Conformité

L'avantage de l'agrégateur : pourquoi les entreprises avisées ne demanderont pas leur propre WRPAC

L'article 5b(10) permet à des intermédiaires de gérer la conformité WRPAC à votre place. Voici pourquoi c'est le choix le plus intelligent pour la plupart des entreprises.

eIDAS Pro Team
18 février 2026
10 min de lecture

L'avantage de l'agrégateur : pourquoi les entreprises avisées ne demanderont pas leur propre WRPAC

Une révolution discrète est en cours dans l'univers de la conformité eIDAS 2.0. Alors que certaines entreprises se préparent à s'enregistrer comme parties utilisatrices (Relying Parties) et à gérer leurs propres certificats WRPAC, les plus stratégiques posent une autre question : « Pourquoi construire une infrastructure de conformité si quelqu'un d'autre peut la gérer pour nous ? »

La réponse se trouve dans l'article 5b(10) du règlement (UE) 2024/1183, une disposition qui autorise explicitement les intermédiaires à agir comme parties utilisatrices pour le compte des commerçants. Ce n'est ni un contournement ni un hack. C'est un élément fondamental du fonctionnement prévu pour l'écosystème du portefeuille EUDI.

Voyons pourquoi le modèle agrégateur devient le choix par défaut des entreprises qui veulent la vérification via EUDI Wallet, sans surcharge de conformité.

Le modèle intermédiaire : explication de l'article 5b(10)

Voici ce que dit concrètement l'article 5b(10) :

"Une partie utilisatrice peut recourir à un service fourni par un intermédiaire pour demander et valider des attributs issus des portefeuilles européens d'identité numérique... L'intermédiaire est enregistré conformément au paragraphe 1 et respecte les obligations énoncées au présent article."

En clair : vous pouvez mandater un tiers pour être la partie utilisatrice à votre place.

C'est intentionnel. La Commission européenne a reconnu qu'imposer à chaque petite entreprise, chaque boutique en ligne et chaque site avec restriction d'âge de s'enregistrer individuellement comme partie utilisatrice créerait un cauchemar administratif. Les agrégateurs résolvent ce problème en proposant la conformité en tant que service.

Comment cela fonctionne techniquement

Quand vous utilisez un agrégateur comme eIDAS Pro :

  1. L'agrégateur (eIDAS Pro) détient le certificat d'accès WRPAC : c'est l'accréditation qui permet la communication technique avec les portefeuilles EUDI.
  2. Vous (le commerçant) disposez d'un certificat d'enregistrement géré par l'agrégateur : il documente votre cas d'usage précis et votre identité.
  3. Le portefeuille de l'utilisateur affiche les deux identités : la transparence est préservée. Le portefeuille indique : "eIDAS Pro agit pour [Nom de votre entreprise]".
  4. Vous appelez une API : votre intégration se limite à un appel API ou à un widget JavaScript. Pas d'implémentation OpenID4VP, pas de gestion de listes de confiance, pas de renouvellement de certificats.

Il ne s'agit ni de masquer votre identité ni de vous cacher derrière un tiers. L'utilisateur voit précisément qui demande ses données et qui facilite techniquement la requête. Transparence totale, charge de conformité nulle de votre côté.

État des lieux : février 2026

Avant d'expliquer pourquoi les agrégateurs sont le choix le plus rationnel, posons le contexte actuel.

