Enregistrement eIDAS 2.0 des Relying Parties : le guide complet

Si vous avez décidé d'obtenir votre propre certificat WRPAC et de vous enregistrer comme Relying Party dans le cadre d'eIDAS 2.0, vous entrez dans l'un des dispositifs de conformité en identité numérique les plus sophistiqués d'Europe. Ce guide vous donne une vue complète : exigences de l'article 5b, processus pas à pas et spécifications techniques à maîtriser.

Que vous soyez un grand groupe qui prépare sa conformité en interne, une fintech confrontée à des contraintes réglementaires, ou une entreprise qui évalue ses options avant de choisir la voie de l'agrégateur, vous trouverez ici une référence opérationnelle.

Qui est considéré comme Relying Party ?

Dans eIDAS 2.0, une Relying Party (partie utilisatrice) est toute personne physique ou morale qui demande et vérifie des attributs d'identité issus des portefeuilles européens d'identité numérique (EUDI Wallets), à des fins d'authentification ou d'autorisation.

Cas d'usage courants

Vous êtes une Relying Party si vous :

• Vérifiez l'âge pour l'alcool, le tabac, les jeux d'argent, les contenus adultes ou des produits soumis à une limite d'âge
• Vérifiez l'identité pour des services financiers (KYC/AML), la création de compte ou des contrats juridiques
• Vérifiez des qualifications professionnelles pour le recrutement, l'octroi d'autorisations ou des services réglementés
• Vérifiez des diplômes pour l'admission, l'emploi ou la certification
• Vérifiez l'adresse pour la livraison, la compétence territoriale ou l'éligibilité à un service
• Authentifiez des utilisateurs pour l'accès sécurisé à un système ou à des opérations sensibles

En clair : si vous demandez à des citoyens de l'UE de prouver un élément de leur identité via le portefeuille EUDI, vous êtes une Relying Party.

Article 5b : le cadre juridique

L'article 5b du règlement (UE) 2024/1183 définit l'ensemble du cadre applicable aux Relying Parties. Voici l'essentiel.

Exigences centrales d'enregistrement (article 5b, paragraphe 1)

Toute Relying Party doit s'enregistrer auprès de l'autorité de supervision de son État membre d'établissement et fournir :

1. Informations d'identification :

   • Raison sociale et éléments d'établissement
   • Adresse enregistrée et juridiction
   • Identifiant d'entité juridique (si applicable)
   • Coordonnées de contact pour la conformité

2. Déclaration d'usage prévu :

   • Attributs demandés (ex. : "âge supérieur à 18 ans", "nom complet", "adresse", "qualifications professionnelles")
   • Finalité et base légale pour chaque attribut
   • Cas d'usage et scénarios d'application
   • Volume de transactions attendu (peut être requis)

3. Capacités techniques :

   • Confirmation de la capacité à valider des justificatifs issus des EUDI Wallets
   • Description de l'implémentation technique (intégration directe ou via intermédiaire)
   • Mesures de sécurité et procédures de traitement des données

Principe de proportionnalité et de coût raisonnable

L'article 5b indique explicitement que l'enregistrement doit être "d'un coût raisonnable et proportionné au risque".

Concrètement :

• Les autorités ne peuvent pas imposer de frais excessifs ni de barrières d'entrée injustifiées
• Les petites entreprises ne devraient pas subir la même charge réglementaire que les grandes institutions financières
• Les exigences doivent évoluer selon le profil de risque du cas d'usage

Frais d'enregistrement attendus : de 100 EUR à 1 000 EUR par an selon l'État membre (montants exacts à confirmer lors du déploiement).

Passeport européen : un enregistrement, 27 pays

Point clé : un enregistrement dans un État membre est valable dans les 27 États membres.

Exemple : une entreprise française s'enregistre en France comme Relying Party. Cet enregistrement lui permet ensuite de vérifier des citoyens allemands, italiens, espagnols, néerlandais, etc. via leurs EUDI Wallets nationaux, sans procédure distincte dans chaque pays.

C'est le principe de passeport, qui rend l'écosystème EUDI réellement paneuropéen dès le départ.

