Qu'est-ce qu'un WRPAC et pourquoi toute entreprise en ligne en aura besoin d'ici décembre 2026

Le compte à rebours est lancé. Dans moins de dix mois, l'infrastructure du portefeuille européen d'identité numérique (EUDI Wallet) entrera en service dans toute l'Europe. Si votre entreprise vérifie l'identité ou l'âge de citoyens de l'UE, vous devez comprendre les certificats WRPAC et vous préparer dès maintenant.

Qu'est-ce qu'un certificat WRPAC ?

WRPAC signifie Wallet Relying Party Access Certificate. En pratique, c'est l'« autorisation d'accès » de votre entreprise pour demander des informations d'identité aux citoyens européens via leur portefeuille d'identité numérique.

À partir de décembre 2026, lorsqu'une personne voudra prouver son âge pour acheter de l'alcool en ligne, vérifier son identité pour un service financier ou confirmer ses qualifications professionnelles, elle le fera via son application nationale EUDI Wallet, et non plus en envoyant une photo de son permis de conduire ou de son passeport. Et pour demander cette vérification, votre entreprise devra disposer d'un certificat WRPAC valide.

Sans certification WRPAC, vous ne pourrez pas vérifier des citoyens de l'UE via le système officiel EUDI Wallet. C'est aussi simple que cela.

L'architecture à double certificat

Le WRPAC n'est pas un certificat unique : c'est en réalité un système à deux certificats, conçu pour concilier sécurité et transparence.

1. Certificat d'accès (WRPAC)

Le certificat d'accès est l'attestation cryptographique qui permet à votre entreprise de communiquer techniquement avec les EUDI Wallets. Il est délivré par un prestataire de services de confiance qualifié (QTSP) et prouve que vous êtes une partie utilisatrice autorisée.

Ce certificat :

• Permet une communication sécurisée avec les applications wallet
• Authentifie vos requêtes auprès des wallets des utilisateurs
• Doit être renouvelé périodiquement (en général chaque année)
• Doit être obtenu auprès d'un QTSP qualifié

2. Certificat d'enregistrement

Le certificat d'enregistrement est votre preuve d'enregistrement auprès de votre autorité nationale de supervision. C'est la base juridique qui vous rend éligible à l'obtention d'un certificat d'accès.

Cet enregistrement :

• Documente vos cas d'usage prévus et les données demandées
• Rend votre identité et votre finalité publiquement transparentes
• Doit être maintenu dans votre État membre d'établissement
• Doit être mis à jour dès que votre cas d'usage évolue

Important : vous ne pouvez pas obtenir de certificat d'accès sans avoir d'abord finalisé l'enregistrement. Les deux sont obligatoires au titre de l'article 5b du règlement eIDAS (UE) 2024/1183.

Article 5b : ce que chaque Relying Party doit faire

L'article 5b du règlement eIDAS 2.0 précise exactement ce qui est requis pour devenir une Relying Party. Voici vos obligations.

Exigences d'enregistrement

Votre entreprise doit s'enregistrer auprès de l'autorité compétente de son État membre d'établissement et déclarer :

1. Qui vous êtes : établissement légal, adresse enregistrée et identité officielle
2. Ce que vous demandez : attributs précis demandés aux utilisateurs (âge, identité, qualifications professionnelles, etc.)
3. Pourquoi vous en avez besoin : cas d'usage visés et base légale de la demande

Cet enregistrement doit rester d'un coût raisonnable et proportionné au risque ; les autorités ne peuvent donc pas imposer des charges financières ou administratives disproportionnées simplement pour vous enregistrer.

Obligations continues

Une fois enregistré, vous avez des responsabilités permanentes :

• Déclarer les changements sans délai : si votre cas d'usage change ou si vous voulez demander de nouveaux attributs, vous devez informer votre autorité nationale
• Vous identifier clairement auprès des utilisateurs : lorsque le wallet d'un utilisateur affiche votre demande de vérification, il doit indiquer clairement qui vous êtes et ce que vous demandez
• Accepter des pseudonymes lorsque c'est autorisé : si votre cas d'usage ne requiert pas légalement une identification complète, vous devez accepter des justificatifs pseudonymes

Transparence publique

Votre enregistrement n'est pas confidentiel. Les autorités nationales tiennent des registres publics des Relying Parties, afin que les utilisateurs et les régulateurs puissent vérifier que vous êtes légitimement enregistré.

Cette transparence est volontaire : elle renforce la confiance dans l'écosystème EUDI et permet aux utilisateurs de vérifier que les entreprises qui demandent leurs données sont bien légitimes et supervisées.

État actuel : où en sommes-nous en février 2026 ?

Voici la situation à date.

