eIDAS 2.0 : quelles obligations concrètes pour les entreprises en Europe ?

eIDAS 2.0 : quelles obligations pour les entreprises ? Comprenez qui doit accepter le EUDI Wallet, les impacts juridiques, RGPD et les enjeux pour les loueurs de voitures en Europe. Guide clair et à jour 2026.

Introduction

Dans nos articles précédents, nous avons couvert le cadre réglementaire eIDAS 2.0 et la directive permis 2025/2205, puis le fonctionnement technique du EUDI Wallet (4 acteurs, standards OpenID4VC, ISO 18013-5).

Reste une question pratique pour les directions juridiques et opérationnelles : eIDAS 2.0 m'impose-t-il quelque chose ?

La réponse est plus nuancée qu'un simple oui/non. Le règlement crée un système à trois niveaux d'obligation, qui s'appliquent différemment selon le secteur. Cet article fait le point sur ce qui est juridiquement contraignant, ce qui découle d'obligations préexistantes, et ce qu'une entreprise — y compris une agence de location de véhicules — doit anticiper.

Les trois cercles d'obligation

eIDAS 2.0 ne crée pas une obligation universelle pour toutes les entreprises. Le règlement organise les obligations selon une logique en trois cercles concentriques.

Cercle 1 — Obligations directes d'acceptation

Certaines catégories d'entités sont explicitement obligées d'accepter le EUDI Wallet quand un utilisateur le présente :

  • Les très grandes plateformes en ligne (VLOP) désignées au titre du règlement DSA (Digital Services Act, UE 2022/2065). Le DSA définit comme VLOP les plateformes ayant au moins 45 millions d'utilisateurs actifs mensuels dans l'UE.
  • Certaines parties privées concernées, notamment dans les domaines explicitement mentionnés par le règlement (transport, énergie, banque, santé, éducation, télécommunications, etc.) et tenues par le droit de l'Union ou national à une authentification forte ou à une vérification d'identité. Attention : tous les services de ces secteurs ne sont pas automatiquement concernés. Il faut une obligation légale spécifique d'authentification forte ou d'identification pour entrer dans le champ d'application — ce qui couvre par exemple les services de paiement régulés par PSD2, mais pas nécessairement l'ensemble des services bancaires.
  • Les administrations publiques des États membres pour les services en ligne nécessitant une identification forte (logique déjà présente dans eIDAS 1.0 pour la reconnaissance transfrontalière, renforcée par 2.0).

Sources :

Cercle 2 — Obligations indirectes

Beaucoup d'entreprises ne sont pas explicitement nommées par eIDAS 2.0, mais sont déjà soumises à des obligations légales préexistantes de vérification d'identité. Ces obligations préexistantes sont désormais satisfiables — et bientôt naturellement satisfaites — via le wallet.

Exemples typiques :

  • KYC / AML pour les banques, fintech, assureurs, plateformes crypto
  • Vérification d'âge pour la vente d'alcool, de tabac, de jeux d'argent en ligne
  • Vérification du droit de conduire pour la location de véhicules : obligation contractuelle et opérationnelle du loueur, qui doit s'assurer que le conducteur est titulaire du permis correspondant au véhicule loué (exigence reprise dans la plupart des États membres)
  • Vérification de qualification professionnelle pour certains métiers réglementés

L'obligation préexistante demeure ; le wallet devient simplement un moyen de la satisfaire — souvent plus efficacement et plus économiquement que l'analyse de documents physiques ou scans.

Cercle 3 — Acceptation volontaire

Pour toutes les autres entreprises, l'acceptation du wallet est encouragée mais non obligatoire. Le règlement vise à créer un écosystème où l'usage du wallet devient progressivement la norme, par effet d'entraînement plutôt que par contrainte centralisée.