Obligations continues après enregistrement

L'enregistrement n'est pas une formalité ponctuelle. L'article 5b impose des obligations permanentes :

1. Déclarer les changements sans délai

Si l'un des éléments suivants évolue, vous devez informer votre autorité nationale de supervision :

• Usages déclarés : ajout de nouveaux attributs ou de nouvelles finalités
• Statut juridique : changement de dénomination, fusion, acquisition
• Implémentation technique : passage de l'intégration directe à un intermédiaire (ou l'inverse)
• Coordonnées de contact : pour garantir la joignabilité par le régulateur

Délai : "sans délai" signifie que vous ne pouvez pas attendre un renouvellement annuel ; les changements doivent être déclarés au fil de l'eau.

2. Vous identifier clairement auprès des utilisateurs

Quand une demande de vérification apparaît dans le wallet de l'utilisateur, elle doit afficher clairement :

• Qui demande les données : votre nom d'entreprise tel qu'enregistré
• Quels attributs sont demandés : liste exacte des données sollicitées
• Pourquoi ces données sont demandées : finalité de la demande (si le droit national l'exige)

L'objectif est la transparence et le contrôle utilisateur. Avant d'autoriser, l'utilisateur doit comprendre qui demande ses données et dans quel but.

3. Accepter des pseudonymes quand l'identification n'est pas obligatoire

Si votre cas d'usage ne requiert pas légalement une identification complète, vous devez accepter des attributs pseudonymes.

Exemple : une vérification d'âge pour la vente d'alcool en ligne ne nécessite pas légalement de connaître le nom de la personne, seulement qu'elle a plus de 18 ans. Dans ce cas, vous devez accepter un attribut pseudonyme "âge supérieur à 18 ans" sans exiger une divulgation d'identité complète.

Pourquoi c'est important : protection de la vie privée dès la conception. Le règlement impose aux Relying Parties de minimiser strictement la collecte de données.

Processus d'enregistrement pas à pas

Voici à quoi ressemblera le parcours d'enregistrement (infrastructure attendue mi-2026).

Étape 1 : déterminer votre État membre d'établissement

Vous vous enregistrez dans le pays où votre entreprise est légalement établie, et non dans les pays où se trouvent vos clients.

• Siège en Allemagne ? Enregistrement auprès de l'autorité nationale allemande.
• Société incorporée en Irlande ? Enregistrement auprès de l'autorité de supervision irlandaise.
• Établissement au Luxembourg ? Enregistrement auprès de l'ILNAS ou de l'autorité désignée.

Le passeport transfrontalier fait le reste : votre enregistrement est automatiquement valable dans toute l'UE.

Étape 2 : préparer la documentation

Rassemblez les informations et pièces requises :

• Documents juridiques de l'entité :

  • Extrait d'immatriculation
  • Statuts de la société
  • Numéro d'identification fiscale
  • Preuve d'établissement légal dans l'État membre de référence

• Documentation des cas d'usage :

  • Liste des attributs demandés
  • Base légale de chaque attribut (conformité RGPD)
  • Description des scénarios de vérification
  • Politiques de traitement et de conservation des données

• Plan d'implémentation technique :

  • Intégration directe ou via intermédiaire
  • Mesures de sécurité et protocoles de chiffrement
  • Conformité RGPD et règles de protection des données

Conseil pratique : si cette étape semble lourde, des services d'accompagnement (comme les offres de conseil d'eIDAS Pro) proposent des modèles de documentation prêts à l'emploi, adaptés à votre cas d'usage et à votre pays.

Étape 3 : accéder au portail national d'enregistrement

Chaque État membre opérera son propre portail d'enregistrement. Ils ne sont pas encore en production en février 2026, mais leur ouverture est attendue mi-2026.

Fonctionnalités attendues :

• Dépôt de dossier en ligne
• Téléversement des documents
• Suivi de statut et notifications
• Paiement des frais d'enregistrement

Variations nationales : chaque État membre concevra son propre portail ; l'expérience utilisateur et certains détails peuvent donc varier. En revanche, les exigences de fond de l'article 5b restent harmonisées à l'échelle européenne.

Étape 4 : soumettre le dossier et régler les frais

Remplissez le formulaire en ligne, transmettez les documents requis et réglez les frais d'enregistrement.

Délais de traitement : inconnus en février 2026. Les premiers candidats peuvent subir des délais plus longs pendant la montée en charge des autorités.

Critères d'approbation : les autorités vérifieront :

• L'établissement légal dans l'État membre
• La complétude du dossier
• La capacité technique à valider les justificatifs
• La conformité RGPD et la protection des données

Étape 5 : recevoir le certificat d'enregistrement

Une fois approuvé, vous recevez un certificat d'enregistrement prouvant officiellement votre statut de Relying Party enregistrée.

