Ce qu'a vraiment été POTENTIAL
POTENTIAL était le plus important des quatre Large Scale Pilots européens pour le portefeuille EUDI. Il a couru d'avril 2023 à septembre 2025, fini dans les délais, et publié ses résultats consolidés en novembre 2025. Les chiffres sont d'une netteté inhabituelle pour un programme UE : 140 organisations, 19 États membres plus l'Ukraine, six cas d'usage, un seul coordinateur — l'agence française de l'identité numérique. Florent Tournois, son coordinateur, a livré la phrase qui a depuis voyagé plus loin que le rapport lui-même : les standards communs doivent être appliqués « avec rigueur » (Biometric Update, 28 novembre 2025). Toute partie utilisatrice qui prépare un lancement en 2027 devrait lire cette phrase comme un périmètre — et côté français, cela vaut tant pour les flux domestiques que pour la cohabitation à venir avec le bac à sable France Identité.
Pourquoi POTENTIAL pèse plus lourd que les autres pilotes
Les quatre pilotes — POTENTIAL, EWC, NOBID, DC4EU — n'ont jamais été équivalents. POTENTIAL était le plus large par le nombre d'organisations, le plus étendu par les cas d'usage, et le plus hétérogène par la participation des États membres. Son consortium réunissait Idemia et Amadeus côté français, la Bundesdruckerei et Deutsche Telekom côté allemand, et une longue liste de fournisseurs d'identité, banques, opérateurs, autorités de santé et administrations (consortium POTENTIAL). Là où EWC ciblait voyage et paiement et NOBID les flux nordiques, POTENTIAL a testé le problème le plus difficile : un même portefeuille, émis dans un État membre, fonctionne-t-il proprement chez un vérificateur d'un autre, sur six domaines métier sans rapport, avec des implémentations indépendantes de fournisseurs concurrents.
C'est là le sens du pilote. Faire dialoguer un portefeuille national avec un vérificateur national est relativement simple, et beaucoup d'États membres l'ont déjà résolu. Le problème difficile est l'interopérabilité transfrontalière, multi-fournisseurs, multi-cas d'usage, et POTENTIAL fut le seul à viser ces points de rupture. La participation française y a été structurante : Idemia et Amadeus ont produit des constats qui dépassent le pilote, et qui parlent directement aux équipes préparant l'articulation EUDI Wallet / France Identité dans les douze prochains mois.
Les six cas d'usage testés
eGov — services administratifs en ligne. Des citoyens se sont authentifiés transfrontalièrement auprès de portails e-gouvernementaux nationaux : un portefeuille belge sur un service municipal espagnol, un portefeuille italien sur un portail fédéral allemand. Le flux fonctionnait proprement dans les paires bilatérales bien alignées et produisait des défaillances cohérentes aux marges, surtout là où les niveaux de garantie nationaux ne se traduisent pas un à un dans le modèle eIDAS LoA. POTENTIAL a confirmé qu'il s'agit du bout simple du spectre.
Ouverture de compte bancaire. KYC à distance contre un portefeuille, à la place d'un visio-ident ou d'un passage en agence. Le flux technique est clair ; le flux réglementaire ne l'est pas. POTENTIAL a mis en évidence la tension toujours non résolue entre exigences AMLD et divulgation sélective : les banques veulent tout, le portefeuille partage le minimum, et l'acceptation juridique d'un KYC purement attributaire diffère selon les superviseurs nationaux. Plusieurs banques pilotes ont gardé un parcours de dépôt de pièces en parallèle pour satisfaire la conformité, même quand le flux portefeuille aboutissait. Pour un établissement français sous ACPR, c'est la leçon opérationnelle directe.
Activation SIM et eSIM — multi-portefeuille chez Deutsche Telekom. La branche la plus intéressante sur le plan opérationnel. Deutsche Telekom a testé l'activation de SIM en parallèle contre plusieurs implémentations issues de différents États membres — la réalité qu'un opérateur français rencontrera en 2027. Constats sobres : même au sein de POTENTIAL, où chaque portefeuille suit la même référence d'architecture, le comportement protocolaire divergeait assez pour imposer une logique conditionnelle par portefeuille côté vérificateur.
Permis de conduire mobile (mDL). Le cas d'usage au standard international le plus mature (ISO/IEC 18013-5) et, sans surprise, au comportement transfrontalier le plus propre. Les implémentations mDL ont interopéré plutôt bien, surtout en hors-ligne ISO/IEC 18013-5. Les cas délicats portaient sur la présentation en ligne via OpenID4VP, où le profil mdoc-over-OpenID4VP se consolidait encore pendant le pilote.
Signature électronique qualifiée (QES). QES médiée par le portefeuille contre QSCD distant, alignée sur ETSI TS 119 475. Le flux cryptographique fonctionnait. Le flux à valeur juridique a exposé la variation nationale dans l'acceptation par les QTSP de l'authentification attestée par portefeuille. La QES est, pour la plupart des vérificateurs, plutôt un sujet 2027 que 2026.
