Le constat, simplement
Vérification effectuée le 28 mai 2026 : le tableau de bord eIDAS indique que l'indicateur d'entité de confiance WRPAC n'est publié dans aucun État membre. Le point d'accès à la liste des prestataires WRPAC n'est pas servi publiquement : au moment de la rédaction, il renvoie une réponse d'accès refusé sans présenter de fichier de prestataires.
Précision sur ce que cette réponse d'accès refusé permet, ou non, de conclure. Une réponse 403 de type S3 ne prouve pas que la liste n'existe sous aucune forme ; elle prouve seulement que la ressource n'est pas accessible publiquement à cette URL. La liste peut être servie aux parties autorisées par un canal séparé, maintenue en interne par la Commission à des fins préparatoires, ou tout simplement ne pas encore être alimentée. Ce que l'on peut affirmer avec précision, c'est qu'aucune liste de prestataires WRPAC publiquement vérifiable n'est disponible : il n'existe aucun moyen pour une partie utilisatrice, un développeur ou un évaluateur de conformité de confirmer indépendamment qu'une autorité de certification donnée est autorisée à émettre des WRPAC au titre d'un mandat fondé sur l'article 7, paragraphe 1. C'est le fait matériel qui compte pour la planification.
Pour les commerçants et intégrateurs qui suivent l'échéance de décembre 2026, ce statut soulève une question évidente : quelque chose est-il cassé, ou est-ce exactement ce que le règlement exige aujourd'hui ? La réponse est la seconde. L'absence de liste publiée aujourd'hui n'est pas une défaillance d'un État membre ni de la Commission. C'est la conséquence prévisible d'un règlement dont les obligations opérationnelles ne s'appliquent pas encore.
Pourquoi c'est prévu ainsi, pas un retard
Le règlement (UE) 2025/848 — le règlement d'exécution qui encadre les Wallet-Relying-Party Access Certificates — est entré en vigueur à la fin mai 2025 comme l'un des principaux actes d'exécution du cadre eIDAS 2 modifié. Mais l'entrée en vigueur n'est pas la même chose que l'application. L'article 11 du règlement (UE) 2025/848 précise que le règlement s'applique à partir du 24 décembre 2026. Cet article unique explique tout ce qui suit.
L'obligation centrale applicable aux émetteurs se trouve à l'article 7, paragraphe 1. Cette disposition impose à chaque État membre d'autoriser au moins une autorité de certification à émettre des WRPAC aux parties utilisatrices établies ou opérant dans cet État. L'article 7, paragraphe 1, ne lie pas les États membres avant l'application du règlement, c'est-à-dire avant le 24 décembre 2026. Un État membre qui n'a pas encore désigné aujourd'hui d'autorité de certification émettrice de WRPAC n'est pas en retard, n'est pas non conforme et n'est exposé à aucun mécanisme d'exécution. Il agit simplement dans le calendrier que le règlement a délibérément choisi.
La même logique vaut pour la liste d'entités de confiance. Cette liste est le produit aval des mandats de l'article 7, paragraphe 1 : lorsque les États membres désignent des AC, ces AC apparaissent sur la liste. Avant que l'article 7, paragraphe 1, ne s'applique, il n'existe pas d'AC mandatées à lister. Le statut non publié de l'indicateur WRPAC dans le tableau de bord eIDAS est donc une conséquence structurelle du calendrier d'application du règlement, pas la preuve d'un retard de mise en oeuvre.
Cette distinction compte énormément dans la manière de parler du WRPAC en interne et avec les clients. Vous ne pouvez pas dire qu'un État membre est « en retard » sur le WRPAC. Vous ne pouvez pas dire que l'UE « échoue à publier » la liste. Ce que vous pouvez dire, avec exactitude, c'est qu'un règlement a été soigneusement séquencé pour que son infrastructure opérationnelle — les mandats des AC, la liste de confiance, les chemins d'émission de certificats — arrive en ligne en même temps que l'échéance, plutôt que des mois ou des années à l'avance.