Ce qui est publié

  • Norme ETSI TS 119 475 pour les certificats WRPAC (publiée en octobre 2025)
  • Cadre réglementaire de l'article 5b dans le règlement eIDAS (UE) 2024/1183
  • Échéance de décembre 2026 confirmée pour la disponibilité des portefeuilles EUDI
  • Échéance de décembre 2027 pour la conformité obligatoire dans les secteurs régulés

Ce qui n'est pas encore opérationnel

  • Aucune infrastructure d'enregistrement RP déployée par un État membre (à février 2026)
  • Aucun QTSP n'émet encore de certificats WRPAC (impossible sans enregistrements RP)
  • Calendrier attendu : infrastructure d'enregistrement à mi-2026, lancement en production en décembre 2026

L'opportunité : les entreprises qui intègrent des services d'agrégateur dès aujourd'hui en mode DEMO seront prêtes pour la production en décembre 2026, sans course à l'enregistrement. Celles qui attendent pour tout gérer elles-mêmes risquent de subir en même temps le chaos de conformité et l'intégration technique, à l'approche de l'échéance.

Fonctionnement au lancement en production (décembre 2026)

Voici l'architecture technique prévue lorsque les agrégateurs passeront en production avec de vrais certificats WRPAC.

Côté agrégateur (eIDAS Pro)

eIDAS Pro va :

  • S'enregistrer comme RP intermédiaire au Luxembourg dès l'ouverture de l'infrastructure
  • Obtenir un certificat d'accès WRPAC auprès d'un QTSP qualifié
  • S'intégrer aux listes de confiance des 27 États membres de l'UE
  • Implémenter le protocole OpenID4VP pour la communication avec les portefeuilles
  • Gérer les 27+ implémentations nationales de wallet (chaque pays ayant sa propre application)
  • Assurer les renouvellements de certificats et la conformité continue

Un enregistrement au Luxembourg = validité dans les 27 États membres via le mécanisme de passeport (article 5b). Un enregistrement, validité à l'échelle de l'UE.

Côté commerçant (vous)

Vous :

  • Appelez une API avec la demande de vérification (par exemple, "vérifier que l'âge est supérieur à 18 ans")
  • Recevez le résultat de vérification (succès/échec et attributs divulgués)
  • Affichez le QR code à l'utilisateur (ou déclenchez le wallet via un lien profond sur mobile)
  • Traitez la réponse dans le flux de votre application

C'est tout. Aucun certificat à gérer, aucune implémentation de protocole, aucune intégration de liste de confiance, aucun reporting de conformité.

Expérience utilisateur

Quand un utilisateur scanne votre QR code de vérification avec son application EUDI Wallet :

  1. Le wallet affiche : "eIDAS Pro agit pour [Nom de votre entreprise]".
  2. L'utilisateur voit les attributs demandés (par exemple : "Âge supérieur à 18 ans").
  3. Il autorise via biométrie ou code PIN.
  4. Le wallet envoie la réponse à eIDAS Pro.
  5. eIDAS Pro transmet le résultat à votre système.

Transparence assurée. Vie privée préservée. Conformité gérée.

Ce que les commerçants évitent grâce à un agrégateur

Mesurons concrètement ce que vous évitez.

1. Enregistrement en tant que Relying Party

Approche en autonomie (DIY) :

  • Naviguer dans le portail d'enregistrement de votre autorité nationale (différent selon les pays)
  • Préparer les documents juridiques et déclarations d'usage
  • Soumettre le dossier et payer les frais
  • Attendre l'approbation (délai inconnu)
  • Gérer les mises à jour à chaque évolution de votre cas d'usage

Approche agrégateur :

  • Rien de tout cela. Nous gérons l'enregistrement. Vous nous fournissez vos informations d'entreprise et votre cas d'usage.

Temps économisé : 2 à 4 semaines de travail administratif, plus la charge continue de conformité

2. Obtention du certificat WRPAC

Approche en autonomie (DIY) :

  • Rechercher et sélectionner un prestataire de services de confiance qualifié (QTSP)
  • Finaliser la vérification d'identité et l'onboarding QTSP
  • Acheter un certificat d'accès WRPAC (tarifs non publics à ce jour, probablement 500 à 5 000 € par an)
  • Gérer le cycle de vie et les renouvellements
  • Traiter la révocation et le remplacement si nécessaire

Approche agrégateur :

  • Nous détenons les certificats. Vous payez les transactions de vérification, pas les certificats.