E-prescription. Ordonnances transfrontalières contre des pharmacies dans un autre État membre. Le set d'attributs santé est plus sensible que tout autre du pilote et se heurte à des réglementations nationales qui résistent à l'harmonisation. Techniquement viable, juridiquement contraint, et dépendant des travaux parallèles dans l'Espace européen des données de santé plutôt que de la pile portefeuille seule.
À travers les six cas, le motif est constant : la couche technique mûrit plus vite que les couches juridique et opérationnelle. Cadrer un lancement 2027 suppose de planifier le mapping réglementaire comme un chantier parallèle à l'intégration — pas comme une signature finale.
Leçon 1 — Les standards ne sont pas optionnels
Tournois n'a pas dit que les standards sont importants. Il a dit qu'ils doivent être appliqués « avec rigueur ». La distinction compte. Sur l'ensemble de POTENTIAL, les défaillances d'interopérabilité dominantes ne venaient pas de standards manquants — le profil OpenID4VP, ISO/IEC 18013-5, ETSI TS 119 475 et le cadre EU Architecture and Reference Framework existaient tous avant le démarrage du pilote. Les défaillances venaient d'implémentations qui ont lu les standards de façon souple.
Le type de divergence concrète qu'une partie utilisatrice doit anticiper en intégrant plusieurs portefeuilles est bien connu de l'ingénierie multi-fournisseurs : profils OpenID4VP où un portefeuille attend client_id_scheme=x509_san_dns et un autre redirect_uri ; cas d'encodage mdoc autour de la canonicalisation CBOR, qui passent dans une bibliothèque et échouent dans une autre ; structures de presentation-definition qu'un vérificateur accepte comme JSON Schema tandis qu'un autre les rejette comme non conformes à Presentation Exchange 2.0 ; différences de traitement des sels en divulgation sélective entre implémentations SD-JWT-VC. Le résumé public de POTENTIAL n'énumère pas ces points, mais c'est précisément la classe de défaillance que visait le « avec rigueur » de Tournois — et le type de cassure que rencontrent en 2026 les équipes vérificateur testant contre plus d'un portefeuille.
Pour un vérificateur, « rigoureux » se traduit en pratique d'ingénierie. Épingler le profil OpenID4VP précis ciblé par les portefeuilles concernés — pas « OpenID4VP » en général. Tester avant lancement contre plusieurs implémentations, pas une seule. Traiter la suite de conformité de l'OpenID Foundation comme une base de référence, pas comme un jalon. Lire le cadre EU Reference Framework comme un périmètre contraignant, pas comme une source d'inspiration. Sauter l'étape conformité au lancement, c'est hériter en production des divergences que POTENTIAL a fait apparaître en test.
Leçon 2 — L'interopérabilité transfrontalière est le problème non résolu
C'est la leçon qui menace le plus directement les lancements de 2027. Même au sein de POTENTIAL — un programme coordonné aux documents d'architecture partagés, à l'infrastructure de test partagée et au financement partagé — plusieurs portefeuilles n'ont pas interopéré proprement avec plusieurs vérificateurs sortis de la boîte. Les paires fonctionnaient. La matrice complète N-par-M, non.
L'implication pour les commerçants transfrontaliers en 2027 est inconfortable. eIDAS 2 confère aux citoyens européens le droit d'utiliser leur portefeuille auprès d'un vérificateur dans n'importe quel État membre. La réalité technique, sur les constats POTENTIAL, est que l'acceptation universelle sera inégale dans les 12 à 18 premiers mois. Certaines paires portefeuille-vérificateur seront solides dès janvier 2027. D'autres demanderont une gestion conditionnelle, des particularités spécifiques au fournisseur, ou des parcours de repli temporaires.
Les vérificateurs qui servent un trafic transfrontalier ne devraient pas traiter « support EUDI Wallet » comme une capacité unique. Mieux vaut planifier « support EUDI Wallet par cluster d'émetteur », avec un set testé de portefeuilles nationaux au lancement et une feuille de route explicite pour la suite. Concrètement, publier — en interne et auprès du support — lesquels sont testés-et-fonctionnels, testés-et-dégradés, ou non encore testés. Les marchands qui sautent ce phasage hériteront des tickets d'interop.
Leçon 3 — Le scoping d'attributs paie
La divulgation sélective est la fonctionnalité qui a le mieux survécu au contact du réel. Sur les six cas, les vérificateurs POTENTIAL qui demandaient uniquement le minimum d'attributs nécessaires ont signalé des parcours plus fluides, un consentement plus rapide et un drop-off plus faible. Ceux qui demandaient davantage — identité complète quand seul l'âge était utile, adresse quand seul le pays comptait — ont produit une friction visible.
En pilote, cette friction se traduit par une baisse du taux de complétion. En production, après 2027, la même surdemande produira quelque chose de plus coûteux : la vigilance réglementaire. eIDAS 2 et le principe de minimisation des données du RGPD lient les vérificateurs à demander le plus petit ensemble d'attributs satisfaisant au cas d'usage. Les autorités de protection des données — CNIL en tête — examineront très probablement le flux portefeuille avec ce prisme, et les vérificateurs qui surdemandent seront les cibles les plus faciles.