Contenu type du certificat :

• Votre identifiant unique de Relying Party
• Les informations d'entreprise enregistrées
• Les cas d'usage et attributs autorisés
• La période de validité (généralement avec renouvellement annuel)

Registre public : votre enregistrement figurera dans un registre public tenu par l'autorité nationale, pour garantir la transparence vis-à-vis des utilisateurs et des régulateurs.

Étape 6 : obtenir le certificat d'accès WRPAC

Une fois enregistrée, votre organisation peut solliciter un prestataire de services de confiance qualifié (QTSP) afin d'obtenir son certificat d'accès WRPAC.

Exigences côté QTSP :

• Présenter votre certificat d'enregistrement comme preuve d'éligibilité
• Finaliser les contrôles d'identité et l'onboarding du QTSP
• Régler les frais d'émission du certificat (prix non publics à ce jour, estimation : 500 à 5 000 EUR/an)
• Accepter les conditions contractuelles et le calendrier de renouvellement

QTSP susceptibles d'émettre des WRPAC :

• LuxTrust (Luxembourg)
• D-Trust (Allemagne)
• InfoCert (Italie)
• Et d'autres prestataires qualifiés dans l'UE

Validité du certificat : en général 1 an, avec renouvellement annuel.

Exigences techniques pour les Relying Parties

L'enregistrement ne suffit pas : vous devez aussi implémenter les protocoles techniques pour communiquer avec les EUDI Wallets.

1. Support du protocole OpenID4VP

OpenID for Verifiable Presentations (OpenID4VP) est le protocole utilisé par les EUDI Wallets pour présenter des justificatifs aux Relying Parties.

À implémenter :

• Génération de demandes de présentation : création d'une demande signée pour des attributs précis
• Transmission via QR code ou deep link : présentation de la demande via QR code (desktop) ou deep link (mobile)
• Traitement des réponses : réception et validation de la présentation vérifiable envoyée par le wallet
• Vérification de signature : validation cryptographique de la réponse

Complexité : élevée. Il faut une bonne maîtrise des protocoles cryptographiques, des JWT et des standards de justificatifs vérifiables.

2. Gestion des formats de justificatifs

Les EUDI Wallets prennent en charge deux formats de justificatifs :

SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credential)

• Basé sur le standard JSON Web Token (JWT)
• Permet la divulgation sélective d'attributs via des claims hachés
• L'utilisateur ne partage que les attributs demandés, pas l'ensemble du justificatif

Exemple : l'utilisateur dispose d'un justificatif contenant nom, date de naissance, adresse et age_over_18. Vous demandez uniquement "age_over_18" : seul cet attribut est divulgué.

mdoc (ISO/IEC 18013-5)

• Basé sur le standard du permis de conduire mobile
• Utilise un encodage CBOR plutôt que JSON
• Obligatoire pour certains types de justificatifs (ex. permis mobile, justificatifs de santé)

Votre implémentation doit prendre en charge les deux formats. Selon les États membres et les types de justificatifs, le format peut différer.

3. Intégration des listes de confiance

C'est souvent la partie la plus complexe : vous devez intégrer les listes de confiance des 27 États membres de l'UE.

Que sont les listes de confiance ?

• Des listes officielles d'émetteurs de justificatifs de confiance
• Publiées par les autorités nationales
• Contenant certificats d'émetteurs et clés publiques pour vérifier les signatures

Pourquoi elles sont indispensables :

• Vérifier qu'un justificatif a été émis par un fournisseur d'identité national légitime
• Valider les signatures cryptographiques des justificatifs
• Vérifier l'état de révocation des certificats d'émetteur

Le défi :

• 27+ listes nationales (certains États membres peuvent en avoir plusieurs)
• Formats et fréquences de mise à jour variables
• Supervision continue des ajouts, mises à jour et révocations de certificats

Effort de développement estimé : 3 à 6 mois de travail d'ingénierie pour construire une intégration robuste et maintenir la compatibilité à mesure que les standards évoluent.

