En mai 2024, entrait en vigueur le règlement européen actualisé (UE) 2024/1183 qui introduit le Portefeuille d'identité numérique européen (EUDI Wallet). D'ici 2026-2027, les États membres devront proposer ces applications numériques à leurs citoyens. Véritable refonte en profondeur du cadre européen de l'identité numérique, le texte étend ces obligations aux grandes entreprises des secteurs régulés, telles que les banques, assurances, gestionnaires de fonds secteur privé. Pour les services financiers luxembourgeois, les implications sont donc concrètes, proches et non négociables.

Le calendrier de mise en application s’accélère et laisse peu de marge aux institutions pour se mettre en conformité. Trois échéances-clés se profilent à l’horizon fin 2027 :

Novembre 2026 : chaque État membre devra avoir déployé au moins une solution de Portefeuille d'identité numérique européen (EUDI Wallet) certifiée, disponible pour tout citoyen ou résident qui en fait la demande.

Juillet 2027 : le nouveau règlement anti-blanchiment (AMLR) entrera en application directe dans les 27 États membres. Il redéfinit les méthodes de vérification d'identité à distance autorisées. Seuls les eID notifiés sous eIDAS, l'EUDI Wallet et les services de confiance qualifiés eIDAS resteront valides. Les solutions locales non alignées seront hors-cadre.

Décembre 2027 : les grandes entreprises des secteurs régulés, notamment les banques, les assurances et les gestionnaires de fonds, ont l'obligation légale d'accepter l'EUDI Wallet comme moyen d'identification, et de les intégrer à leur plateformes mise à disposition des clients et contreparties. 

Ces trois échéances se télescopent. Les institutions qui attendent 2027 pour s’y préparer arriveront trop tard.

Contrainte réglementaire, opportunité métier

L'obligation légale d'accepter l'EUDI Wallet comme moyen d'identification et d’authentification d'ici décembre 2027, n’est pas une option, mais une exigence de conformité. Et comme toute contrainte réglementaire, elle peut être abordée de deux façons : la subir en effectuant le strict le minimum, ou en faire un levier d’opportunité.

Celles qui choisiront la première option auront un système conforme. Les partisanes de la seconde auront un avantage compétitif. L'intégration du wallet oblige donc l’institution à repenser ses parcours clients, à moderniser ses infrastructures d'identification et à rationaliser ses processus KYC souvent construits au fil des années par couches successives. L’investissement est certes contraignant ; mais ses bénéfices opérationnels dépassent largement sa seule mise en conformité. Onboarding accéléré, réduction de la fraude, portabilité transfrontalière, nouveaux services fondés sur des credentials (informations d’identification) certifiés : celles qui s'y préparent tôt ne se contentent pas de répondre au régulateur. Elles effectuent un repositionnement sur le marché.

Ce que le règlement change vraiment pour les métiers

Pour les services financiers, eIDAS 2.0 marque la fin d’une approche KYC fragmentée, particulièrement pour les procédures à distance. Aujourd'hui, chaque pays applique les directives anti-blanchiment à sa façon : certains autorisent la vidéo-identification, d'autres exigent la présence physique du client, les documents acceptés varient d'un État à l'autre. Pour une institution basée à Luxembourg, qui gère une clientèle européenne et internationale, cela signifie des processus multipliés, des équipes conformité surchargées et des démarches d’entrée en relation client qui peuvent durer plusieurs semaines.

Avec l'EUDI Wallet, un client vérifié en Allemagne peut réutiliser ses credentials et ouvrir une relation bancaire au Luxembourg sans repartir de zéro. Les données partagées sont strictement celles demandées. Le wallet ne transmet pas de dossier client complet : il répond à des questions précises avec des attestations certifiées par l'État. « Majeur ? Oui. Résident UE ? Oui. Revenus suffisants ? Oui ». Les autres attributs restent chez le client.

Alors qu’un processus d’onboarding nécessite aujourd’hui 4 à 7 étapes (saisie manuelle, transmission de justificatifs, vérification documentaire, contrôles KYC, validation finale). Son activation sera demain quasi immédiate. 

Pour les back-offices qui traitent des volumes importants de dossiers transfrontaliers, le changement est structurel.

Et les gains opérationnels estimés sont substantiels : réduction jusqu’à 90 % des délais d'onboarding, 40 à 60 % de baisse des coûts KYC. 

L'enjeu dépasse l'onboarding même. Les signatures électroniques qualifiées possibles via le wallet procureront une valeur légale identique à une signature manuscrite dans toute l'UE. Ainsi, les contrats, demandes de crédit et souscriptions d'assurance pourront être entièrement dématérialisés. 

