eIDAS 2 : le nouveau règlement européen expliqué en 2026

Introduction : pourquoi eIDAS 2 change tout pour les entreprises européennes

Entré en vigueur le 20 mai 2024 après une longue gestation législative, le règlement eIDAS 2 — officiellement dénommé Règlement (UE) 2024/1183 — représente la réforme la plus ambitieuse jamais entreprise dans le domaine de l'identification électronique et des services de confiance en Europe. Il abroge et remplace partiellement le règlement eIDAS initial de 2014 (n°910/2014), tout en maintenant la compatibilité ascendante avec l'infrastructure existante. Pour les entreprises qui recourent à la signature électronique conforme eIDAS, cette refonte introduit des obligations nouvelles, des opportunités inédites et un calendrier de conformité serré jusqu'en 2026 et au-delà. Cet article décrypte en profondeur les dispositions clés du texte, leurs implications opérationnelles et la manière dont votre organisation peut s'y préparer.

---

Ce que le règlement eIDAS 2 modifie fondamentalement

Du règlement de 2014 à la version 2024 : une refonte structurelle

Le règlement eIDAS originel de 2014 avait posé les bases de la reconnaissance mutuelle des schémas d'identification électronique entre États membres et établi un cadre juridique unifié pour les services de confiance (signature, cachet, horodatage, etc.). Mais dix ans plus tard, les limites étaient criantes : taux d'adoption faible des eID notifiés, fragmentation des solutions nationales, absence d'un portefeuille numérique universel pour les citoyens, et surtout inadaptation aux usages du web (GAFAM exclus du cadre de confiance).

eIDAS 2 corrige ces lacunes sur trois axes majeurs :

1. Le portefeuille européen d'identité numérique (EUDI Wallet) — chaque État membre doit proposer, au plus tard en novembre 2026, une application de portefeuille numérique permettant à tout citoyen ou résident européen de stocker et présenter ses attributs d'identité (carte d'identité, permis de conduire, diplômes, etc.) de façon sécurisée.
2. L'élargissement des services de confiance qualifiés — le texte ajoute de nouveaux services qualifiés : gestion d'archivage électronique qualifié (QESAP), rapports d'attributs d'identité qualifiés (QEAA), livres de comptes électroniques qualifiés (QLED) et gestion de dispositifs de création de signature à distance (QRCD).
3. L'obligation pour les grandes plateformes — les fournisseurs de services en ligne de grande taille (réseaux sociaux, marketplaces) devront accepter le portefeuille EUDI pour l'authentification des utilisateurs.

Le portefeuille EUDI Wallet : architecture et fonctionnement

L'EUDI Wallet est au cœur d'eIDAS 2. Concrètement, il s'agit d'une application logicielle — délivrée ou certifiée par chaque État membre — qui repose sur un modèle décentralisé de présentation sélective des attributs. L'utilisateur ne transmet que les données strictement nécessaires à la transaction (principle de minimisation, conforme au RGPD).

Du point de vue technique, l'architecture repose sur les spécifications du Architecture Reference Framework (ARF), publié par la Commission européenne et mis à jour régulièrement par le Large Scale Pilot (LSP) qui regroupe quatre consortiums pilotes (DC4EU, EWC, POTENTIAL, NOBID). Les formats de données retenus sont principalement ISO/IEC 18013-5 (mDL/mDocs) et W3C Verifiable Credentials, garantissant l'interopérabilité transfrontalière.

Pour les entreprises, cela signifie qu'elles pourront, à terme, vérifier l'identité de leurs clients ou partenaires via le portefeuille sans gérer elles-mêmes la collecte de pièces justificatives — réduisant ainsi considérablement les frictions KYC (Know Your Customer) et les risques de fraude documentaire.

