Portefeuille d’identité numérique européen (EUDI) en 2026 : ce que la CNIL dit vraiment sur la protection de vos données
Votre smartphone est sur le point de devenir votre pièce d’identité universelle. Avec le déploiement progressif du portefeuille d’identité numérique européen (EUDI), la Commission européenne promet une révolution dans la manière dont nous prouvons qui nous sommes en ligne et dans la vie réelle. Mais entre promesses de souveraineté numérique et craintes légitimes de surveillance, où se situe la réalité ? Ce décryptage analyse les positions officielles de la CNIL et les garanties techniques du règlement eIDAS 2.0 pour comprendre ce qui est réellement stocké sur votre appareil, ce qui transite par le cloud, et comment vos données personnelles sont protégées, en complément de notre analyse sur les nouvelles sanctions RGPD en 2026.
Le principe fondateur : L’EUDI est conçu pour être un portefeuille auto-souverain. Les données sensibles restent stockées localement sur votre appareil, pas sur un serveur centralisé.
Le rôle des fournisseurs : Les “Attribute Providers” (banques, États, universités) émettent des attestations vérifiables, mais ne peuvent pas tracer quand et où vous les utilisez.
La garantie CNIL : Le principe de “minimisation des données” est technique, pas seulement juridique. Vous ne partagez que l’information strictement nécessaire (ex: “plus de 18 ans” au lieu de votre date de naissance exacte).
Le réflexe d’or : Vérifiez toujours que l’application de portefeuille que vous téléchargez est bien certifiée par un organisme national accrédité (comme l’ANSSI en France).
Qu’est-ce que le portefeuille d’identité numérique européen (EUDI) et comment fonctionne-t-il ?
L’EUDI (European Digital Identity Wallet) n’est pas une simple copie numérisée de votre carte d’identité. C’est une application sécurisée, hébergée sur votre smartphone, qui vous permet de stocker et de présenter des “attestations vérifiables” (Verifiable Credentials).
Contrairement aux systèmes centralisés où un État ou une grande entreprise détient une base de données de tous les citoyens, l’architecture de l’EUDI repose sur un modèle décentralisé. Vous êtes le seul détenteur de vos données. Lorsque vous devez prouver votre âge pour acheter un produit ou votre identité pour ouvrir un compte bancaire, votre portefeuille génère une preuve cryptographique sans révéler l’intégralité de votre document d’origine.
Que dit la CNIL sur la protection des données dans le cadre de l’EUDI ?
La CNIL (Commission Nationale de l’Informatique et des Libertés) a été une actrice majeure dans la conception du règlement eIDAS 2.0. Son exigence principale est que la protection de la vie privée soit intégrée dès la conception (Privacy by Design).
Minimisation sélective : La technologie permet de prouver un attribut sans divulguer la donnée brute. Par exemple, prouver que vous avez plus de 18 ans sans communiquer votre date de naissance exacte.
Non-traçabilité : Le portefeuille est conçu pour empêcher la corrélation des transactions. L’émetteur de l’attestation (votre banque) ne peut pas savoir auprès de quel service vous l’avez utilisée.
Consentement explicite : Aucune donnée ne peut être transmise sans une action volontaire et éclairée de l’utilisateur (déverrouillage biométrique et validation à chaque utilisation).
Comme nous l’avons souligné dans notre article sur la gestion des données par les sous-traitants, ce niveau de contrôle est une rupture fondamentale avec les modèles actuels où les données sont souvent partagées à l’insu de l’utilisateur.
✅ À faire systématiquement
Télécharger l’application de portefeuille uniquement via les canaux officiels validés par l’État ou l’Union Européenne.
Vérifier les permissions demandées par l’application : elle ne devrait pas nécessiter d’accès à vos contacts ou à votre localisation en arrière-plan.
Utiliser la fonctionnalité de “minimisation” chaque fois qu’elle est proposée par le service demandeur.
❌ À éviter absolument
Installer des applications de portefeuille non certifiées provenant de sources tierces ou de magasins d’applications non officiels.
Partager les codes de récupération ou les phrases de secours de votre portefeuille avec des tiers, même sous prétexte d’assistance technique.
Accepter des demandes d’attributs excessifs (ex: fournir votre adresse complète pour un service qui n’en a pas besoin).
Quels sont les risques résiduels et les limites de l’identité numérique ?
Aucun système n’est infaillible. Si l’architecture de l’EUDI est robuste, des risques subsistent au niveau de l’utilisateur final et des points de terminaison.
La perte ou le vol du terminal : Bien que protégé par un code et la biométrie, un smartphone volé représente un risque. Les mécanismes de révocation à distance doivent être rapides et efficaces.
L’exclusion numérique : La dépendance à un smartphone et à une connexion internet peut marginaliser les personnes âgées ou précaires, malgré les efforts pour maintenir des alternatives physiques.
La complexité des interfaces : Une mauvaise compréhension des demandes de consentement par l’utilisateur peut conduire à partager plus de données que nécessaire, annulant les bénéfices de la minimisation.
⚠️ Point de vigilance sur les “Attribute Providers”
La sécurité de l’EUDI dépend de la fiabilité des émetteurs d’attestations. Assurez-vous que les entités qui vous fournissent vos identifiants numériques (banque, administration) respectent strictement les normes de sécurité imposées par le règlement eIDAS 2.0 et supervisées par les autorités nationales compétentes.
Questions fréquentes sur le portefeuille d’identité numérique européen (FAQ)
Le portefeuille EUDI est-il obligatoire pour les citoyens européens ? ▼
Non. L’utilisation du portefeuille d’identité numérique est strictement volontaire. Les États membres doivent continuer à proposer des alternatives physiques et ne peuvent pas rendre l’EUDI obligatoire pour l’accès aux services publics essentiels.
Mes données sont-elles stockées sur un serveur central de l’Union Européenne ? ▼
Non. L’architecture est décentralisée. Les attestations vérifiables sont stockées localement et de manière sécurisée sur votre propre appareil (smartphone). L’UE ne détient pas de base de données centrale des identités des citoyens.
Que se passe-t-il si je perds mon smartphone contenant mon EUDI ? ▼
Les portefeuilles sont protégés par des mécanismes d’authentification forte (code PIN, biométrie). En cas de perte, vous pouvez faire révoquer les attestations à distance via votre fournisseur d’identité et les réinstaller sur un nouvel appareil après vérification de votre identité.
Alexi Tauzin 🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
