450 millions d'Européens auront accès au portefeuille d'identité numérique européen d'ici fin 2026. Cette infrastructure de souveraineté numérique vise à contrer la domination des géants technologiques américains sur l'authentification en ligne. Mais le système remet paradoxalement le contrôle entre les mains de Google et Apple, soulevant des questions cruciales sur surveillance et indépendance technologique.
Chaque État membre proposera au minimum une version du portefeuille d'identité numérique européen d'ici décembre 2026, créant pour la première fois une alternative européenne aux systèmes d'authentification de Google et Apple. Cette transformation progressive redéfinit la relation entre citoyens et services numériques tout en révélant les paradoxes de l'autonomie technologique européenne.
L'Europe crée sa propre infrastructure d'identité numérique
Chaque État membre fournira au moins un portefeuille à tous ses citoyens, résidents et entreprises, leur permettant de prouver qui ils sont et de stocker, partager et signer en toute sécurité des documents numériques importants. Le système européen d'identité numérique (EUDI) permettra aux citoyens d'ouvrir un compte bancaire en ligne, s'identifier lors de l'obtention d'une carte SIM, et stocker leur permis de conduire numérique.
Les secteurs régulés doivent accepter le portefeuille d'ici fin décembre 2027, incluant les services de transport, énergie, services bancaires et financiers, sécurité sociale, santé, eau, services postaux, infrastructure numérique, éducation et télécommunications. Cette obligation s'étend également aux très grandes plateformes en ligne sous le Digital Services Act et aux "gardiens" sous le Digital Markets Act qui doivent reconnaître le portefeuille pour l'authentification des utilisateurs à la demande de l'utilisateur.
L'ambition européenne dépasse la simple commodité. Les citoyens devraient pouvoir porter leur identité numérique avec eux à travers l'UE, se déplaçant sans effort à travers les frontières sans jamais perdre le contrôle de leurs données, avec la vie privée et la sécurité au cœur du projet. Cette infrastructure vise explicitement à réduire la dépendance européenne aux solutions américaines.
Google et Apple gardent paradoxalement le contrôle technique
La contradiction fondamentale du projet européen réside dans sa dépendance technique aux systèmes d'exploitation mobiles. Le modèle de sécurité du composant portefeuille EUDI s'appuie sur la couche Trusted Execution Environment fournie par les fabricants d'OS mobiles : il renonce à la cryptographie avancée pour rester compatible avec une API contrôlée par quelques géants technologiques étrangers. Cela place le contrôle des algorithmes EUDI, et potentiellement la surveillance de toutes les transactions, entre les mains de Google et Apple.
Seuls quelques téléphones mobiles au monde possèdent des HSM certifiés, tous haut de gamme et extrêmement coûteux. Cela jette également une ombre sur la légitimité des doubles standards de sécurité, avec une situation où les États-nations fournissent une infrastructure non sécurisée pour les citoyens qui ne peuvent pas se permettre d'accéder à des moyens sécurisés.
Cette dépendance technique limite drastiquement l'autonomie européenne. Les spécifications techniques actuelles permettent aux solutions passkey existantes, telles que Google Passkeys ou iCloud Keychain, de servir de substitut à une véritable intégration du portefeuille EUDI. "Cela signifie que nous sommes coincés avec les mêmes options propriétaires qu'auparavant, tandis que la réglementation donne l'impression d'avoir résolu le problème".
La surveillance généralisée comme effet de bord
Les experts en cryptographie alertent sur les risques de surveillance massive. La mise en œuvre d'identifiants uniques et persistants dans le portefeuille EUDI pourrait faciliter un suivi étendu des comportements en ligne des individus. Cela soulève des préoccupations concernant le potentiel de surveillance omniprésente et de profilage par les organismes gouvernementaux et les entités privées, portant atteinte aux libertés personnelles et aux droits à la vie privée.