Savoir si ce séquencement est le bon choix de politique publique est un autre débat. Pour la planification, c'est simplement la réalité juridique.
Ce qu'est réellement un WRPAC
Pour les lecteurs qui rencontrent le terme pour la première fois : un Wallet-Relying-Party Access Certificate est l'identifiant d'accès qu'une partie utilisatrice doit détenir pour demander des présentations d'attributs à un EUDI Wallet dans un flux de production. L'article 2, paragraphe 12, du règlement (UE) 2025/848 le définit comme le certificat utilisé pour authentifier une partie utilisatrice auprès d'une unité de portefeuille. L'article 2, paragraphe 11, définit le prestataire d'un tel certificat comme une personne mandatée par un État membre pour émettre des WRPAC — la « personne » étant ici une autorité de certification opérant sous une autorisation au titre de l'article 7, paragraphe 1.
L'implication pratique est que l'émission de WRPAC n'est pas un marché directement contrôlé par la Commission. Chaque État membre autorise sa ou ses propres AC émettrices. Une partie utilisatrice établie en Allemagne obtiendra à terme un WRPAC auprès d'une AC autorisée par l'Allemagne ; une partie utilisatrice établie en France auprès d'une AC autorisée par la France. Les parties utilisatrices transfrontalières devront comprendre si leur établissement principal gouverne la situation ou si elles ont besoin d'une couverture WRPAC dans chaque juridiction opérationnelle — une question que le règlement d'exécution aborde, mais que beaucoup d'intégrateurs n'ont pas encore pleinement traitée.
Pour une analyse plus complète de ce que font les WRPAC, de leur place dans le protocole d'interaction avec le portefeuille et des raisons pour lesquelles les parties utilisatrices ne peuvent pas opérer en production sans eux, voir notre article compagnon : Qu'est-ce qu'un WRPAC et pourquoi chaque entreprise en aura besoin d'ici décembre 2026.
Deux horloges différentes
L'une des sources de confusion les plus fréquentes dans la planification WRPAC des commerçants consiste à confondre deux échéances qui tombent à peu près à la même date, mais mesurent des obligations différentes.
Horloge 1 : l'échéance de disponibilité du portefeuille. Le règlement (UE) 2024/1183, qui a modifié le règlement (UE) 910/2014, impose à chaque État membre de mettre au moins un EUDI Wallet à la disposition des personnes physiques et morales vers le 24 décembre 2026. C'est cette horloge qui alimente les titres sur les lancements de portefeuilles nationaux — et sur les plans de déploiement nationaux qui peuvent arriver près de cette date juridique, ou juste après. L'article 5 bis du règlement modifié est la disposition opérationnelle. L'obligation de disponibilité du portefeuille pèse sur les États membres, pas sur les commerçants.
Horloge 2 : la date d'application de l'émission des WRPAC. L'obligation faite aux États membres d'autoriser au moins une AC émettrice de WRPAC tombe elle aussi dans la fenêtre de décembre 2026, en vertu de l'article 11 du règlement (UE) 2025/848. Les parties utilisatrices en mode production auront alors besoin d'un WRPAC validable par rapport à l'infrastructure des prestataires mandatés. Mais cette horloge présente une asymétrie pratique : les États membres ont jusqu'à décembre 2026 pour désigner les AC et publier leurs mandats. Ces AC doivent ensuite mettre en place des processus d'émission. Les parties utilisatrices doivent ensuite déposer leur demande, accomplir les étapes d'enregistrement requises et recevoir leurs certificats. Rien de cela ne se produit en un seul jour.
