Il faut tout d’abord rappeler que l’UE a fixé à l’ensemble de ses Etats membres, dès 2022 (Plan pour une Europe numérique à l’horizon 2030), trois objectifs :
- Services publics clés : 100 % en ligne.
- Santé en ligne : 100 % des citoyens ont accès à leurs dossiers médicaux en ligne.
- Identité numérique : 80 % des citoyens possèdent une identité numérique.
Ce programme hyper clair de numérisation imposée n’a jamais été débattu démocratiquement en France et apparaît toujours morcelé entre différentes mesures (contrairement à la Belgique où une seule ordonnance rappelait ensemble les trois objectifs). Cette stratégie masquée vise à éviter les contestations.
Nous avons déjà largement documenté et contesté les effets de l’accès seulement numérique imposé aux services publics en France. Sur le modèle des victoires belges, vous voulons dans les prochains mois obtenir la possibilité d’un accès non numérique aux services publics, avec de nombreuses autres organisations.
Nous contestons aussi, avec d’autres (SMG, Interhop…), le Dossier Médical Partagé (DMP ou MonEspaceSanté) qui, sous couvert d’un regroupement « pratique » de nos données médicales, met fin de fait au secret médical et, en plus, transfert l’ensemble de ces données ultra-sensibles au géant américain Microsoft (par le biais du plan macroniste du Health Data Hub) !
L’identité numérique est cette troisième tentacule destinée à nous pister de façon continue !
Nous avons déjà documenté les stratégies déployées en France pour nous imposer progressivement cette identification numérique, passant par des arguments de santé (le pass sanitaire pendant le temps du covid, depuis devenu Passeport numérique de santé européen puis mondial), de documents d’identité divers (nous en faisions un inventaire exhaustif dès 2023 : Carte nationale d’identité électronique, Passeport biométrique, portail France Connect, imposé pour toute une série de démarches, et autres permis électronique, e-carte vitale).
Mais il est nécessaire de revenir à l’appellation européenne de départ (portefeuille européen d’identité numérique, ou PEIN) pour mieux envisager le plan d’ensemble et ses risques pour nos libertés, comme nous y invite un article de recherche publié dans The Conversation, dont nous reprenons des extraits ci-dessous.
France Identité offre une identité numérique nationale régalienne qui, d’ici la fin de l’année 2026, pourra être utilisée dans toute l’Union européenne – une fois qu’elle aura été mise en conformité avec le règlement européen eIDAS 2, qui établit le cadre européen relatif à une identité numérique.
A cette date elle deviendra un portefeuille européen d’identité numérique (PEIN), qui permettra à chaque citoyen et résident européen de bénéficier d’un accès simplifié à différents services numériques en Europe, qu’ils soient étatiques (établir une procuration de vote par exemple) ou commerciaux (envoyer sa carte grise à son garagiste).
L’objectif est de lutter contre l’augmentation constante des usurpations d’identité et des cyberattaques, comme le phishing (ou hameçonnage) qui consiste à envoyer des SMS ou des mails frauduleux destinés à tromper la victime et à l’inciter à communiquer ses données personnelles et/ou bancaires.
À cette fin, le PEIN permettrait à son utilisateur d’exercer un contrôle sur son identité et ses données, et d’accéder à des services numériques transfrontières publics et privés. Comme la plupart des applications numériques, l’introduction de ces portefeuilles comporte aussi des risques, notamment de vols d’identité, de fracture numérique ou d’ingérence étrangère.
À retenir
- Un portefeuille d’identité numérique pourra contenir les données d’état civil et des justificatifs électroniques (permis de conduire, carte vitale, prescription médicale, titres de transport, factures, diplômes…) afin de faciliter les procédures et les échanges d’informations au sein de l’UE.
- Les pays de l’Union européenne doivent proposer au moins un portefeuille d’identité numérique à leurs citoyens et résidents d’ici la fin de l’année 2026. Ceux-ci pourront être publics ou privés, avec des fonctionnalités comme la signature électronique gratuite.
- Avant leur mise en service à l’échelle européenne, les portefeuilles devront être certifiés par l’État membre qui les émet, ce qui devrait limiter les risques en matière de cybersécurité.
- Comme toujours, ces garanties ne peuvent être absolues : des contrôles effectifs et des sanctions dissuasives devront être mis en place. Il restera essentiel de disposer d’une alternative physique aux documents numériques afin de préserver la résilience et la souveraineté d’un État en cas de cyberattaque, mais aussi de permettre à chaque citoyen de choisir ou non d’utiliser un PEIN.
Un portefeuille, pour quelle utilisation ?
Le PEIN permettra à son utilisateur de s’identifier auprès des services publics ou privés, notamment commerciaux, dans toute l’Union européenne (UE). Un citoyen français équipé de ce portefeuille pourrait ainsi interagir avec l’administration allemande au même titre qu’un citoyen allemand, sans avoir à effectuer de démarches supplémentaires.