Une fois connectés, les services pourraient demander des données d'identification auxquelles ils n'ont pas droit, et le portefeuille n'aurait aucun mécanisme pour refuser, privant les utilisateurs de la possibilité de donner un pseudonyme au lieu de leur vrai nom. Cela conduirait à une sur-identification drastique et de nombreuses situations en ligne et hors ligne dans lesquelles l'anonymat ou la pseudonymie ne serait plus une option.
La Commission européenne prévoit même d'inclure une photo portrait biométrique obligatoire dans l'ensemble de données minimum que chaque portefeuille EUDI doit contenir. Chaque utilisation, c'est-à-dire prouver votre âge, commander des livres, signer un contrat, etc., transmettrait potentiellement une image faciale.
Les États membres peinent à respecter les délais
La réalité du déploiement révèle des difficultés considérables. Les Pays-Bas ont déjà signalé qu'ils sont peu susceptibles de respecter la date limite, tandis que Malte croit que le produit sera disponible mais pas entièrement fonctionnel. D'autres pays, comme la Bulgarie, n'ont même pas commencé le travail sur un portefeuille d'identité numérique fourni par l'État.
La principale cause des retards potentiels est que les normes évoluent encore. Le travail se poursuit sur l'Architecture and Reference Framework (ARF), la base de l'implémentation de référence du projet, avec de nouvelles versions de spécifications qui continuent de paraître. Cette instabilité technique complique la tâche des développeurs nationaux.
Les pays partent de lignes de base très différentes. Alors que certains pays européens exploitent déjà des schémas eID nationaux matures avec une adoption large, d'autres consolident encore l'infrastructure d'identité de base ou les sources d'attributs telles que les registres de population, d'éducation ou d'entreprise.
L'affrontement géopolitique avec les géants technologiques
L'Europe transforme sa réglementation numérique en arme de souveraineté face aux géants américains. Les dirigeants européens, menés par le président français Emmanuel Macron, exercent leurs muscles de souveraineté numérique, le livre de règles antitrust mis à jour du bloc ayant attiré une plus grande attention comme un moyen possible de réduire la domination de Silicon Valley et d'ouvrir de l'espace pour des alternatives "Made in Europe".
"Le Digital Market Act a été approuvé pour protéger les citoyens européens et sauvegarder la souveraineté numérique et la compétitivité de l'Europe", souligne une députée européenne, ajoutant que le bloc "doit être autonome et compétitif, mais pas à n'importe quel prix et certainement pas en vendant son modèle, enraciné dans les lois et les règles équitables, aux intérêts des grandes entreprises technologiques américaines". "Il s'agit d'envoyer un message politique fort à un moment de tension avec l'administration américaine".
L'administration Trump a déclaré que les réglementations "qui dictent comment les entreprises américaines interagissent avec les consommateurs" dans l'UE, y compris le DMA et le Digital Services Act, "feront l'objet d'un examen" et "violent la souveraineté américaine". L'administration a menacé de tarifs de rétorsion et d'autres actions commerciales en réponse aux actions qu'elle considère comme un dépassement étranger contre les entreprises américaines.
Cette tension révèle l'enjeu fondamental : l'UE dépend des pays non-UE pour plus de 80% des produits, services, infrastructure et propriété intellectuelle numériques. Alors que l'industrie américaine a créé six entreprises avec une capitalisation boursière de 1 000 milliards d'euros ou plus, l'UE n'en a créé aucune.
L'impossible équation de la souveraineté numérique
Le portefeuille d'identité numérique européen illustre la contradiction centrale des ambitions de souveraineté numérique. L'Europe tente simultanément de s'affranchir de la tutelle américaine tout en restant dépendante des infrastructures techniques de Google et Apple. Cette dépendance structurelle limite l'autonomie réelle du système, transformant l'ambition souverainiste en exercice de communication politique.
Les citoyens européens se retrouvent pris entre deux logiques : celle de leurs gouvernements qui promettent l'indépendance numérique, et celle des géants technologiques qui conservent le contrôle effectif des infrastructures. 2026 révélera si l'Europe parvient à créer une véritable alternative ou si elle ne fait que relooker sa dépendance technologique.