Les acteurs qui adopteront tôt en bénéficieront sur trois plans :

  • réduction des coûts de vérification documentaire
  • réduction de la fraude
  • expérience client améliorée

Le cas spécifique des loueurs de véhicules

Les loueurs de véhicules ne sont pas explicitement nommés dans eIDAS 2.0. Ils relèvent du cercle 2 (obligations indirectes) :

  • En pratique, les loueurs vérifient contractuellement la validité du permis avant la remise du véhicule. Cette exigence découle des conditions de location, de la responsabilité opérationnelle du loueur et du fait qu'un conducteur doit être titulaire du permis correspondant au véhicule conduit.
  • Des obligations et pratiques équivalentes existent dans la plupart des États membres
  • À mesure que le permis de conduire numérique (issu de la directive 2025/2205) sera déployé, le wallet deviendra un moyen naturel — voire dominant — de satisfaire cette vérification

Conséquence pratique : un loueur n'est pas obligé de mettre en place une infrastructure d'acceptation du wallet immédiatement. Mais à mesure que les clients posséderont un permis numérique dans leur wallet, le refus d'accepter ce moyen de preuve pourrait devenir difficile à justifier commercialement et opérationnellement, selon l'évolution des textes nationaux et des usages.

Obligations en matière de protection des données

Le règlement encadre strictement le traitement des données qui transitent via le wallet. Pour les entreprises en position de Relying Party, cela ajoute des obligations spécifiques au-dessus du RGPD, sans le remplacer.

1. Minimisation renforcée

Une entreprise ne peut demander que les attributs strictement nécessaires à la finalité déclarée. Demander la photo, l'adresse complète et le numéro de permis quand seuls l'âge et la catégorie sont requis est non conforme. C'est un durcissement opérationnel par rapport à la pratique actuelle où on photocopie souvent l'intégralité du document.

2. Finalité déclarée et limitée

Chaque demande d'attributs doit s'accompagner d'une finalité explicite, communiquée à l'utilisateur au moment de la demande. Pas de réutilisation des données pour d'autres usages sans nouveau consentement.

3. Pas de profilage par le Wallet Provider

Le règlement interdit explicitement au Wallet Provider de suivre ou profiler l'utilisateur via ses présentations de wallet. Les Relying Parties n'ont pas non plus à agréger les présentations à des fins de profilage transversal.

4. Articulation avec le RGPD

eIDAS 2.0 complète le RGPD, sans le remplacer. Toutes les exigences classiques RGPD restent applicables aux attributs reçus :

  • base légale
  • durée de conservation
  • droit à l'effacement
  • droit d'accès
  • registre de traitements
  • DPIA si traitement à risque

Sources :

Sanctions et autorités compétentes

eIDAS 2.0 ne fixe pas de barème de sanctions à l'échelle européenne. Le règlement laisse cette responsabilité aux États membres, qui doivent :

  • désigner une ou plusieurs autorités compétentes chargées du contrôle
  • mettre en place des sanctions effectives, proportionnées et dissuasives
  • coordonner avec les autorités de protection des données nationales (CNIL en France) pour les aspects RGPD

En pratique, les entreprises qui violeraient les obligations de l'eIDAS 2.0 (par exemple en demandant plus d'attributs que nécessaire, ou en refusant d'accepter le wallet alors qu'elles font partie du cercle 1) s'exposent à :

  • Sanctions administratives nationales — montants variables selon l'État membre, à confirmer dans chaque transposition
  • Sanctions RGPD si la violation touche aussi à la protection des données. Le RGPD prévoit des amendes administratives pouvant atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros (le plus élevé des deux), pour les violations les plus graves (article 83 du RGPD)

Sources :

Checklist de mise en conformité

Pour une entreprise qui anticipe les obligations eIDAS 2.0, voici les chantiers à lancer par horizon temporel.

À court terme (2026)

  • Cartographier vos obligations actuelles de vérification d'identité (KYC, AML, vérification d'âge, droit de conduire, etc.) — c'est la photo de votre exposition au cercle 2
  • Identifier précisément les attributs nécessaires à chacun de ces processus, et seulement ceux-là
  • Ouvrir un dialogue avec votre éditeur logiciel : compte-t-il intégrer OpenID4VP ? Sur quel calendrier ? Quels formats d'attestations supportés ?