Coûts économisés : frais d'acquisition/renouvellement des certificats et surcharge opérationnelle

3. Intégration des listes de confiance nationales

C'est ici que la complexité explose.

Approche en autonomie (DIY) :

  • S'intégrer à 27+ implémentations nationales de wallet
  • Gérer le fait que chaque État membre possède sa propre application (par ex. ID Austria, Smart-ID, BankID)
  • Prendre en charge plusieurs formats de justificatifs : SD-JWT VC et mdoc (ISO/IEC 18013-5)
  • Implémenter correctement le protocole OpenID4VP
  • Parser et valider les justificatifs à divulgation sélective
  • Surveiller les listes de confiance pour les mises à jour des certificats émetteurs
  • Gérer les évolutions de protocole et les changements incompatibles

Approche agrégateur :

  • Nous nous intégrons une fois à l'ensemble des wallets. Vous vous intégrez une fois à notre API.

Effort de développement économisé : 6 à 12 mois de travail d'ingénierie, plus la maintenance continue

4. Reporting de conformité continu

Approche en autonomie (DIY) :

  • Déclarer les changements à l'autorité nationale quand le cas d'usage évolue
  • Maintenir la précision de l'enregistrement
  • Répondre aux demandes réglementaires ou aux audits
  • Rester à jour sur les actes d'exécution et normes techniques
  • Documenter la conformité pour les audits internes et externes

Approche agrégateur :

  • Nous gérons le reporting réglementaire. Vous vous concentrez sur votre activité.

Surcharge opérationnelle évitée : besoin d'une équipe conformité dédiée ou temps de management important

L'avantage du passeport : un enregistrement, 27 pays

Voici pourquoi les agrégateurs basés au Luxembourg sont particulièrement attractifs.

Selon l'article 5b d'eIDAS 2.0, l'enregistrement d'une partie utilisatrice dans un seul État membre est valable dans les 27 États membres de l'UE. C'est le principe du passeport.

Ce que cela implique :

  • eIDAS Pro s'enregistre au Luxembourg = validité pour les commerçants de tout pays de l'UE
  • Une boutique e-commerce allemande peut utiliser eIDAS Pro sans s'enregistrer en Allemagne
  • Une fintech italienne peut utiliser eIDAS Pro sans s'enregistrer en Italie
  • Une marketplace espagnole peut utiliser eIDAS Pro sans s'enregistrer en Espagne

Un agrégateur. Une API. Toute l'Europe.

C'est fondamentalement différent des approches fragmentées où il faudrait un dispositif de conformité distinct par pays. Le passeport rend l'écosystème EUDI réellement paneuropéen dès le premier jour.

Construire maintenant, être prêt pour la production : la chronologie stratégique

Voici l'avantage temporel d'une approche agrégateur.

Aujourd'hui (février 2026) - Mode DEMO

Vous pouvez intégrer dès maintenant en mode DEMO :

  • Tester le flux complet de vérification avec auto-complétion (3 secondes)
  • Construire votre interface utilisateur et votre logique applicative
  • Former vos équipes au nouveau workflow
  • Zéro risque, zéro coût pendant la phase de développement

Mi-2026 - Tests en mode MOCK

Quand vous êtes prêt pour des tests réalistes, le mode MOCK vous permet de :

  • Simuler de vraies interactions wallet sans identifiants réels
  • Tester des scénarios de succès et d'échec
  • Valider la gestion des erreurs et des cas limites
  • Préparer la production avec confiance

Décembre 2026 - Lancement en production

Quand les EUDI Wallets seront disponibles en production :

  • Basculez en un clic du mode DEMO/MOCK vers la production
  • Commencez à vérifier de vrais utilisateurs avec de vrais EUDI Wallets
  • Aucune précipitation. Aucune panique de conformité. Aucune interruption de service.

