Conformité

Règlement d'exécution 2026/798 : l'enrôlement sur portefeuille EUDI

Le règlement d'exécution 2026/798 fixe comment les citoyens s'enrôlent sur un portefeuille EUDI. Ce que dit le texte et ce que les vérificateurs doivent en attendre.

Équipe eIDAS Pro
18 avril 2026
10 min de lecture

Le règlement que personne ne lit

Le 8 avril 2026, la Commission européenne a publié au Journal officiel le Règlement d'exécution (UE) 2026/798 de la Commission. C'est l'une des publications les plus discrètes du déploiement actuel d'eIDAS 2, mais aussi l'une des plus lourdes de conséquences. Il définit comment un citoyen s'enrôle concrètement sur un portefeuille européen d'identité numérique — l'étape qui précède chacune des vérifications en aval sur lesquelles vous vous appuyez.

Si vous êtes un marchand, un vérificateur ou un développeur qui prévoit de faire confiance aux attestations d'un portefeuille EUDI en production, vous devez savoir à quel niveau de garantie la personne s'est enrôlée et quelles preuves l'émetteur du portefeuille a collectées. Le RE 2026/798 est le texte qui répond à ces questions.

Cet article est un parcours explicatif en langage clair. Pour la source juridique brute, consultez la fiche EUR-Lex.

Ce que couvre le règlement

Le RE 2026/798 est un acte d'exécution pris au titre de l'article 5a(24) du règlement eIDAS modifié (UE) 2024/1183. En clair, il fixe les standards de référence techniques et les spécifications relatifs à l'enrôlement à distance des utilisateurs sur un portefeuille EUDI.

Deux points de périmètre sont importants.

Premièrement, le règlement porte strictement sur l'enrôlement à distance — le flux au cours duquel un citoyen s'inscrit depuis son propre appareil, sans se rendre à un guichet physique. L'enrôlement en présentiel est régi par des règles distinctes.

Deuxièmement, il s'applique à une combinaison spécifique : des moyens d'identification électronique au niveau de garantie « substantiel » combinés à des procédures d'enrôlement à distance supplémentaires permettant d'atteindre ensemble le niveau de garantie « élevé ». Cette phrase fait beaucoup de travail, donc nous allons la décomposer.

Les niveaux de garantie en une page

eIDAS définit trois niveaux de garantie (LoA) pour les moyens d'identification électronique : faible, substantiel et élevé. La distinction porte sur le degré de confiance de l'émetteur dans le fait que la personne qui présente le moyen d'identification est bien celle qu'elle prétend être.

  • Faible — degré de confiance limité. Exemple type : nom d'utilisateur et mot de passe enregistrés en ligne sans contrôle de document.
  • Substantiel — degré de confiance substantiel. Exemple type : une identité électronique nationale reposant sur la vérification d'un document et un selfie de vivacité.
  • Élevé — degré de confiance le plus élevé, considéré comme équivalent à une identification en face à face. Exemple type : enrôlement en présentiel dans un bureau administratif avec inspection physique du document.

Le portefeuille EUDI doit fonctionner au niveau de garantie élevé. Cela crée un problème : les dispositifs d'identification nationaux de la plupart des États membres se situent au niveau substantiel. Comment passer de l'un à l'autre sans obliger tout le monde à se rendre dans un bureau administratif ?

Le RE 2026/798 est la réponse.

La construction « substantiel + procédures supplémentaires = élevé »

Le règlement autorise une combinaison : un utilisateur qui dispose déjà d'un moyen d'identification électronique au niveau substantiel peut s'enrôler sur un portefeuille au niveau élevé à condition que l'émetteur superpose des procédures supplémentaires à distance à l'authentification existante de niveau substantiel. La combinaison, prise dans son ensemble, doit satisfaire aux exigences du niveau élevé définies par le Règlement d'exécution (UE) 2015/1502 — les définitions fondatrices des niveaux de garantie issues du cadre eIDAS d'origine.

En pratique, les procédures supplémentaires sont de l'ordre de :

  • Contrôles automatisés de l'authenticité du document face aux éléments de sécurité du titre d'identité électronique.
  • Détection de vivacité et rapprochement biométrique avec la photo du document.
  • Recoupements avec des sources de données faisant autorité (registres de population, immatriculation des véhicules, registres fiscaux) pour valider la cohérence de l'identité.
  • Vérification vidéo en temps réel par un opérateur formé pour les cas les plus à risque.

Le détail exact sera précisé dans les spécifications techniques d'accompagnement et dans la norme ETSI TS 119 461 relative à la preuve d'identité, que le règlement désigne comme référence.

Pourquoi cela compte pour les vérificateurs

Lorsque votre backend reçoit une attestation signée d'un portefeuille EUDI, celle-ci porte des métadonnées identifiant l'émetteur et, par extension, le niveau de garantie auquel le portefeuille a été provisionné. Si le portefeuille est provisionné au niveau élevé, vous pouvez traiter les données d'identité qu'il contient comme équivalentes à une identité vérifiée en bureau administratif. S'il l'est au niveau substantiel, non.

Jusqu'au RE 2026/798, la réponse à la question « comment réalise-t-on concrètement un enrôlement à distance au niveau élevé » était « on ne peut pas, tout le monde doit se rendre au bureau administratif ». Cela aurait rendu physiquement impossible un déploiement national pour décembre 2026. Le nouveau règlement lève ce goulot d'étranglement.

Pour votre intégration, l'effet pratique est simple. Le SDK ou le vérificateur que vous utilisez reçoit une attestation de portefeuille accompagnée d'une enveloppe de métadonnées qui affirme le niveau de garantie. Votre logique métier peut faire confiance aux attestations de niveau élevé pour les flux à forte valeur comme l'ouverture de compte bancaire, les paiements de montants importants ou la création de comptes régulés. Consultez notre analyse technique approfondie du fonctionnement de la vérification eIDAS pour voir comment les métadonnées de niveau de garantie circulent dans la présentation OpenID4VP.

