d'identité numérique. L'idée est séduisante : tout stocker sur son téléphone, de la carte d'identité aux diplômes, sans jamais partager plus que nécessaire. Sauf que ce wallet sera une application comme une autre. Et sur iOS comme sur Android, c'est Apple et Google qui font la loi.

Le calendrier est serré, les enjeux sont immenses, et les zones d'ombre ne manquent pas. Qui opère vraiment cette infrastructure ? Quelles données sont centralisées ? Et surtout, à qui profite ce chantier ?

eIDAS 1.0 : le règlement qui n'a pas tenu ses promesses

Tout commence en 2014 avec le premier règlement eIDAS (Electronic Identification, Authentication and Trust Services). L'objectif était déjà ambitieux : créer un cadre commun pour reconnaître les identités numériques d'un pays à l'autre en Europe. Mais, dans la pratique, ça n'a pas vraiment fonctionné. Chaque État membre a avancé à son propre rythme, sans interopérabilité réelle. Un Français ne pouvait pas utiliser son identité numérique en Allemagne. Bien joué…

eIDAS 2.0, entré en vigueur le 20 mai 2024, corrige le tir et impose une contrainte. Fin 2026, tous les États membres doivent fournir un wallet à leurs citoyens. Cette fois, les services publics n'auront pas d'autre choix que de l'accepter et de le reconnaître. Les banques, les établissements de crédit et les opérateurs télécom seront également contraints de l'accepter d'ici fin 2027, dans le cadre de la réglementation anti-blanchiment (AMLR). Pour les autres grandes plateformes, pas de date arrêtée à ce stade. La Commission doit encore publier les textes qui préciseront les obligations et les délais.

Un portefeuille numérique, mais pour quoi faire exactement ?

L'European Digital Identity Wallet, ou EUDIW, n'est pas simplement une carte d'identité dématérialisée. Le portefeuille numérique peut contenir ce qu'on appelle des "attestations vérifiables… On y retrouvera l'identité de base (PID, pour Person Identification Data), mais aussi des diplômes universitaires, un permis de conduire, la carte grise, des certificats professionnels ou un justificatif de domicile.

Mais ce qui distingue surtout ce wallet des solutions existantes, c'est le principe de divulgation minimale. Concrètement, si un site vous demande de prouver que vous êtes majeur, vous pouvez le lui confirmer sans révéler votre date de naissance complète, votre adresse ou votre numéro de pièce d'identité. C'est donc un réel progrès par rapport au scan de passeport que des dizaines de services exigent aujourd'hui.

Le wallet repose sur des standards ouverts du W3C et de l'IETF. On y trouve deux protocoles clés : OpenID4VCI pour l'émission des attestations (comment l'État "envoie" votre identité dans le wallet) et OpenID4VP pour la présentation (comment vous prouvez quelque chose à un service tiers). Il y a aussi deux formats de documents qui coexistent : le SD-JWT, proche des tokens déjà utilisés sur le web, et le mdoc au format ISO 18013-5, utilisé notamment en présentation physique via NFC ou Bluetooth.

Du côté français, c'est l'Agence nationale des titres sécurisés (ANTS) qui est chargée du déploiement public via l'application France Identité. L'application, lancée officiellement le 14 février 2024, n'a pas été conçue comme une réponse à eIDAS 1.0, mais a été construite d'emblée en anticipation d'eIDAS 2.0. En septembre 2024, la Commission européenne lui a accordé une certification conforme au niveau de garantie élevé défini par le cadre eIDAS. Cette validation, soumise à un examen par les pairs de tous les États membres et reconnue à l'unanimité, a positionné France Identité comme la brique centrale du wallet français à déployer fin 2026. L'application compte à ce jour 4 millions d'utilisateurs, un chiffre qui reste donc encore modeste.

App Store, NFC : Apple et Google restent aux commandes

Le règlement autorise des opérateurs privés à proposer des wallets, aux côtés des solutions publiques. Rien dans le texte n'interdit formellement qu'une filiale européenne d'un acteur américain propose son propre wallet certifié (eg. Microsoft France). La situation n'est donc pas sans rappeler celle du cloud souverain français, où le label "souverain" reste vague et peut finalement avoir plusieurs sens…

Surtout, il y a un angle encore plus concret, et rarement évoqué dans les communications officielles. Sur smartphone, l'EUDIW se présentera sous la forme d'une application. Or sur iOS, toutes les applications passent obligatoirement par l'App Store d'Apple. Et sur Android, une très grande majorité par Google Play. Les deux entreprises peuvent, à tout moment, retirer une application de leur store ou en bloquer la mise à jour pour n'importe quel territoire. C'est déjà arrivé, sous pression gouvernementale, dans d'autres contextes, par exemple quand la firme de Cupertino a retiré les VPN de son app store en Russie.