---

Les niveaux de garantie et la hiérarchie des signatures : ce qui change

Maintien de la hiérarchie QES / AdES / SES

Le régime des signatures électroniques reste structuré autour de trois niveaux définis à l'article 3 d'eIDAS 2 (reprenant la terminologie de 2014 mais en précisant les exigences techniques) :

• Signature électronique simple (SES) : valeur probante minimale, adaptée aux actes courants.
• Signature électronique avancée (AdES) : lien exclusif au signataire, possibilité de détecter toute modification ultérieure.
• Signature électronique qualifiée (QES) : équivalent légal de la signature manuscrite dans toute l'UE (article 25§2), émise via un dispositif qualifié de création de signature (QSCD) sur la base d'un certificat qualifié.

La nouveauté réside dans la façon dont la QES peut désormais être délivrée via des services de signature à distance qualifiés (QRCD), dont les conditions d'agrément sont précisées aux articles 29a et 29b du texte révisé. Cela ouvre la voie à des flux 100 % numériques pour les actes les plus exigeants — contrats notariés, actes authentiques électroniques — sans nécessiter de carte à puce physique.

L'impact sur les prestataires de services de confiance qualifiés (QTSP)

Les prestataires tels que Certyneo, qui opèrent en s'appuyant sur des QTSP certifiés, doivent anticiper les nouvelles exigences d'audit introduites par eIDAS 2. L'article 24 impose désormais des contrôles renforcés sur la chaîne de sous-traitance, et les exigences de notification des incidents de sécurité s'alignent explicitement sur celles de la directive NIS2 (délai de 24 h pour la notification initiale). Pour approfondir le fonctionnement des différents niveaux de signature dans un contexte B2B, consultez notre guide complet sur la signature électronique en entreprise.

---

Calendrier de déploiement et obligations pour les entreprises en 2025-2026

Les étapes clés du déploiement

Le règlement (UE) 2024/1183 a été publié au Journal officiel de l'UE le 30 avril 2024 et est entré en vigueur le 20 mai 2024. Les actes d'exécution et délégués — essentiels pour préciser les exigences techniques — sont publiés progressivement :

| Échéance | Obligation | |---|---| | Mai 2024 | Entrée en vigueur du règlement | | Fin 2024 | Publication des actes d'exécution sur l'ARF v2.0 | | Mi-2025 | Certification des premiers EUDI Wallets pilotes | | Novembre 2026 | Disponibilité obligatoire d'un EUDI Wallet dans chaque État membre | | 2027 | Acceptation obligatoire par les grandes plateformes en ligne |

Ce que les entreprises B2B doivent faire dès maintenant

Pour les entreprises utilisatrices de solutions de signature électronique, trois priorités s'imposent en 2025-2026 :

1. Auditer leur chaîne de confiance : vérifier que leur prestataire de signature figure bien sur la liste des QTSP (Trusted List) de leur État membre, et que les certificats utilisés sont conformes aux nouvelles spécifications ETSI EN 319 401 et EN 319 411-1 révisées.

2. Anticiper l'intégration de l'EUDI Wallet : les entreprises opérant dans des secteurs régulés (banque, assurance, santé, immobilier) seront parmi les premières concernées par les flux de vérification d'identité via portefeuille. Préparer les API d'intégration dès 2025 est recommandé.

3. Réviser leurs politiques de conservation : le nouveau service qualifié d'archivage électronique (QESAP) introduit des standards de préservation à long terme qui peuvent s'imposer dans certains secteurs (marchés publics, secteur pharmaceutique). Notre calculateur de ROI pour la signature électronique vous permet d'évaluer l'impact financier d'une mise à niveau de votre infrastructure documentaire.

---

Interopérabilité, RGPD et enjeux de souveraineté numérique

eIDAS 2 et RGPD : complémentarité renforcée

L'une des avancées majeures d'eIDAS 2 est l'intégration explicite des principes de protection des données dès la conception (privacy by design) dans l'architecture du portefeuille EUDI. L'article 5a§14 dispose que le portefeuille ne permet pas aux fournisseurs de suivre le comportement de l'utilisateur lors des transactions. Les émetteurs d'attributs d'identité qualifiés (QEAA) ne sont pas informés de l'utilisation qui est faite des attestations délivrées — ce qui constitue une rupture majeure avec les modèles centralisés actuels.