Ce qui est prêt

• Les normes sont finalisées : la norme ETSI TS 119 475 pour les WRPAC a été publiée en octobre 2025 et définit les spécifications techniques des certificats d'accès
• Le cadre juridique est en vigueur : le règlement (UE) 2024/1183 (eIDAS 2.0) est applicable depuis mai 2024, avec un article 5b pleinement applicable
• Le calendrier est fixé : l'échéance de décembre 2026 pour la disponibilité des EUDI Wallets est confirmée

Ce qui n'est pas encore prêt

• Aucune infrastructure opérationnelle d'enregistrement RP : en février 2026, aucun État membre n'a encore déployé de système d'enregistrement des Relying Parties en production
• Les QTSP se préparent : les prestataires qualifiés se préparent à émettre des certificats WRPAC, mais ne peuvent pas le faire tant que les enregistrements RP ne sont pas opérationnels
• Calendrier attendu : le consensus du secteur anticipe une ouverture des infrastructures d'enregistrement RP vers mi-2026, laissant aux entreprises environ 6 mois pour s'enregistrer avant le lancement de décembre

La charge de conformité : ce qu'implique un WRPAC en autonomie

Si vous envisagez d'obtenir votre propre WRPAC, voici à quoi vous vous engagez.

1. Processus d'enregistrement en tant que Relying Party

• Utiliser le portail d'enregistrement de votre pays d'établissement (chaque État membre a son propre système)
• Préparer les pièces prouvant votre établissement légal et vos usages prévus
• Soumettre les déclarations sur les attributs de données demandés
• Régler les frais d'enregistrement (variables selon les pays)
• Attendre la validation par l'autorité (délais encore incertains)

2. Obtention du certificat WRPAC

• Sélectionner un prestataire de services de confiance qualifié (QTSP)
• Fournir le certificat d'enregistrement comme preuve d'éligibilité
• Finaliser les étapes de vérification d'identité et d'onboarding du QTSP
• Acheter puis renouveler les certificats d'accès (tarification pas encore publique)
• Gérer le cycle de vie des certificats et les échéances de renouvellement

3. Intégration des listes de confiance

C'est là que la complexité augmente. Vous devez :

• Vous intégrer aux listes de confiance des 27 États membres
• Gérer les implémentations wallet de plus de 27 systèmes nationaux
• Prendre en charge plusieurs formats de justificatifs (SD-JWT VC, mdoc)
• Implémenter correctement le protocole OpenID4VP
• Maintenir la compatibilité au fil de l'évolution des standards

4. Maintenance de conformité continue

• Suivre les évolutions de votre cas d'usage et les notifier à l'autorité nationale
• Maintenir à jour le certificat d'enregistrement
• Renouveler les certificats d'accès selon le calendrier
• Rester aligné sur les mises à jour des standards techniques
• Répondre aux demandes du régulateur ou aux audits

Effort estimé : internaliser ce chantier peut représenter 6 à 12 mois de développement, une équipe conformité dédiée et une charge opérationnelle récurrente.

Qui est concerné ?

Si votre entreprise réalise l'une des actions suivantes avec des citoyens de l'UE, vous aurez besoin d'une certification WRPAC d'ici décembre 2026 :

• Vérification d'âge pour l'alcool, le tabac, les jeux d'argent, les contenus adultes
• Vérification d'identité pour les services financiers (KYC/AML)
• Vérification de qualifications professionnelles pour le recrutement ou des licences
• Vérification d'adresse pour la livraison ou la conformité juridique
• Vérification de diplômes pour l'admission ou l'emploi

En résumé : si vous vérifiez numériquement des citoyens de l'UE, vous avez besoin d'une conformité WRPAC.

Pourquoi se préparer dès maintenant : l'intérêt d'agir tôt

Vous pensez peut-être : « Nous ne sommes qu'en février 2026. Décembre est encore loin. Pourquoi se presser ? »

Voici pourquoi l'anticipation est décisive.

1. Incertitude sur l'ouverture des infrastructures d'enregistrement

Personne ne sait exactement quand les portails nationaux seront ouverts. S'ils ouvrent en juin et que vous attendez novembre, vous risquez :

• Des retards de traitement
• Des files d'attente de dossiers
• Des contraintes de capacité côté autorités
• Des problèmes techniques sur des systèmes nouvellement lancés

2. Construire et tester en mode DEMO

Les entreprises les plus avancées intègrent dès aujourd'hui la vérification EUDI Wallet en mode DEMO et en mode MOCK. En décembre 2026, elles n'auront qu'à basculer en production. Celles qui attendent devront gérer à la fois la course à la conformité et l'intégration technique, un scénario classique de délais manqués.