À moyen terme (2026-2027)

  • Préparer l'enregistrement comme Relying Party auprès de l'autorité nationale compétente (les modalités seront publiées au cours du déploiement national)
  • Mettre à jour vos CGV et politique RGPD pour intégrer le traitement des attributs reçus via wallet
  • Adapter vos processus métier au retour partiel d'attributs (vous n'aurez plus systématiquement le numéro de permis ou l'adresse, par exemple)
  • Former vos équipes commerciales et opérationnelles au nouveau parcours client

En continu

  • Suivre les actes d'exécution publiés par la Commission européenne et leurs transpositions nationales
  • Audit interne régulier sur la minimisation des données demandées — c'est le point le plus susceptible de dériver dans le temps

Le risque de l'attentisme

Beaucoup d'entreprises adoptent une posture de « on attend que ce soit obligatoire ». Cette approche présente trois risques concrets :

  1. Risque concurrentiel. Un loueur qui propose la location 100 % digitale via wallet en 2027 captera une clientèle exigeante avant ses concurrents qui restent au comptoir. L'expérience d'identification sans friction devient un argument commercial.
  2. Risque opérationnel. Une intégration en urgence quand la réglementation se durcit conduit typiquement à des bugs, du mauvais paramétrage et de la non-conformité RGPD induite. Le coût d'une mise en conformité « à chaud » est plusieurs fois supérieur à celui d'une intégration anticipée.
  3. Risque juridique. Si votre secteur bascule dans le cercle 1 (obligation directe) sans anticipation, vous vous exposez à des sanctions et à des contentieux clients dès l'entrée en vigueur de la nouvelle obligation.

Inversement, l'adoption précoce :

  • donne un avantage commercial documenté
  • permet de réduire le coût unitaire de l'identification documentaire
  • améliore la conformité RGPD via la minimisation native du wallet (vous demandez et stockez moins de données par construction)

Conclusion

eIDAS 2.0 n'oblige pas « toutes les entreprises » à intégrer le EUDI Wallet du jour au lendemain. Le règlement crée plutôt un système à trois niveaux : obligation directe pour les grandes plateformes et secteurs régulés, obligation indirecte pour les entreprises soumises à des vérifications d'identité préexistantes, acceptation volontaire pour les autres.

Pour la quasi-totalité des entreprises, et en particulier pour les loueurs de véhicules, la question n'est donc pas « dois-je le faire ? » mais « quand vais-je le faire — avant ou après mes concurrents ? ».

Sources

Textes officiels

Articles précédents de cette série

Note méthodologique

Cet article distingue volontairement les obligations directes (qui s'imposent à des catégories explicitement nommées dans le règlement et le DSA) des obligations indirectes (qui découlent de lois sectorielles préexistantes), pour éviter les généralisations abusives qu'on lit souvent dans la presse non spécialisée. Cette distinction n'est pas formellement nommée par le règlement mais reflète la lecture juridique communément admise.

Les modalités exactes peuvent évoluer avec :

  • les transpositions nationales propres à chaque État membre
  • les actes d'exécution publiés par la Commission européenne
  • la désignation des autorités compétentes dans chaque pays
  • la jurisprudence à venir sur les premiers contentieux

Aucun barème de sanctions « eIDAS 2.0 » spécifique n'est cité dans cet article : les sanctions seront fixées par chaque État membre dans sa loi de transposition, et les chiffres qui circulent dans la presse à ce stade ne sont pas sourcés sur des textes officiels publiés. Seuls les plafonds RGPD (article 83), qui s'appliquent aux violations qui affectent aussi la protection des données, sont citables car établis par le droit en vigueur.

P2R

Équipe PASS2RENT

Notre équipe d'experts partage des conseils, des astuces et les meilleures pratiques pour vous aider à réussir dans le secteur de la location de voitures. Restez à l'écoute pour plus de contenu précieux !

Sujets:Car RentalBusiness
Partager:

Envie de lire plus ?

Explorez plus d'articles de cette catégorie et restez informé des dernières informations.

Voir plus d'articles