Comparez avec l'approche en autonomie :

  • Attendre l'infrastructure d'enregistrement (mi-2026)
  • Déposer une demande d'enregistrement RP (délai inconnu)
  • Obtenir les certificats WRPAC (2 à 4 semaines)
  • Construire l'intégration technique (6 à 12 mois)
  • Le tout en essayant de tenir l'échéance de décembre

L'avantage agrégateur : commencer à construire aujourd'hui, être prêt pour la production demain.

Comparatif des coûts : autonomie vs agrégateur

Faisons le calcul (à titre indicatif, les prix WRPAC réels ne sont pas encore publics).

WRPAC en autonomie (coûts annuels estimés)

  • Certificat d'accès WRPAC : 500 à 5 000 €/an (tarification QTSP à confirmer)
  • Frais d'enregistrement RP : 100 à 1 000 €/an (selon l'État membre)
  • Ressources d'ingénierie : 100 000 €+ (6 à 12 mois de développement)
  • Maintenance continue : 30 000 à 50 000 €/an (équipe conformité, mises à jour techniques)
  • Coût d'opportunité : détournement de l'ingénierie de votre produit cœur

Total année 1 (estimé) : 150 000 à 200 000 €+

Modèle agrégateur (tarification à la transaction)

  • Aucun frais d'enregistrement : nous nous en chargeons
  • Aucune acquisition de certificat : nous détenons le WRPAC
  • Aucune surcharge de développement : intégration API simple (1 à 2 jours)
  • Paiement par transaction de vérification : évolutif selon l'usage, sans coût fixe lourd

Total année 1 (estimé) : 1 000 à 20 000 € selon le volume de transactions

Pour la plupart des entreprises, le modèle agrégateur est 10 à 20 fois plus rentable la première année, et continue à générer 50 à 70 % d'économies par an ensuite.

Traitement des données : approche sans état et conformité

Question fréquente : « Si l'agrégateur gère mes vérifications, a-t-il accès aux données personnelles de mes utilisateurs ? »

Réponse courte : non.

Les agrégateurs opérant sous l'article 5b(10) doivent respecter les mêmes exigences de minimisation des données et de protection de la vie privée que toute partie utilisatrice. Voici le fonctionnement.

Comment les agrégateurs traitent les données

  1. L'utilisateur autorise la vérification dans son application wallet.
  2. Le wallet envoie les attributs divulgués à l'agrégateur (eIDAS Pro).
  3. L'agrégateur valide les signatures cryptographiques et les chaînes de confiance.
  4. L'agrégateur transmet le résultat au commerçant (votre système).
  5. L'agrégateur supprime immédiatement les données personnelles (traitement sans état).

eIDAS Pro conserve :

  • Journal d'audit : vérification effectuée, horodatage, identifiant commerçant, types d'attributs demandés (pas les valeurs)
  • Aucun stockage de : noms, dates de naissance, adresses, numéros d'identité ou toute autre donnée personnelle identifiable

C'est une obligation impérative au titre de l'article 5b. Les agrégateurs ne peuvent pas accumuler les données de vos utilisateurs, même s'ils le voulaient : ce serait contraire au RGPD et aux exigences eIDAS.

Deux voies possibles : agrégateur ou WRPAC en autonomie

Alors, dans quels cas demander son propre WRPAC a-t-il du sens ?

Choisissez un agrégateur si :

  • Vous êtes une petite ou moyenne entreprise sans équipe conformité dédiée
  • Votre volume de vérification est inférieur à 1 million de transactions/an
  • Vous voulez arriver vite sur le marché (en jours, pas en mois)
  • Vous privilégiez la simplicité opérationnelle plutôt que le contrôle total
  • Vous intégrez un cas d'usage principal (âge, identité, justificatifs)

En pratique : pour 90 % des entreprises, c'est le bon choix.