En fonction des besoins de son ou sa titulaire, le PEIN pourra contenir des informations, dont ses données d’état civil (prénom, nom, date de naissance, lieu de naissance et nationalité) ainsi que des justificatifs électroniques (permis de conduire, carte vitale, prescription médicale, titres de transport, factures…).
L’utilisateur pourrait présenter à terme ce type d’attestations à un service, par exemple envoyer à son futur employeur son diplôme et un justificatif de domicile ou présenter une prescription médicale délivrée par son médecin français dans une pharmacie belge. Ce véritable trousseau de clés numérique lui permettrait de franchir les frontières en présentant ses documents électroniques (passeport, visa, voire des billets d’avion).
Le portefeuille permettra également de signer électroniquement des documents avec des signatures dites « qualifiées ». La signature, apposée notamment sur un contrat d’ouverture de compte bancaire ou de location de voiture, aurait alors la même valeur juridique qu’une signature manuscrite.
Enfin, deux personnes pourront interagir via leurs portefeuilles respectifs. Alice en voyage en Italie pourrait ainsi transmettre sa procuration de vote électronique à Florian.
Un portefeuille, pour qui et pour quand ?
Tous les citoyens et les résidents de l’UE pourront disposer d’un PEIN qui ne sera pas obligatoire, l’ambition de la Commission européenne étant d’équiper 80 % des personnes d’ici à 2030 [on voit cependant que la stratégie des Etats, la France en particulier, est de faire basculer le maximum de ses ressortissants dans ce dispositif en masquant son caractère facultatif].
2026 est une année charnière, car chaque État membre devra émettre au moins un PEIN d’ici la fin de l’année. Pour cela, le portefeuille devra fournir des fonctionnalités obligatoires (attestations électroniques simples et qualifiées, signatures qualifiées, génération de pseudonymes…), être certifié par chaque État membre conformément aux exigences fixées et figurer sur une liste européenne publique. Le fournisseur de PEIN sera libre de proposer des services additionnels, comme le paiement, l’horodatage ou l’archivage de documents.
Fin 2027, toutes les entreprises et administrations qui exigent une authentification forte du client, comme les banques et la Sécurité sociale, devront accepter qu’une personne prouve son identité au moyen d’un PEIN.
Comment utilisera-t-on un portefeuille ?
Le PEIN prend principalement la forme d’une application mobile téléchargée sur un smartphone. Il fonctionne en ligne et hors ligne (sans connexion).
Si l’on se base sur l’exemple de France Identité, il faut disposer d’une carte d’identité à puce contenant les données d’identification et d’un smartphone compatible NFC sous Android 11 ou iOS 16.6 minimum, et définir un code à six chiffres. L’utilisateur dispose alors d’un niveau de sécurité faible, qui permet de consulter des services comme Impots.gouv.fr, Ameli.fr ou son compte retraite.
Pour obtenir le niveau de sécurité élevé, le titulaire du PEIN doit se rendre en mairie pour une vérification en face-à-face. Cette vérification est indispensable pour les démarches en ligne les plus sensibles, auparavant uniquement réalisables en présentiel, comme l’établissement d’une procuration de vote ou une demande d’aide sociale.
Une ouverture à un marché privé des portefeuilles européens d’identité numérique
Dans les années à venir, il est possible que des États membres émettent des portefeuilles fournis par des acteurs privés.
C’est déjà le cas de la Belgique qui devrait notifier auprès de la Commission européenne le PEIN MyGov.be, qui permet déjà aux citoyens belges d’accéder en ligne à leurs documents administratifs, ainsi que le PEIN Itsme, fourni par un consortium d’acteurs privés.
Un portefeuille, à quel prix ?
La question de la gratuité constitue un point important. La délivrance et l’utilisation du portefeuille sont ainsi gratuites pour un individu. En ce qui concerne les signatures électroniques qualifiées à des fins non professionnelles, elles seront aussi gratuites, chaque État membre étant libre de décider des modalités. Par exemple, la Pologne offre cinq signatures gratuites par mois et par citoyen.
L’utilisation des signatures électroniques à des fins professionnelles pourra être payante. En Belgique, le fournisseur privé du portefeuille Itsme facture 4,95 euros hors TVA par signature qualifiée.
Un portefeuille, pour quels avantages ?
Le PEIN est conçu comme une réponse aux nombreuses usurpations d’identité et au phishing (hameçonnage en français). Il doit permettre aux fournisseurs de services de lutter contre la fraude et les fausses déclarations, notamment concernant l’âge minimum requis pour accéder à des sites pornographiques ou de jeux en ligne. Les démarches qui nécessitent aujourd’hui d’envoyer la photocopie de sa carte d’identité et de son permis de conduire pour louer une voiture pourront être entièrement numérisées.