Le problème de confusion ressemble à ceci : un commerçant entend « échéance de décembre 2026 » dans le contexte de la disponibilité des portefeuilles et suppose que c'est aussi le moment où les WRPAC deviennent disponibles à la demande. Il est alors surpris — agréablement ou désagréablement — lorsqu'il découvre que le chemin WRPAC peut s'ouvrir plus tôt ou plus tard selon le moment où chaque État membre achève sa désignation au titre de l'article 7, paragraphe 1, et que certains États peuvent proposer des chemins d'émission volontaires ou pilotes avant l'entrée en vigueur du mandat formel. Planifier les deux obligations autour d'une date unique en décembre 2026 passe entièrement à côté de ce séquencement.
La conséquence pratique : les parties utilisatrices doivent surveiller en continu la liste de confiance et les annonces d'AC des États membres pendant le second semestre 2026, au lieu d'attendre un événement de lancement unique qui déclencherait tout à la fois. Les premiers États à publier des AC mandatées donneront aux parties utilisatrices les plus rapides plusieurs semaines de marge avant décembre 2026 pour achever leurs demandes WRPAC sur un vrai chemin de production.
Que faire maintenant — et quoi ne pas faire
L'absence actuelle d'un chemin WRPAC de production publiquement vérifiable crée un vide de planification que les fournisseurs se sont empressés de remplir. Une partie de ce qui est commercialisé comme infrastructure WRPAC est légitime ; une autre ne l'est pas. La distinction se vérifie : un WRPAC qui ne peut pas être publiquement vérifié comme chaînant vers une AC publiée et mandatée au titre de l'article 7, paragraphe 1, n'est pas un WRPAC de production, quel que soit le nom que lui donne le fournisseur ou ce que prétend le champ subject du certificat.
Que faire maintenant
Construire et tester avec des bacs à sable et des flux open-wallet. L'implémentation de référence EUDI Wallet, le bac à sable EUDI Wallet officiel de l'Allemagne (opéré par SPRIND) et plusieurs environnements pilotes d'États membres produisent de vrais flux de présentation via OpenID4VP. Ces flux sont techniquement représentatifs du protocole de production, même si l'infrastructure de confiance — les mandats des AC, la liste de confiance, la chaîne WRPAC — n'est pas encore en place. Le temps passé aujourd'hui à construire un vérificateur OpenID4VP conforme est du temps que vous n'aurez pas à dépenser au quatrième trimestre 2026.
Suivre l'indicateur WRPAC du tableau de bord eIDAS. Le tableau de bord à l'adresse eidas.ec.europa.eu/efda/ est le signal canonique. Lorsque les États membres commenceront à désigner des AC émettrices de WRPAC et que ces AC commenceront à publier leurs mandats, le drapeau WRPAC passera de non publié à publié. Ce basculement est votre déclencheur pour lancer le processus de demande dans l'État membre concerné.
Suivre le point d'accès à la liste des prestataires. Le point d'accès trust.tech.ec.europa.eu/lists/eudiw/wrpac-providers.json servira à terme un fichier lisible par machine listant les AC autorisées. Surveiller ce point d'accès — et construire la logique de validation qui le consommera lorsqu'il sera en ligne — est un travail d'infrastructure peu coûteux qui produira immédiatement de la valeur lorsque la liste sera publiée.
Comprendre le processus de demande dans votre juridiction. Les désignations au titre de l'article 7, paragraphe 1, sont des décisions des États membres. Certains États peuvent publier des procédures de demande détaillées plusieurs mois avant décembre 2026 ; d'autres non. Plus tôt vous identifiez l'AC qui servira votre juridiction et le fonctionnement du processus de demande, moins vous êtes exposé à un problème de file d'attente de dernière minute en novembre et décembre 2026.