3. Avantage concurrentiel

Être prêt dès le premier jour signifie :

• Aucune interruption de service au lancement des EUDI Wallets
• Une communication commerciale valorisant votre niveau de conformité
• La capacité de capter les utilisateurs précoces de la vérification respectueuse de la vie privée
• L'évitement d'un retour temporaire à des parcours d'identification obsolètes qui dégradent la confiance

L'alternative : les services d'agrégateur

Voici la réalité que découvrent de nombreuses entreprises : vous n'êtes pas obligé d'obtenir votre propre WRPAC.

L'article 5b(10) du règlement eIDAS autorise explicitement des intermédiaires à agir comme Relying Parties pour le compte des commerçants. Des services comme eIDAS Pro prennent en charge :

• L'enregistrement RP au Luxembourg (valable dans les 27 États membres via le passeport européen)
• L'obtention et le renouvellement des certificats WRPAC
• L'intégration aux listes de confiance de tous les systèmes wallet nationaux
• La conformité continue et le reporting réglementaire
• L'implémentation des protocoles techniques (OpenID4VP, SD-JWT VC, mdoc)

Vous appelez une API. Ils gèrent l'infrastructure de conformité. Le wallet de l'utilisateur affiche à la fois l'identité de l'agrégateur et la vôtre, garantissant une transparence complète.

Pour la plupart des entreprises, c'est la voie la plus intelligente. Vous consacrez vos ressources de développement à votre produit cœur de métier, pendant que des spécialistes gèrent la complexité réglementaire.

Calendrier jusqu'à décembre 2026

Voici à quoi devraient ressembler les dix prochains mois.

Mi-2026 (prévision) :

• Ouverture des infrastructures d'enregistrement RP dans les États membres
• Début de l'émission des certificats WRPAC par les QTSP pour les Relying Parties enregistrées
• Finalisation des enregistrements et obtention des certificats par les premiers acteurs

Décembre 2026 :

• Mise en service des EUDI Wallets dans toute l'UE
• Disponibilité de la vérification via wallet
• Démarrage des vérifications en production pour les Relying Parties certifiées WRPAC

Décembre 2027 :

• Échéance de conformité obligatoire pour les secteurs régulés
• Restrictions possibles sur les méthodes de vérification traditionnelles
• Maturité de marché attendue à grande échelle

Prochaines étapes : deux voies possibles

Voie 1 : passer par un agrégateur (la plupart des entreprises)

Si vous voulez vous concentrer sur votre activité plutôt que sur l'infrastructure de conformité :

1. Commencez l'intégration dès aujourd'hui en mode DEMO
2. Testez vos parcours en mode MOCK
3. Soyez prêt pour la production en décembre 2026 sans effort d'enregistrement

Voie 2 : obtenir votre propre WRPAC (grandes entreprises)

Si vous avez besoin d'un contrôle total et d'une conformité internalisée :

1. Surveillez l'ouverture des infrastructures d'enregistrement dans votre pays (prévue mi-2026)
2. Préparez dès maintenant la documentation pour l'enregistrement RP
3. Sélectionnez un QTSP pour l'obtention du certificat
4. Construisez l'intégration technique avec les standards wallet

Ou envisagez une troisième voie : des services de conseil qui fournissent un dossier documentaire et un accompagnement technique pour mener votre propre enregistrement WRPAC tout en gardant la maîtrise.

Conclusion

Le WRPAC n'est pas une option : c'est une obligation pour toute entreprise qui veut vérifier des citoyens de l'UE via des portefeuilles d'identité numérique à partir de décembre 2026. Les exigences de conformité de l'article 5b sont claires, et l'échéance est fixée.

La vraie question n'est pas de savoir si vous avez besoin d'une conformité WRPAC. La vraie question est comment vous allez l'obtenir : en interne, via un agrégateur, ou avec un accompagnement conseil.

Une chose est certaine : le moment de se préparer, c'est maintenant. N'attendez pas décembre pour penser conformité. Construisez et testez dès aujourd'hui pour être prêt quand l'ère du portefeuille EUDI commencera.

---

Prêt à démarrer ? eIDAS Pro propose actuellement un accès en mode DEMO aux premiers utilisateurs. Intégrez dès maintenant et soyez prêt pour les vérifications WRPAC en production en décembre 2026, sans charge d'enregistrement pour votre équipe.

Commencer maintenant | Découvrir le modèle agrégateur

Articles similaires

L'avantage de l'agrégateur : pourquoi les entreprises avisées ne demanderont pas leur propre WRPAC

L'article 5b(10) permet à des intermédiaires de gérer la conformité WRPAC à votre place. Voici pourquoi c'est le choix le plus intelligent pour la plupart des entreprises.

10 min de lecture

Enregistrement eIDAS 2.0 des Relying Parties : le guide complet

Tout ce qu'il faut savoir pour vous enregistrer comme Relying Party au titre de l'article 5b du règlement eIDAS 2024/1183.

12 min de lecture