La Fédération des Tiers de Confiance du numérique (FnTC) publie un guide de mise en conformité dédié au Portefeuille Européen d’Identité Numérique (PEIN), un an avant le déploiement obligatoire prévu par le règlement eIDAS 2.0. Ce document analyse les actes d’exécution et les obligations techniques imposées aux parties utilisatrices, dans un contexte où la France accuse un retard structurel.
Prévu pour fin 2026 dans les 27 États membres, le PEIN doit offrir une infrastructure unifiée et sécurisée d’identité numérique. Mais à l’heure actuelle, seuls 350 projets pilotes sont en cours en Europe, et la France reste mal préparée. Moins de 5 % des entreprises y disposent d’une direction des systèmes d’information suffisamment structurée pour intégrer le PEIN, et 0,5 % seulement ont désigné un délégué à la protection des données. Le guide publié par la FnTC se veut un outil opérationnel pour anticiper ces obligations, dans un contexte de forte asymétrie entre ambition réglementaire et maturité technique.
Le guide présente d’abord les fondements techniques et réglementaires du PEIN à travers le schéma du « Triangle de Confiance », imposant une séparation stricte entre l’émetteur d’attributs (Issuer), l’utilisateur (Holder) et la partie utilisatrice (Verifier). Chaque rôle est défini par les actes d’exécution, avec des obligations précises d’enregistrement, de vérification et de respect du principe de minimisation des données.
Des actes d’exécution qui encadrent chaque aspect du dispositif
La partie utilisatrice – c’est-à-dire toute entité accédant à des attributs pour délivrer un service – devra apparaître sur des listes de confiance nationales, être enregistrée auprès d’un bureau désigné, et respecter les politiques d’enrôlement des États membres (règlement 2025/848). Le guide souligne la complexité liée à la gestion simultanée de clients avec et sans PEIN, et la nécessité de mécanismes de rapprochement fiables pour les identités hybrides.
Le document recense une quinzaine d’actes d’exécution publiés entre 2024 et 2025, précisant les conditions de certification des PEIN (2024/2981), les normes techniques minimales (CSC, ETSI TS 119 431-1, ISO), ou encore la réaction aux atteintes à la sécurité (2025/847). Le PEIN devra permettre une gestion complète des données d’identification, depuis la demande jusqu’à l’effacement, tout en garantissant la portabilité et la journalisation. Le chiffrement de bout en bout y est implicitement présenté comme solution de référence pour garantir la confidentialité.
Le guide explicite également les formats de données obligatoires et facultatifs à intégrer dans le PEIN (nom, date de naissance, adresse courriel…), ainsi que les mécanismes d’interopérabilité transfrontalière. Pour les entreprises, cela implique l’implémentation de protocoles techniques européens (2024/2982, 2024/2979), compatibles avec tous les PEIN, tout en tenant compte des exigences nationales sur les services rendus.
Des services qualifiés au cœur de la stratégie de conformité
La FnTC consacre un second volet à l’intégration des services de confiance numérique renforcés par eIDAS 2.0 : la signature électronique qualifiée, le cachet, l’horodatage, l’archivage. Le guide montre comment ces services peuvent faciliter l’onboarding, automatiser le KYC ou fiabiliser les échanges contractuels. Il détaille les conditions d’éligibilité, les mécanismes de certification et la structuration des chaînes de responsabilité, en insistant sur la normalisation européenne comme levier de souveraineté.
Enfin, les cas d’usage concrets évoqués (identification unique, preuve de majorité, authentification bancaire) permettent aux entreprises de mieux cerner les bénéfices métiers associés au PEIN. L’ensemble des éléments est conçu pour permettre une montée en maturité progressive, en s’appuyant sur les référentiels normatifs existants (ETSI, EUCC, ISO) et les politiques de supervision mises en place par les États membres.
Ces enjeux seront discutés le 26 novembre lors des Assises de la Confiance Numérique, organisées par la FnTC à Paris, avec deux tables rondes consacrées au PEIN et à l’eIDAS 2.0 comme fondement technique de la souveraineté européenne. Le guide complet est téléchargeable en accès libre sur le site de la FnTC.