Ce que les vérificateurs doivent contrôler dans l'attestation

Deux éléments concrets du règlement affectent la logique côté vérificateur.

La déclaration de l'émetteur. Les métadonnées de l'émetteur du portefeuille doivent déclarer la voie d'enrôlement empruntée — si le niveau élevé a été obtenu par un enrôlement en présentiel, via la combinaison substantiel + procédures supplémentaires du RE 2026/798, ou par une autre voie reconnue. Votre code de vérification devrait journaliser cette information et, pour les cas d'usage régulés, peut avoir besoin de distinguer entre ces voies.

L'horodatage d'enrôlement et la politique de revalidation. Le règlement sous-entend (sans le rendre obligatoire) que les portefeuilles provisionnés via la voie à distance porteront un horodatage d'enrôlement et des règles de revalidation. Les vérificateurs exposés à un risque élevé auront intérêt à contrôler les deux.

Si vous utilisez le SDK OpenEUDI, les drapeaux de métadonnées sont exposés via l'interface vérificateur standard. Pour la mécanique au niveau du protocole, consultez Comprendre OpenID4VP.

Interaction avec le mini-portefeuille de vérification d'âge

Une question connexe dans le sillage de l'annonce du 15 avril 2026 sur l'application européenne de vérification d'âge : le mini-portefeuille exige-t-il un enrôlement au niveau élevé ?

Oui. Les preuves d'âge cryptographiquement liées à la date de naissance réelle d'une personne requièrent une chaîne de confiance au niveau élevé. Un enrôlement au niveau substantiel ne suffirait pas, parce qu'une date de naissance non vérifiée n'a aucune valeur pour la vérification d'âge. Le flux d'enrôlement du mini-portefeuille relève donc directement de la voie combinée du RE 2026/798.

C'est aussi pour cela que l'application de vérification d'âge ne peut pas être aussi minimale que certains critiques le suggèrent. La confidentialité tient à ce que le portefeuille libère (un simple booléen sur un seuil d'âge) ; la garantie tient à la manière dont le portefeuille a été enrôlé au départ.

Les questions ouvertes

Deux points que le règlement laisse délibérément ouverts.

Les procédures techniques exactes. Le règlement renvoie aux normes ETSI et délègue une grande partie du détail concret à des spécifications techniques. Les États membres disposent d'une marge d'interprétation.

La reconnaissance transfrontalière de l'enrôlement à distance. Si un portefeuille français enrôlé via la voie « substantiel + supplémentaire » de l'eID nationale française est présenté à un vérificateur allemand, est-il reconnu comme niveau élevé ? La réponse devrait être oui au titre des règles de reconnaissance transfrontalière, mais les détails opérationnels — notamment la manière dont l'équipe conformité d'un vérificateur allemand accepte la voie française — dépendront de l'interprétation que fera chaque superviseur national du règlement.

Nous suivrons la convergence ou la divergence des États membres sur ces points dans les prochains mois. Si vous vendez dans plusieurs pays de l'UE et devez aborder la question sérieusement, notre article sur la vérification transfrontalière sous eIDAS est la lecture complémentaire.

Ce que les marchands doivent faire aujourd'hui

Rien d'urgent. Le RE 2026/798 est une législation d'infrastructure — il régit ce que font les émetteurs de portefeuilles, pas ce que font les vérificateurs. Votre travail d'intégration ne change pas.

Ce qu'il signifie, c'est que la trajectoire réglementaire vers décembre 2026 est désormais véritablement dégagée. Avant ce règlement, la question de savoir si un enrôlement à distance au niveau élevé était même possible à grande échelle était sérieuse. Après lui, la réponse est oui, et les États membres bâtissent en conséquence. Pour savoir où en est chaque pays, consultez notre traqueur de déploiement d'avril 2026.

Si vous voulez être certifié comme partie utilisatrice dès que les portefeuilles seront en service, lancez vos démarches WRPAC dès maintenant. Le processus prend des mois. Consultez Qu'est-ce que le WRPAC et pourquoi chaque entreprise en a besoin avant décembre 2026 et notre guide d'enregistrement de partie utilisatrice.

eIDAS Pro prend en charge automatiquement les métadonnées de niveau de garantie et la validation de l'émetteur dans son vérificateur managé. Si vous voulez faire confiance aux attestations de portefeuille sans bâtir une équipe de conformité, consultez nos offres managées ou le guide de démarrage rapide du SDK OpenEUDI.

Tags

eIDAS 2Portefeuille EUDIRèglementActe d'exécutionEnrôlementNiveau de garantieConformitéUE

Partager cet article

Aidez les autres à en savoir plus sur la vérification eIDAS

Articles similaires

Conformité

Schéma ENISA de certification du portefeuille EUDI : l'essentiel

L'ENISA consulte sur le premier schéma formel de certification des portefeuilles EUDI, jusqu'au 30 avril 2026. Ce qu'il contient et pourquoi il compte vraiment.

8 min de lecture
Conformité

Checklist de conformité eIDAS 2.0 pour les entreprises e-commerce (2026)

Une checklist pratique et étape par étape pour préparer votre activité e-commerce à la conformité eIDAS 2.0 avant le lancement des portefeuilles EUDI en décembre 2026.

8 min de lecture
Conformité

L'avantage de l'agrégateur : pourquoi les entreprises avisées ne demanderont pas leur propre WRPAC

L'article 5b(10) permet à des intermédiaires de gérer la conformité WRPAC à votre place. Voici pourquoi c'est le choix le plus intelligent pour la plupart des entreprises.

10 min de lecture