Quoi ne pas faire
N'achetez rien qui soit commercialisé comme un « WRPAC de production » sans vérification publique possible. Tant que le mandat d'une AC n'est pas publié dans la liste de confiance et visible via le tableau de bord eIDAS, il n'existe aucune base indépendante permettant de confirmer qu'un certificat émis par cette AC constitue un WRPAC au sens de l'article 2, paragraphe 12, sous une autorisation de l'article 7, paragraphe 1. Un certificat peut être techniquement valide, conforme au profil de certificat et émis par une AC réputée — et ne pas être pour autant un WRPAC juridiquement opérant si l'AC n'a pas reçu et publié un mandat d'un État membre. Le risque n'est pas que le certificat soit frauduleux ; le risque est qu'il ne soit pas accepté par les implémentations de portefeuille qui valident la chaîne de confiance par rapport à la liste publiée.
Ne traitez pas les certificats de bac à sable comme prêts pour la production. Les WRPAC de bac à sable émis pour les environnements développeur et de test ont un rôle légitime et doivent être utilisés largement dès maintenant. Ils ne portent pas la même chaîne de confiance que les certificats de production. Tenez-en compte lorsque vous communiquez aux parties prenantes métier le calendrier de passage en production.
Ne prenez pas le calendrier de votre fournisseur pour le calendrier du règlement. Plusieurs organismes d'évaluation de la conformité et autorités de certification ont publié des feuilles de route pour des services WRPAC qui suggèrent une préparation bien avant décembre 2026. Ces feuilles de route reflètent la préparation du fournisseur ; elles ne sont pas des engagements des États membres à achever leurs désignations au titre de l'article 7, paragraphe 1, à une date précise. Le fournisseur peut être prêt avant que le règlement ne s'applique et n'avoir encore aucun certificat mandaté à émettre.
Pour examiner plus précisément ce qui se trouve sur le marché et ce qui distingue les véritables chemins de production des offres prématurées, voir notre article compagnon : WRPAC de production réel ou certificat de bac à sable — comment faire la différence.
Ce qu'il faut surveiller
Trois signaux marqueront la transition entre l'état statique actuel et un marché actif de l'infrastructure WRPAC.
Le passage du drapeau WRPAC du tableau de bord à l'état publié. C'est le signal de premier ordre. Lorsqu'un État membre achèvera une désignation au titre de l'article 7, paragraphe 1, et que cette désignation remontera dans le tableau de bord eIDAS, l'indicateur WRPAC de cet État changera. Un État membre plus petit, numériquement avancé et doté d'une infrastructure d'AC mature pourrait avancer vite, mais le premier mandat publié reste une question ouverte. Tout basculement avant septembre 2026 donnerait aux parties utilisatrices une marge significative.
La mise en ligne de la liste des prestataires. Lorsque le point d'accès trust.tech.ec.europa.eu/lists/eudiw/wrpac-providers.json commencera à renvoyer un fichier JSON alimenté plutôt qu'une réponse d'accès refusé, ce fichier constituera la source de vérité lisible par machine pour les AC autorisées. Dès que cette liste devient accessible publiquement, la contrainte « non vérifiable publiquement » disparaît pour toute AC qui y figure. Construisez dès maintenant la logique de consommation de liste ; c'est le même schéma que la consommation des listes de confiance de l'UE pour les prestataires de services de confiance qualifiés, et le code est portable.
Les annonces d'États membres sur une émission WRPAC volontaire ou pilote. Certains États membres peuvent choisir de mettre en place une émission WRPAC volontaire ou pilote avant le mandat formel de décembre 2026. Les régulateurs ont historiquement organisé des phases pilotes avant les dates contraignantes dans des schémas d'identité voisins. Un chemin volontaire peut être une préparation utile, mais il doit tout de même être traité comme non productif tant que le mandat et l'ancre de confiance ne peuvent pas être publiquement vérifiés. Surveillez les annonces d'AC émanant des autorités nationales de supervision des services de confiance dans les États membres dont les calendriers de portefeuille sont les plus avancés.