Un autre avantage, conditionné par la mise en œuvre de moyens techniques adaptés, est le contrôle accru de l’utilisateur sur le traitement de ses données personnelles) : il pourra librement choisir et utiliser des pseudonymes et les utiliser, si l’authentification forte n’est pas requise. Grâce à un tableau de bord obligatoire, il pourra visualiser l’historique des données transmises, demander l’effacement de ses données, et signaler les demandes de données suspectes à la Commission nationale de l’informatique et des libertés (Cnil) – ce qui renforcera l’efficacité des contrôles. Il pourra également sélectionner les données qui figureront ou non dans un justificatif à présenter à un tiers, protégeant ainsi sa vie privée.
Le portefeuille devrait aussi intégrer des technologies de protection de la vie privée. Par exemple, un mineur pourra prouver à un réseau social qu’il a moins de 15 ans et une personne majeure qu’elle a plus de 18 ans, sans avoir à fournir ses nom, prénom et date de naissance, grâce à des technologies de preuve à divulgation nulle de connaissance (ou ZKP, pour Zero-Knowledge Proof en anglais).
De plus, seuls les fournisseurs de services publics et privés inscrits sur une liste publique pourront interagir avec les PEIN. Ces « parties utilisatrices » devront notamment indiquer les données qu’elles demanderont. Les fournisseurs d’attestations et de signatures qualifiées devront, quant à eux, obtenir une qualification préalable (délivrée en France par l’Agence nationale de la sécurité des systèmes d’information, ou Anssi) et figureront eux aussi sur une liste publique. C’est donc un véritable écosystème des identités numériques qui se met en place.
Selon certaines estimations, au moins une quarantaine de portefeuilles devraient participer à ce nouveau marché, qui, malgré les discours rassurants de la Commission européenne, n’en présente pas moins un certain nombre de risques.
Quels sont les risques d’un marché des identités numériques ?
Du côté de l’utilisateur, le premier risque est d’être contraint en pratique d’utiliser un PEIN conçu comme un véritable sésame numérique pour accéder à de nombreux services publics et privés. Cette situation pourrait conduire à laisser de côté une partie de la population qui ne pourra pas, faute d’argent ou de compétences [ou de choix personnel] , disposer d’un PEIN pour accéder aux services fournis.
Un autre risque concerne la vie privée des utilisateurs, car il est à craindre que le portefeuille numérique n’augmente la quantité de données personnelles collectées à leur insu. En effet, si nous avons insisté sur l’avantage que représente la lutte contre la collecte abusive de données (grâce à la possibilité de générer des pseudonymes), encore faut-il que le portefeuille soit mis en œuvre dans le respect du règlement général sur la protection des données (RGPD). Il faut donc s’assurer, par exemple, qu’un fournisseur de portefeuille n’insère pas de numéro unique à chaque transaction, ce qui permettrait de tracer l’utilisateur malgré toutes les précautions prises pour ne pas révéler son identité et ses données.
Pour contrer cette menace, le droit de l’UE impose que les portefeuilles soient certifiés avant leurs notifications à la Commission européenne et leurs mises sur le marché. Cette certification apportera donc certaines garanties qui ne seront pas absolues, comme l’ont démontré plusieurs événements par le passé, par exemple l’affaire PEGASUS en 2021 et celle des cartes ID électroniques en Estonie en 2017.
De fait, les cyberattaquants pourront chercher à voler non seulement l’identité d’une personne, mais aussi les données associées à son identité. Certaines d’entre elles, comme les noms, les prénoms et les diplômes, seront de haute qualité, car leur authenticité aura été vérifiée auprès de sources authentiques, comme le registre d’état civil.
Du côté des États de l’UE, le PEIN questionne leur souveraineté, car ceux-ci sont les seuls aujourd’hui à pouvoir établir l’identité d’une personne avec un niveau de fiabilité élevé.
La fourniture des PEIN par des entreprises privées non européennes augmente les risques d’ingérence étrangère qui sont loin de constituer une simple hypothèse. Par exemple, Nicolas Guillou, juge français à la Cour pénale internationale, est placé sous le coup de sanctions états-uniennes depuis août 2025. Comme Thierry Breton, ancien commissaire européen, il est interdit de séjour aux États-Unis, en raison de son implication dans le dossier du mandat d’arrêt visant le premier ministre israélien Benyamin Nétanyahou. Il est privé d’accès aux services numériques états-uniens, d’Airbnb à Amazon. Sa carte Visa lui a même été retirée.
Pour éviter ce type de sanctions, le projet européen APTITUDE travaille à l’intégration dans le PEIN d’une solution de paiement souverain fourni par WERO.
Pour autant, il reste essentiel de disposer d’une alternative physique aux documents numériques. Le maintien de documents physiques permettra non seulement de préserver la résilience et la souveraineté d’un État en cas de cyberattaque, mais aussi à chaque citoyen de choisir ou non d’utiliser un PEIN.