4. Sécurité et traitement des données

L'article 5b impose notamment aux Relying Parties de :

• Utiliser un chiffrement fort pour la transmission des justificatifs
• Valider cryptographiquement les signatures avec les certificats des listes de confiance
• Minimiser la rétention des données au strict nécessaire
• Assurer la conformité RGPD pour les droits des personnes concernées
• Journaliser les événements de vérification à des fins d'audit (sans stocker de données personnelles)

Bonne pratique : traiter les justificatifs en mode stateless : valider, extraire les attributs nécessaires, renvoyer le résultat à l'application, puis supprimer immédiatement le justificatif complet. Conserver uniquement des métadonnées d'audit (horodatage, types d'attributs demandés, succès/échec), pas les données personnelles.

Idées reçues : exigences HSM et QSCD

Une confusion récurrente concerne les exigences HSM. Mise au point :

Mythe : "Les Relying Parties doivent avoir des HSM"

Réalité : non. Les HSM et les dispositifs qualifiés de création de signature (QSCD) sont requis pour :

• Les fournisseurs de wallets (entités qui délivrent les EUDI Wallets aux citoyens)
• Les émetteurs de credentials (fournisseurs d'identité nationaux qui signent les justificatifs)
• Les QTSP (prestataires de confiance qui émettent les certificats)

Les Relying Parties n'ont pas besoin de HSM ni de QSCD. Votre certificat d'accès WRPAC est émis par un QTSP (qui, lui, utilise des HSM). En tant que Relying Party, vous utilisez simplement ce certificat pour authentifier vos requêtes, sans matériel spécialisé.

D'où vient la confusion ? Certaines versions préliminaires des textes mentionnaient des exigences QSCD dans le cadre global de l'écosystème, ce qui a pu être mal interprété. Le standard final ETSI TS 119 475 précise que les RP n'ont pas d'exigence HSM.

État actuel : où en sont les États membres (février 2026)

À date (février 2026), voici la situation de déploiement :

Aucune infrastructure d'enregistrement RP opérationnelle pour l'instant

Aucun des 27 États membres de l'UE n'a encore de portail RP en production. Ce n'est pas un retard : l'échéance de disponibilité des EUDI Wallets en décembre 2026 reste la référence. L'infrastructure d'enregistrement RP est attendue mi-2026, ce qui laisserait environ 6 mois aux entreprises pour s'enregistrer avant le lancement en production.

Les standards sont finalisés

• ETSI TS 119 475 v1.1.1 (standard technique WRPAC) publié en octobre 2025
• Actes d'exécution de l'article 5b en discussion (Batch 2 toujours à l'état de projet)
• Spécifications OpenID4VP finalisées et publiées

Les QTSP se préparent

Des prestataires qualifiés comme LuxTrust, D-Trust et d'autres se préparent à émettre des certificats WRPAC dès l'ouverture de l'infrastructure d'enregistrement RP. Ils ne peuvent pas émettre ces certificats tant que les Relying Parties ne disposent pas d'un certificat d'enregistrement : c'est un prérequis.

Deux trajectoires principales : enregistrement DIY ou agrégateur

Vous avez lu les exigences. La vraie question devient : faut-il vraiment le faire en direct ?

Option 1 : enregistrement DIY (plutôt pour les grands groupes)

À privilégier si :

• Vous êtes un grand groupe avec des équipes juridiques et conformité dédiées
• Vous pouvez investir 6 à 12 mois et plus de 150 kEUR la première année
• Vous avez besoin d'un contrôle total sur la pile technique
• Vos volumes atteignent plusieurs millions de transactions par an

Ce que cela implique :

• Suivre le processus d'enregistrement détaillé ci-dessus
• Obtenir puis renouveler le certificat WRPAC
• Implémenter OpenID4VP
• Intégrer les listes de confiance de 27+ États membres
• Assurer la conformité continue et le maintien en conditions opérationnelles

---

Option 2 : passer par un agrégateur (la voie la plus pragmatique pour la plupart)

À privilégier si :

• Vous voulez aller vite sur le marché (en jours, pas en mois)
• Vous privilégiez la simplicité opérationnelle plutôt qu'un contrôle total
• Vous intégrez un ou quelques cas d'usage simples
• Vous préférez concentrer l'équipe technique sur votre cœur de produit

Ce que vous obtenez :

• Intégration API en 1 à 2 jours
• Zéro charge d'enregistrement (gérée par l'agrégateur)
• Mise en production possible en décembre 2026 sans course de dernière minute
• Conformité européenne via l'enregistrement "passeport" de l'agrégateur

Des services comme eIDAS Pro proposent ce modèle via l'article 5b(10).