Toute clarification de la Commission sur la couverture WRPAC transfrontalière. Le texte actuel du règlement (UE) 2025/848 laisse subsister une ambiguïté sur le point de savoir si une partie utilisatrice établie dans un État membre a besoin d'un WRPAC distinct pour chaque État membre dans lequel elle opère, ou si un seul WRPAC couvre les opérations à l'échelle de l'UE. Des orientations de la Commission sur ce point — sous forme de notice formelle, de Q&R ou de mise à jour de l'Architecture and Reference Framework de l'EUDI Wallet — modifieraient matériellement le nombre de relations d'AC que les parties utilisatrices doivent maintenir. C'est la question ouverte la plus lourde sur le plan opérationnel dans le cadre WRPAC.
La page de synthèse sur le règlement EUDI du portail de stratégie numérique de la Commission est le premier endroit où les clarifications formelles apparaissent souvent avant d'arriver sur EUR-Lex. Ajoutez-la à votre liste de surveillance, avec le point d'accès à la liste de confiance et le tableau de bord eIDAS.
La forme des sept prochains mois
Pour résumer l'état actuel et la séquence probable : le règlement (UE) 2025/848 est en vigueur et constitue du droit valide, mais il ne lie pas avant le 24 décembre 2026. L'absence de liste publiée de prestataires WRPAC reflète ce séquencement, pas une défaillance de mise en oeuvre. Aucun État membre n'est « en retard » sur le WRPAC, parce qu'aucun État membre n'est encore obligé. Le statut non publié dans le tableau de bord eIDAS et l'inaccessibilité du point d'accès à la liste des prestataires sont tous deux des lectures prévisibles et correctes du moment réglementaire actuel.
D'ici décembre 2026, la séquence est la suivante : les États membres désignent des AC au titre de l'article 7, paragraphe 1, ces AC publient leurs mandats et mettent en place leurs processus d'émission, la liste de confiance se remplit, puis les parties utilisatrices demandent et reçoivent des WRPAC. Une partie de cette séquence peut commencer dès le troisième trimestre 2026 dans les États les plus rapides ; une autre peut ne s'achever qu'en décembre 2026 même dans les États dont les procédures d'achat ou de désignation d'AC sont plus complexes.
La bonne réponse pour une partie utilisatrice n'est pas d'attendre décembre pour agir, ni d'acheter prématurément des offres qui ne peuvent pas encore être publiquement vérifiées. Elle consiste à construire dès maintenant l'intégration technique avec des flux open-wallet et des certificats de bac à sable, à surveiller le point d'accès à la liste de confiance et le tableau de bord pour repérer les premiers mandats publiés, et à être prête à passer rapidement par le processus de demande dès qu'un chemin vérifiable s'ouvre dans votre juridiction. Le commerçant qui arrive au quatrième trimestre 2026 avec un vérificateur OpenID4VP fonctionnel, une compréhension claire du processus de demande WRPAC dans sa juridiction principale et une infrastructure de surveillance de la liste de confiance sera dans une position nettement meilleure que celui qui a confondu l'échéance de disponibilité du portefeuille avec une échéance de disponibilité des WRPAC et découvre la dynamique des files d'attente pour la première fois en novembre.
La liste n'est pas encore publiée. Pour l'instant, c'est la bonne réponse.
Articles similaires
Comment distinguer un vrai WRPAC de production d'un certificat de bac à sable
Comme la liste officielle des prestataires WRPAC n'est pas encore publiée, tout ce qui est vendu aujourd'hui comme WRPAC de production ne peut pas être publiquement vérifié comme chaînant vers un prestataire mandaté. Voici la chaîne de vérification qui définit un vrai WRPAC, les signaux d'alerte et l'usage légitime des certificats de bac à sable.
7 min de lecture
Qu'est-ce qu'un WRPAC et pourquoi toute entreprise en ligne en aura besoin d'ici décembre 2026
L'échéance de décembre 2026 approche. Comprenez ce qu'est un certificat WRPAC et pourquoi votre entreprise doit se mettre en conformité dès maintenant.
8 min de lecture
Partager cet article
Aidez les autres à en savoir plus sur la vérification eIDAS