Newsletters

Tribune

Comment profiter du Portefeuille Européen d'Identité Numérique ?

Les règles applicables au Portefeuille Européen d’Identité Numérique sont désormais complètes. En amont de son lancement l'année prochaine, cette chronique de Pascal Agosti, avocat associé chez Caprioli & Associés, a pour objectif d'en déterminer les bénéfices, notamment pour des entreprises privées en quête de clients.

Drapeaux français et de l'UE
Le Ministère de l'Europe et des Affaires étrangères
Drapeaux français et de l'UE

Le Portefeuille Européen d’Identité Numérique (PEIN) défini à l’art. 3.42 du Règlement eIDAS devrait devenir une réalité d’ici fin 2026, avant la mise en œuvre d’applications pratiques. Les règlements d’exécution se multiplient depuis novembre 2024. D’autres ont été publiés en mai ainsi que, plus récemment, en septembre. Désormais, les règles applicables au PEIN sont complètes, permettant d’en comprendre le régime juridique. 

Que permet de faire un PEIN pour son titulaire ?

Petit rappel bien utile de l’art. 3.42 : le PEIN est un moyen d’identification, c’est-à-dire une unité matérielle et/ou immatérielle contenant des données d'identification de la personne et qui est utilisée à des fins d'authentification pour un service en ligne ou hors ligne. De plus, il doit stocker, gérer et valider les données d’identification, attestations d’attribut qu’il contient. Il doit fournir ces données sur demande (et non pas seulement les informations qui ont été validées). Il peut être utilisé pour "signer au moyen de signatures électroniques qualifiées ou […] apposer des cachets au moyen de cachets électroniques qualifiés".

Il doit donc prévoir une gestion des données à caractère personnel et des attestations d’attributs (de leur création/intégration à la gestion de leurs accès et jusqu’à leur suppression) et indiquer les conditions de prise en compte des relations avec les parties utilisatrices du PEIN et entre PEIN. C’est ce dernier point qui nécessite de plus amples développements.

Les entreprises, parties utilisatrices potentielles

Une partie utilisatrice se définit dans le Règlement eIDAS comme "une personne physique ou morale qui se fie à une identification électronique, aux portefeuilles européens d’identité numérique ou à d’autres moyens d’identification électronique, ou à un service de confiance" (art. 3-6). Il peut s’agir d’entreprises privées souhaitant faciliter l’entrée en relation (KYC) de prospects en s’appuyant sur les données d’identification du titulaire contenues dans le PEIN comme dans le domaine financier ou dans d’autres réglementations.

Cette définition est précisée dans le cadre du Règlement d’exécution n°2025/848 en ce qu’elle précise leur objectif à savoir "la fourniture de services publics ou privés au moyen d’une interaction numérique" (art.2.1).

Le PEIN pourrait constituer une manne pour ces entreprises privées, soucieuses d’acquérir rapidement de nouveaux clients dans un contexte sans cesse plus concurrentiel.

Accéder aux données contenues dans le PEIN, mais pas n’importe comment !

L’article 5 ter du Règlement eIDAS modifié intitulé "Parties utilisatrices du PEIN" énonce différentes conditions à remplir pour accéder aux données contenues dans le PEIN d’un titulaire :

  • La partie utilisatrice doit être enregistrée suivant une procédure décrite dans le Règlement d’exécution n°2025/848. Les dispositions ont trait notamment à la tenue de registres nationaux de parties utilisatrices en fonction de politiques d’enregistrement établies par les Etats membres, à la délivrance de certificats d’accès ou d’enregistrement de partie utilisatrice, aux conditions de suspension et d’annulation d’un tel enregistrement ainsi qu’aux modalités de conservation des informations ;
  • La partie utilisatrice ne demande pas aux titulaires de fournir d’autres données que celles nécessaires à la fourniture du service ("que la partie utilisatrice doit demander aux utilisateurs") (art. 5 ter 2c). Il s’agit d’une application du principe de minimisation des données issu du RGPD au domaine de l’identité numérique. En outre, les utilisateurs doivent pouvoir vérifier à tout moment les données d’enregistrement de chaque partie utilisatrice ainsi que les attestations d’attributs faisant l’objet de l’enregistrement. Enfin, les titulaires de PEIN doivent pouvoir effacer les données à caractère personnel les concernant ;
  • La partie utilisatrice doit s’identifier auprès du titulaire du PEIN ;

Interopérabilité et sécurité

Afin de garantir la transparence et la fiabilité des parties utilisatrices à l’égard des titulaires de PEIN, le Règlement d’exécution n°2024/2982 précise les protocoles et interfaces utilisés par les solutions de PEIN en prévoyant un mécanisme fiable permettant d’authentifier les parties utilisatrices. A ce titre, toutes les solutions de PEIN dans l’ensemble des États membres doivent prendre en charge des spécifications techniques communes pour la présentation des données d’identification personnelle et d’attestations électroniques d’attributs à des parties utilisatrices au moyen de PEIN, à distance ou à proximité.

Ces données sont stockées localement sur le PEIN, les utilisateurs ayant le contrôle sur les informations qu'ils partagent, sans aucun suivi ou profilage dans la conception des PEIN. Cela entrainera une responsabilité du PEIN sur ces données en cas d’attaque, voire même une question de souveraineté selon la nationalité du prestaire du PEIN.

Le statut de "partie utilisatrice" est donc particulièrement exigeant et peut paraître une opportunité pour des entreprises soucieuses d’acquérir rapidement et de manière fiable une clientèle. Certaines associations comme la Fédération des Tiers de Confiance du numérique (FnTC) travaillent activement sur ces questions.

Mais le PEIN ayant pour objectif de remettre le titulaire en maîtrise de ses propres données d’identification, la question se pose de savoir si les parties utilisatrices pourront disposer librement de celles qui lui ont été confiées, y compris après qu’une opération (transaction, souscription de contrat, …) ait été réalisée en s’appuyant dessus. De plus, le PEIN n'est pas à même de stocker/archiver des documents ou pièces justificatives. Dès lors, l’écosystème de l’identité numérique nécessite d’être étudié pour savoir comment en tirer le bénéfice attendu, d’autres solutions pouvant être mises en œuvre en fonction du besoin identifié.

Pascal Agosti, avocat associé, docteur en droit

Caprioli & Associés, société membre du Réseau JurisDéfi

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction

Les plus lus : Identité numérique
  1. La carte vitale peut désormais être dématérialisée et accessible sur smartphone, même sans accès à France Identité
  2. L'UE instaure le contrôle biométrique aux frontières pour les non-européens
  3. Comment profiter du Portefeuille Européen d'Identité Numérique ?
  4. La Samaritaine épinglée par la Cnil pour vidéosurveillance illégale
  5. AI Act : La France choisit une gouvernance éclatée
  6. A quoi doivent s'attendre les entreprises face à la nouvelle vague de régulations numériques ?
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Tous les postes disponibles
Les webinars
Tout voir
Tech
Pourquoi choisir une carrière SAP chez Accenture ? Le témoignage de Kim et Elyes
31 mars 2026 - 12h00
45 min
68 inscrit(s)
Contenu proposé par ACCENTURE SAS
S’inscrire au webinar
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
187 inscrit(s)
Contenu proposé par SALESFORCE
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
400 inscrit(s)
Contenu proposé par SALESFORCE
Voir le replay