Demandez votre propre WRPAC si :

  • Vous êtes une grande entreprise avec équipes conformité et juridique internes
  • Votre volume de vérification atteint plusieurs millions de transactions par an
  • Vous avez besoin d'un contrôle complet de la pile technique pour des raisons réglementaires ou stratégiques
  • Vos cas d'usage sont complexes et fortement personnalisés, nécessitant une intégration profonde
  • Vous êtes prêt à investir 6 à 12 mois et 150 k€+ la première année

En pratique : si vous êtes une fintech, un opérateur télécom ou une grande plateforme e-commerce avec des ressources dédiées, l'autonomie peut se justifier.

Voie 3 : services de conseil

Vous ne voulez pas trancher immédiatement ? Il existe une voie intermédiaire :

  • Utiliser des services de conseil (comme l'accompagnement eIDAS Pro) pour obtenir des dossiers de documentation pour votre enregistrement RP national
  • Recevoir un guidage technique sur OpenID4VP, SD-JWT VC, mdoc et l'intégration des listes de confiance
  • Conserver un contrôle total tout en bénéficiant d'une expertise spécialisée

Avec cette approche : vous vous enregistrez dans votre pays avec la documentation fournie, vous contrôlez le WRPAC et vous bénéficiez d'un support expert sans supporter toute la charge d'une démarche 100 % autonome.

Conclusion : l'avantage agrégateur

Le modèle agrégateur n'est pas un compromis. C'est un choix stratégique fondé sur une réalité simple :

L'infrastructure de conformité est un effort lourd et peu différenciant.

Construire votre propre système de conformité WRPAC n'améliore pas votre produit. Cela ne vous différencie pas de vos concurrents. Cela ne crée pas plus de valeur perçue pour vos clients. C'est un prérequis de marché : indispensable, mais non stratégique.

Ce qui est stratégique, en revanche :

  • Arriver rapidement sur le marché
  • Concentrer vos ressources d'ingénierie sur votre produit cœur
  • Faire évoluer la vérification sans faire exploser la charge de conformité
  • Réduire le risque réglementaire grâce à des systèmes éprouvés et audités

Les entreprises qui réussiront à l'ère du portefeuille EUDI ne seront pas celles qui construiront la meilleure infrastructure de conformité. Ce seront celles qui intègrent le plus vite, itèrent le plus rapidement et restent obsédées par leurs clients, tout en confiant la complexité réglementaire à des spécialistes.

L'article 5b(10) existe pour une raison. Exploitez-le.

Prêt à passer à l'action ? eIDAS Pro propose dès maintenant un accès en mode DEMO aux premiers adopteurs. Intégrez aujourd'hui en mode DEMO, testez en mode MOCK, puis passez en production en décembre 2026, sans charge d'enregistrement.

Commencer à intégrer | Comprendre les exigences WRPAC

Articles similaires

Qu'est-ce qu'un WRPAC et pourquoi toute entreprise en ligne en aura besoin d'ici décembre 2026

L'échéance de décembre 2026 approche. Comprenez ce qu'est un certificat WRPAC et pourquoi votre entreprise doit se mettre en conformité dès maintenant.

8 min de lecture

Enregistrement eIDAS 2.0 des Relying Parties : le guide complet

Tout ce qu'il faut savoir pour vous enregistrer comme Relying Party au titre de l'article 5b du règlement eIDAS 2024/1183.

12 min de lecture

Tags

agrégateurintermédiaireWRPACeIDAS 2.0Article 5b

Partager cet article

Aidez les autres à en savoir plus sur la vérification eIDAS

Articles similaires

Conformité

Conformité RGPD simplifiée : comment eIDAS minimise la collecte de données

Découvrez comment la vérification d'identité fondée sur eIDAS permet une conformité RGPD optimale grâce à la minimisation des données, une architecture de protection des données dès la conception et un contrôle utilisateur renforcé. Réduisez votre responsabilité en matière de données tout en améliorant la sécurité.

11 min de lecture