Et au-delà, une banque pourra émettre dans le wallet de son client un IBAN certifié ou une preuve de fonds, réutilisable directement auprès d'un tiers, un concessionnaire automobile par exemple. Une véritable économie de la preuve émerge ainsi, où la certification numérique devient un actif circulant entre acteurs.

Autre bénéfice concret : la lutte contre la criminalité financière. En 2022, la fraude aux moyens de paiement représentait en Europe plus d'un milliard d'euros de préjudice . Tandis que les identités synthétiques générées par IA font peser un risque croissant dans un monde de plus en plus dématérialisé. L'EUDI Wallet y apporte une réponse structurelle : vérifiés à la source par une autorité officielle, les attributs partagés deviennent infalsifiables et traçables. Le niveau de risque pourra être réévalué dynamiquement tout au long de la relation client, sans alourdir l'expérience utilisateur.

Les deux modèles d'intégration : un choix structurant

Accepter l'EUDI Wallet n’est pas ajouter un bouton de connexion sur une interface. C'est avant tout un choix d'architecture qui engage plusieurs couches du système d'information. Pour cela, deux approches s'offrent aux institutions.

L'intégration directe : qui consiste à établir soi-même les connexions avec les wallets des différents États membres. Cela implique : d'implémenter les protocoles de présentation des credentials (notamment OpenID for Verifiable Presentations) ; de s'inscrire sur les registres de confiance nationaux ; d'obtenir les certificats d'accès ; de concevoir les nouveaux parcours clients, et d'assurer la traçabilité de chaque transaction pour répondre aux exigences d'audit. Cette approche permet une maîtrise totale du processus. L'institution devra cependant porter seule des complexités technique, réglementaire et opérationnelle considérables. Et ce dans un cadre normatif qui évolue encore, au fil des publications par l'AMLA des normes techniques, et qui devrait se poursuivre jusqu’en 2027.

L'intégration via un intermédiaire  : un acteur tiers, reconnu par l'Architecture Reference Framework (ARF), agit au nom de l'institution pour se connecter aux wallets, pour demander les attributs utilisateurs et ainsi garantir la conformité de l'institution. Celle-ci accède alors à l'ensemble des wallets européens via une API unique, sans devoir en gérer la complexité sous-jacente. Le choix s’avère particulièrement pertinent dans un paysage européen hétérogène où coexisteront wallets EUDI et eIDs nationales déjà adoptées par des millions de citoyens, et qui resteront valides sous eIDAS 2.0.

Le choix entre ces deux modèles n'est pas seulement technique : il conditionne la capacité de l'institution à couvrir l'ensemble des moyens d'identification européens, pendant cette phase de transition qui pourrait s'étendre sur trois ans voire plus. Commencer avec les eIDs nationales existantes dès 2026, dont le fonctionnement est proche de celui du wallet permet de tester les parcours, de former les équipes et de réduire les risques liés à une adoption tardive.

La superposition avec les obligations DORA (et potentiellement NIS2) ajoute une couche supplémentaire : les dépendances vis-à-vis des prestataires de confiance devront être intégrées dans les cartographies de risques tiers, avec les exigences de résilience opérationnelle qui en découlent.

Agir maintenant, et non en 2027

Les premiers entrants ne se contenteront pas uniquement d’être conformes aux réglementations ; ce sont eux qui imposeront leurs standards et bénéficieront ainsi d’un avantage compétitif durable.

Certains standards sont encore en discussion : les programmes pilotes sont actifs, les groupes de travail techniques sont ouverts... Dans ces domaines, le Luxembourg dispose aussi de fondations solides : une expertise réglementaire transfrontalière, une infrastructure numérique solide, ainsi qu’une densité de compétences financières et technologiques. 

Mais l’opportunité de peser sur ces standards encore ouverts se réduit drastiquement. Y participer maintenant, c'est avoir son mot à dire sur des choix qui engageront les systèmes pour la prochaine décennie.

Trois priorités immédiates s’imposent : la cartographie des processus KYC et de l'onboarding existants face aux nouvelles exigences ; le choix de son modèle d'intégration direct ou via une intermédiation ; et l’initiative de discussions avec des partenaires qualifiés, avant que la demande ne compresse les capacités disponibles.

eIDAS 2.0 fixe le moyen. L'AMLR fixe les méthodes. Les échéances restent inchangées. Il ne s’agit plus de savoir si mais bien à quelle vitesse et avec quelle ambition les institutions financières luxembourgeoises s'adapteront.