Mais le problème va plus loin que les App Stores. Pendant longtemps, Apple contrôlait en exclusivité l'accès à la puce NFC de l'iPhone, celle qui permet de présenter son identité à une borne de contrôle, exactement comme une carte bancaire sans contact. Pour faire fonctionner un wallet d'identité en présentation physique, il fallait passer par Apple Pay ou Apple Wallet. Aucune alternative n'était possible.

À partir de l'été 2024, sous la pression de Bruxelles, Apple a ouvert sa puce NFC aux applications tierces. La Commission a rendu cet engagement juridiquement contraignant - impossible pour Apple de revenir en arrière pendant dix ans dans l'UE La mesure est effective depuis iOS 18.1.

Mais l'accès reste conditionné au respect des normes de sécurité imposées par Apple et à un accord commercial avec elle. Et rien dans eIDAS 2.0 n'encadre cet aspect, ni ne garantit que ces conditions resteront acceptables sur la durée. La dépendance s'est réduite, mais elle n'a pas disparu.

Autant dire que la situation va vite devenir paradoxale. L'Europe veut déployer une infrastructure d'identité officiellement souveraine, mais la distribution et l'usage physique quotidien resteront sous le contrôle d'Apple ou de Google... Certes, les deux entreprises ne seraient pas opérateurs du wallet au sens légal du terme, mais elles en détiendraient quand même les clés d'accès.

L'article 45, la controverse qui a failli tout plomber

Le modèle SSI (Self-Sovereign Identity), sur lequel repose en partie l'EUDIW, promet que les données restent stockées sur l'appareil de l'utilisateur et non sur un serveur central. Mais dans la pratique, les émetteurs d'attestations (les États, les universités, les employeurs) doivent être enregistrés dans des listes de confiance centralisées pour que leurs signatures soient reconnues valides. Ce sont ces listes qui font tenir tout le système, et qui en constituent aussi le maillon faible. Si une autorité y est compromise ou frauduleusement inscrite, toutes les attestations qu'elle a émises deviennent potentiellement douteuses

Et ce n'est pas la seule faille. La version initiale d'eIDAS 2.0 contenait un texte controversé dans son article 45. Celui-ci qui obligeait les navigateurs web à accepter des certificats QWAC (Qualified Website Authentication Certificates) émis par des autorités de certification étatiques. Cette version du texte aurait donc d'emblée ajouté les gouvernements européens à une liste de confiance, ce qui leur aurait donné la possibilité de se faire passer pour n'importe quel site web aux yeux de Chrome ou Firefox.

Mozilla, Apple et Google sont montés au créneau. Il faut dire qu'un tel dispositif aurait permis à n'importe quel gouvernement européen d'émettre un certificat frauduleux pour n'importe quel site, et donc d'intercepter des communications HTTPS sans que le navigateur ne lève la moindre alerte. Cela aurait aussi pu permettre de mettre en place un dispositif de surveillance des communications chiffrées, à grande échelle.

Sous la pression, la version finale du règlement a été revue. Il n'empêche que si l'Europe peut vouloir reprendre le contrôle sur son infrastructure d'identité, le chemin est semé d'embûches, et parfois, elle crée involontairement des failles dans la protection de ses propres citoyens.

Aura-t-on un wallet souverain en fin d'année ?

Il ne reste plus que quelques mois avec la deadline de décembre 2026. Et, à mesure que nous approchons de cette date butoir, les discours politiques devraient se clarifier. Les États qui ne livreront pas leur wallet seront en infraction avec le droit européen. Nous verrons alors qui a vraiment investi dans une infrastructure robuste et qui a bâclé le chantier.

L'objectif est que 80% des citoyens européens soient équipés d'un wallet d'ici 2030. Cependant, le règlement garantit que le wallet reste facultatif et qu'aucun service ne peut refuser quelqu'un qui ne l'utilise pas. Dans les faits, les administrations qui optimiseront leurs parcours autour du wallet créeront forcément des frictions supplémentaires pour ceux qui n'y ont pas accès, qu'il s'agisse de personnes âgées ou d'un citoyen sans smartphone.

L'EUDIW n'a pas simplement pour vocation de remplacer votre bon vieux portefeuille physique. Cette identité numérique constituera le socle sur lequel reposeront les services publics dématérialisés, la signature électronique, l'accès aux soins, au système bancaire, à l'éducation… Si ce socle est solide et véritablement souverain, l'Europe aura construit quelque chose de durable. Mais si les compromis techniques et politiques l'ont trop affaiblie, et si Apple et Google restent dans l'équation, elle n'aura créé qu'une illusion de souveraineté avec, au final, les mêmes dépendances qu'avant.