Cette architecture est qualifiée d'unlinkability (non-corrélabilité) : deux transactions distinctes effectuées par le même utilisateur ne peuvent pas être reliées sans son consentement. Cette garantie dépasse les exigences minimales du RGPD tout en s'y articulant parfaitement.

La dimension géopolitique : reprendre le contrôle sur l'identité en ligne

eIDAS 2 répond aussi à un enjeu de souveraineté. Aujourd'hui, l'authentification en ligne repose massivement sur les boutons « Se connecter avec Google/Facebook/Apple », ce qui confère aux géants technologiques américains une position dominante dans la gestion des identités numériques européennes. En imposant aux très grandes plateformes (au sens du Digital Services Act) d'accepter l'EUDI Wallet comme moyen d'authentification, eIDAS 2 crée une alternative interopérable et souveraine.

Pour les entreprises B2B, cela signifie également que la conformité eIDAS 2 peut devenir un critère de sélection fournisseur dans les appels d'offres publics et privés — à l'image de ce que représente aujourd'hui la certification ISO 27001 dans les processus d'achat. Si votre organisation envisage de faire évoluer sa solution actuelle, notre guide de migration depuis DocuSign ou YouSign vers Certyneo détaille les étapes d'une transition maîtrisée.

Cadre légal applicable à eIDAS 2 et à la signature électronique

Textes de référence

Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024, modifiant le règlement (UE) n°910/2014 en ce qui concerne l'établissement du cadre européen relatif à une identité numérique (eIDAS 2). Publié au JOUE le 30 avril 2024, entré en vigueur le 20 mai 2024.

Règlement (UE) n°910/2014 (eIDAS 1) : maintenu en vigueur pour ses dispositions non modifiées, notamment les articles relatifs aux niveaux de garantie « faible », « substantiel » et « élevé » pour les schémas d'identification notifiés.

Code civil français, articles 1366 et 1367 : l'écrit électronique a la même force probante que l'écrit papier à condition que la personne dont il émane soit dûment identifiée et que le document soit établi dans des conditions garantissant son intégrité. La signature électronique qualifiée (QES) au sens d'eIDAS 2 satisfait ces exigences de plein droit.

Règlement (UE) 2016/679 (RGPD) : le traitement des données d'identité dans le cadre du portefeuille EUDI est soumis aux principes de minimisation (art. 5§1c), de limitation de la finalité (art. 5§1b) et de protection des données dès la conception (art. 25). Les prestataires qualifiés exercent la qualité de responsables de traitement distincts pour les opérations de vérification.

Directive (UE) 2022/2555 (NIS2) : transposée en droit français par l'ordonnance n°2024-528 du 12 juin 2024, elle impose aux prestataires de services de confiance qualifiés des obligations de gestion des risques cyber et de notification des incidents sous 24 heures.

Normes ETSI :

• EN 319 132 (XAdES) et EN 319 122 (CAdES) : formats avancés de signature électronique.
• EN 319 401 : exigences générales pour les prestataires de services de confiance.
• EN 319 411-1 et 411-2 : politique et exigences de sécurité pour les CA émettant des certificats qualifiés.
• EN 319 521 : exigences pour les services qualifiés de préservation de signatures (QESAP).

Obligations et risques juridiques pour les entreprises

Toute entreprise utilisant des signatures électroniques dans un contexte contractuel doit s'assurer que le niveau de signature choisi est adapté à la valeur et à la nature de l'acte. Pour les actes soumis à une exigence légale de signature (promesses de vente, contrats de travail, bons de commande dépassant certains seuils), seule la QES ou l'AdES basée sur un certificat qualifié apporte la présomption de fiabilité visée à l'article 26 d'eIDAS 2.

En cas de litige, la charge de la preuve se retourne : si la signature est qualifiée, c'est à la partie contestant le document d'en prouver l'altération ; si elle est simple ou avancée sans certificat qualifié, la charge de la preuve repose sur le signataire qui l'invoque. Le non-respect des exigences de traçabilité et d'intégrité peut entraîner la nullité de l'acte ou l'inopposabilité de la signature à un tiers.