Le mouvement pratique est d'inscrire le scoping d'attributs dans la conception dès le premier jour. Documenter, par flux, les attributs strictement nécessaires ; livrer cela comme requête de présentation en production ; et résister à la tentation de « tout demander au cas où ». Les données POTENTIAL confirment que les flux à attributs minimaux convertissent mieux. L'argument conformité et l'argument conversion pointent dans la même direction.
Leçon 4 — Les flux d'âge seul sont la voie la plus simple vers un ROI précoce
Enfoui dans les résultats par cas d'usage de POTENTIAL, un constat mérite d'être isolé. Sur les six cas d'usage, les combinaisons d'attributs qui fonctionnaient le plus régulièrement entre fournisseurs de portefeuille et vérificateurs étaient les plus simples — et la plus régulière de toutes était l'âge. Âge supérieur à 18 ans, âge supérieur à 21 ans, tranche d'âge : ces flux ont mieux résisté à la diversité des implémentations que l'identité complète, que nom-et-adresse, que la QES.
La raison est structurelle. Les attributs d'âge ont la plus petite surface spécifique, le plus petit périmètre de divulgation sélective et la plus longue histoire de standardisation (ISO/IEC 18013-5 porte les attributs d'âge mDL depuis des années). Les fournisseurs de portefeuille les ont implémentés en premier et les ont testés le plus. Les vérificateurs les ont câblés avec le moins de cas particuliers.
Pour une partie utilisatrice française qui prépare un lancement 2027, cela dessine une stratégie de séquencement claire. Intégrer d'abord la vérification d'âge — alcool, tabac, jeux d'argent, contenus à accès restreint, places de marché régulées — puis étendre aux flux d'identité complète à mesure que l'écosystème mûrit. Ceux qui séquencent dans cet ordre verront un ROI réel dès le T1 et le T2 2027. Ceux qui visent directement l'onboarding d'identité complète passeront ces mois en débogage.
Ce n'est pas un compromis. Les flux d'âge seul constituent un marché substantiel et croissant, et l'écosystème de lancement est mieux équipé pour les livrer. C'est aussi la voie la moins risquée pour acquérir une expérience opérationnelle en production avant d'élargir le périmètre.
Leçon 5 — La conception des fallbacks sépare le production-ready du pilot-ready
Le constat organisationnel le plus clair de POTENTIAL est aussi le plus facile à ignorer. Sur les six cas, les vérificateurs qui ont survécu aux cas particuliers — appareils perdus, justificatifs expirés, porteurs transfrontaliers, utilisateurs qui abandonnaient à mi-chemin — disposaient de parcours de repli hors-portefeuille bien conçus. Ceux qui n'en avaient pas se rabattaient sur des processus manuels quand le flux échouait.
En langage de pilote, « processus manuel » dit poliment file d'attente du service client, rendez-vous en agence, ou ticket de support. Aucune de ces voies ne passe à l'échelle, et toutes transfèrent silencieusement le coût d'un fallback manquant sur le budget des opérations. Les vérificateurs qui ont traité le fallback comme un parcours de production de premier rang — en le concevant, en l'instrumentant, en formant le support — ont conservé des flux utilisables. Ceux qui l'ont ajouté en bricolage l'ont vu casser face aux mêmes cas.
La leçon pour 2027 est directe. Un flux 100 % portefeuille au lancement est un problème de fiabilité auto-infligé. Chaque intégration portefeuille devrait être livrée avec au moins une voie explicite hors-portefeuille : le flux d'eID national existant lorsque c'est possible (en France, l'articulation avec France Identité et FranceConnect+), une voie de dépôt de pièces pour les non-résidents et les cas particuliers, un parcours en agence là où le modèle d'affaires le permet. Le fallback n'est pas un échafaudage temporaire à retirer en 2028. Il fait partie du design de production — et selon les preuves de POTENTIAL, c'est ce qui sépare les vérificateurs qui passeront sereinement le T1 2027 de ceux qui ne le passeront pas.
En substance
POTENTIAL est ce que l'UE a de plus proche d'un test de fumée en production pour le portefeuille EUDI. Deux ans et demi, 140 organisations, 19 pays, six cas d'usage sans rapport — des constats publiés avant que les échéances ne deviennent contraignantes. Lisez ses constats comme une checklist de readiness. Rigueur sur les standards, tests d'interop multi-portefeuilles, minimisation d'attributs, séquencement âge-d'abord, parcours de repli — cinq engagements concrets contre lesquels chaque partie utilisatrice peut auditer son backlog dès aujourd'hui. Tout ce qui ne peut être honnêtement coché avant le T3 2026 est un bloqueur 2027. Le pilote est terminé. Les échéances ne le sont pas.
Partager cet article
Aidez les autres à en savoir plus sur la vérification eIDAS