---

Option 3 : conseil expert (solution intermédiaire)

À privilégier si :

• Vous voulez votre propre WRPAC mais avec accompagnement
• Vous avez des ressources internes mais pas l'expertise eIDAS 2.0
• Vous avez besoin d'un package documentaire pour l'enregistrement national
• Vous avez besoin d'appui sur les spécifications techniques (OpenID4VP, trust lists, etc.)

Ce que vous obtenez :

• Des modèles documentaires préconfigurés pour votre pays
• Un accompagnement technique sur l'implémentation des protocoles
• Un conseil de conformité continu au fil des évolutions réglementaires
• Un enregistrement dans votre propre pays à partir de notre documentation

eIDAS Pro propose des offres de conseil pour les entreprises qui suivent la voie DIY.

Calendrier jusqu'à décembre 2026

Si vous partez sur la voie DIY, voici le calendrier critique :

Mi-2026 (attendu) :

• Ouverture de l'infrastructure d'enregistrement RP
• Dépôt immédiat du dossier pour éviter l'embouteillage
• Délai de traitement : inconnu (quelques jours à plusieurs semaines)

Fin 2026 :

• Réception du certificat d'enregistrement
• Démarche auprès d'un QTSP pour le certificat d'accès WRPAC
• Émission du certificat : 2 à 4 semaines
• Finalisation de l'intégration technique (idéalement déjà avancée)

Décembre 2026 :

• Mise en service des EUDI Wallets
• Démarrage des vérifications en production
• Vous devez être prêt

Le risque : si l'infrastructure ouvre en juin et que vous commencez en novembre, la marge est très faible. Retard d'enregistrement, lenteur d'onboarding QTSP ou blocage technique peuvent vous faire dépasser l'échéance.

Approche recommandée : préparer la documentation dès maintenant. Lancer l'intégration technique en mode DEMO/MOCK. Être prêt à déposer le dossier dès l'ouverture.

Conclusion : anticipez la réalité du chantier

Devenir Relying Party sous eIDAS 2.0 est faisable, mais loin d'être anodin. Les exigences de l'article 5b sont claires, les standards techniques sont publiés et l'infrastructure est attendue mi-2026.

Mais clarté ne veut pas dire simplicité. L'enregistrement DIY WRPAC représente un engagement important en temps, budget et charge opérationnelle continue. Pour un grand groupe bien équipé, cela peut être un choix stratégique pertinent. Pour la plupart des entreprises, le modèle agrégateur (article 5b(10)) est souvent plus rapide, plus simple et plus économique.

Avant de vous engager dans la voie DIY, posez-vous ces questions :

• Avons-nous 6 à 12 mois et plus de 150 kEUR à investir en année 1 ?
• Avons-nous une expertise interne solide en conformité et juridique ?
• Le contrôle total de la pile technique est-il un enjeu stratégique réel ?
• Sommes-nous prêts à assumer la maintenance et la charge de conformité dans la durée ?

Si vous répondez "non" ou "pas sûr" à au moins une question, l'option agrégateur mérite une évaluation sérieuse. Si vous répondez "oui" à tout, vous avez ci-dessus une feuille de route exploitable, avec des offres de conseil disponibles en appui.

L'échéance est décembre 2026. Choisissez votre trajectoire avec lucidité.

---

Besoin d'un accompagnement pour l'enregistrement RP ? eIDAS Pro propose des offres de conseil incluant la documentation complète pour votre autorité nationale, un appui sur les spécifications techniques et un suivi de conformité continu. Ou évitez l'enregistrement : utilisez eIDAS Pro comme agrégateur et soyez prêt pour la production en quelques jours, pas en quelques mois.

Obtenir un accompagnement conseil | Utiliser eIDAS Pro comme agrégateur

Articles similaires

Qu'est-ce qu'un WRPAC et pourquoi toute entreprise en ligne en aura besoin d'ici décembre 2026

L'échéance de décembre 2026 approche. Comprenez ce qu'est un certificat WRPAC et pourquoi votre entreprise doit se mettre en conformité dès maintenant.

8 min de lecture

Du projet POTENTIAL à la production : ce que le pilote EUDI du Luxembourg a démontré

Le pilote POTENTIAL du Luxembourg, mené sur 30 mois, a validé 6 cas d'usage avec plus de 1 000 transactions réussies. Voici ce que cela signifie pour les entreprises.

9 min de lecture