Scénarios d'usage : eIDAS 2 appliqué aux entreprises B2B

Scénario 1 — Un cabinet de conseil en transformation numérique (environ 80 consultants)

Une structure de conseil déployant ses collaborateurs chez des clients dans plusieurs États membres (France, Allemagne, Pays-Bas) doit faire signer chaque mois des ordres de mission, des avenants contractuels et des procès-verbaux de recette. Avant eIDAS 2, la gestion des identités transfrontalières générait des frictions : refus de certains clients allemands de reconnaître des certificats émis par un QTSP français, double authentification par email insuffisante pour les actes sensibles.

Avec le déploiement de l'EUDI Wallet en 2026, les consultants pourront signer depuis leur portefeuille national — reconnu de plein droit dans tous les États membres — sans aucune friction. Le cabinet estime une réduction de 60 à 70 % du temps consacré aux échanges de vérification documentaire préalable à la signature, soit environ 3 à 4 heures économisées par consultant et par mois selon les benchmarks sectoriels publiés par McKinsey Digital (2024).

Scénario 2 — Une PME industrielle gérant 350 contrats fournisseurs par an

Une PME du secteur des équipements industriels, travaillant avec une centaine de fournisseurs européens et asiatiques, doit contractualiser des commandes, des accords de confidentialité (NDA) et des contrats-cadres. Jusqu'ici, 30 % de ces documents revenaient sans signature valide ou avec des délais supérieurs à 10 jours ouvrés.

En adoptant une solution de signature électronique conforme eIDAS 2 avec vérification d'identité via attributs qualifiés (QEAA), la PME peut imposer un flux de signature où l'identité du représentant légal du fournisseur est vérifiée automatiquement via le portefeuille EUDI, sans saisie manuelle. Résultat attendu : réduction du délai moyen de signature de 10 jours à moins de 48 heures, et diminution de 40 % des litiges liés à des signatures non conformes, sur la base de fourchettes observées dans les rapports ELENIUS 2025 sur la dématérialisation B2B.

Scénario 3 — Un groupement immobilier gérant des compromis de vente dans plusieurs pays

Un réseau d'agences immobilières opérant en France, en Espagne et au Portugal doit régulièrement faire signer des avant-contrats entre des vendeurs et des acheteurs de nationalités différentes. La QES est requise dans certains contextes pour garantir l'équivalence avec la signature manuscrite devant notaire.

Grâce à eIDAS 2 et à l'interopérabilité des portefeuilles EUDI, un acheteur portugais peut signer un compromis soumis au droit français en utilisant son portefeuille national, avec un niveau de garantie « élevé » reconnu automatiquement par la plateforme de signature. Le groupement réduit ses frais de déplacement et de légalisation d'environ 800 à 1 200 euros par dossier transfrontalier, tout en diminuant le délai de conclusion des avant-contrats de 3 semaines à 5 jours en moyenne. Pour les usages spécifiques au secteur, notre page dédiée à la signature électronique en immobilier détaille les workflows adaptés.

Conclusion

eIDAS 2 n'est pas une simple mise à jour réglementaire : c'est une refonte profonde de la façon dont l'identité numérique et la confiance électronique fonctionnent en Europe. Le portefeuille EUDI Wallet, les nouveaux services qualifiés, l'obligation d'interopérabilité et l'alignement avec NIS2 et le RGPD forment un écosystème cohérent qui va transformer les processus contractuels et d'authentification des entreprises d'ici fin 2026.

Pour rester conformes et compétitives, les organisations B2B doivent agir dès maintenant : auditer leur chaîne de confiance, choisir un prestataire aligné avec les nouvelles exigences et préparer leurs flux documentaires à l'intégration du portefeuille numérique européen.

Certyneo vous accompagne dans cette transition avec des solutions de signature électronique qualifiée conformes eIDAS 2, prêtes pour 2026. Demandez une démonstration ou créez votre compte sur Certyneo pour sécuriser vos contrats dès aujourd'hui.