Calendrier eIDAS 2 : déploiement UE 2026-2027

Introduction : pourquoi le calendrier eIDAS 2 est crucial pour votre organisation

Depuis l'entrée en vigueur du règlement (UE) 2024/1183 — communément appelé eIDAS 2 — le cadre européen de l'identité numérique et de la signature électronique connaît sa transformation la plus profonde depuis 2014. Si le texte révisé est formellement adopté, c'est son déploiement opérationnel, étalé entre 2024 et 2027, qui concentre désormais l'attention des DSI, juristes et responsables conformité. Comprendre le calendrier officiel de déploiement du règlement eIDAS 2 dans l'Union européenne permet d'anticiper les obligations, de sécuriser ses processus contractuels et d'éviter tout écart de conformité. Cet article décrypte les étapes clés, les actes d'exécution attendus et les impacts concrets pour les entreprises françaises et européennes.

---

1. Rappel : qu'est-ce qu'eIDAS 2 et pourquoi cette révision ?

1.1 Les limites d'eIDAS 1 (2014)

Le règlement eIDAS originel (n° 910/2014) a posé les fondations de la confiance numérique en Europe : reconnaissance mutuelle des signatures électroniques, création des niveaux qualifiés (QES), simple (SES) et avancé (AdES), et accréditation des prestataires de services de confiance (Trust Service Providers, TSP). Toutefois, dix ans d'application ont mis en lumière plusieurs lacunes majeures :

• Fragmentation nationale : moins de 19 % des citoyens européens utilisaient un schéma d'identification électronique transfrontalier en 2022 selon la Commission européenne.
• Absence de portefeuille d'identité numérique : eIDAS 1 ne prévoyait pas d'instrument universel permettant à chaque citoyen ou entreprise de prouver son identité en ligne dans tous les États membres.
• Couverture partielle : les services d'archivage électronique qualifié ou les attestations d'attributs n'étaient pas harmonisés.

1.2 Les apports structurants d'eIDAS 2

Adopté le 11 avril 2024 et publié au Journal officiel de l'UE le 30 avril 2024, le règlement (UE) 2024/1183 introduit notamment :

• Le European Digital Identity Wallet (EUDI Wallet) : portefeuille d'identité numérique que chaque État membre doit proposer à ses ressortissants.
• De nouveaux services de confiance qualifiés : attestations d'attributs électroniques qualifiées, archivage électronique qualifié, gestion de dispositifs de création de signatures à distance.
• L'extension du champ d'application : les grandes plateformes en ligne (au sens du règlement DSA) devront accepter le EUDI Wallet pour l'authentification des utilisateurs.
• Un renforcement de la gouvernance : création d'un cadre de certification de conformité plus strict pour les TSP.

Pour approfondir les bases du règlement, notre guide complet sur eIDAS 2.0 détaille l'ensemble des évolutions réglementaires.

---

2. Le calendrier officiel de déploiement d'eIDAS 2 : étapes et dates clés 2024-2027

Le règlement eIDAS 2 articule son entrée en application autour d'un mécanisme en plusieurs temps : entrée en vigueur, actes d'exécution de la Commission, transposition nationale et déploiement effectif des outils. Voici la feuille de route officielle.

2.1 Phase 1 — Entrée en vigueur et actes délégués (mai 2024 – fin 2025)

| Date | Étape | |---|---| | 30 avril 2024 | Publication du règlement (UE) 2024/1183 au JOUE | | 20 mai 2024 | Entrée en vigueur officielle (J+20 après publication) | | T3-T4 2024 | Lancement des groupes de travail sur les actes d'exécution (Toolbox eIDAS 2) | | Fin 2024 | Publication des premières spécifications techniques de référence pour le EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Actes d'exécution de la Commission sur les spécifications techniques des portefeuilles (délai de 12 mois prévu par l'article 5a) | | T3 2025 | Actes d'exécution relatifs aux nouveaux services de confiance qualifiés |

La Commission européenne a publié en janvier 2025 le premier train d'actes d'exécution portant sur les spécifications techniques communes du EUDI Wallet. Ces textes constituent la base technique obligatoire pour les États membres.

2.2 Phase 2 — Déploiement des projets pilotes et transpositions nationales (2025-2026)

Dans le cadre du programme de grands projets pilotes (Large Scale Pilots — LSP), quatre consortiums ont testé le EUDI Wallet depuis 2023 sur plus de 360 cas d'usage à travers 25 États membres :

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entités
• NOBID — axé sur les paiements numériques
• POTENTIAL — identité et attributs
• DC4EU — diplômes et qualifications professionnelles

Les résultats de ces pilotes alimentent directement les actes d'exécution. Sur le plan national, les États membres disposent de 24 mois à compter de l'entrée en application des actes d'exécution pour déployer leur portefeuille national. En pratique, cela signifie que la grande majorité des déploiements nationaux est attendue entre mi-2026 et fin 2026.

| Période | Actions attendues | |---|---| | T1-T2 2026 | Adoption définitive des actes d'exécution manquants (archivage qualifié, attestations d'attributs) | | T2 2026 | Premières versions de production des EUDI Wallets dans les États précurseurs (Allemagne, Pays-Bas, Espagne) | | T3-T4 2026 | Déploiement progressif dans les 27 États membres — ouverture aux utilisateurs professionnels | | Fin 2026 | Obligations d'acceptation du EUDI Wallet pour les services publics en ligne (art. 5b) |

La France, via l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) et la Direction Interministérielle du Numérique (DINUM), a engagé ses travaux d'adaptation en 2025. Le projet de portefeuille français s'appuie sur France Identité comme socle technique.

2.3 Phase 3 — Obligations d'acceptation pour le secteur privé (2027)

C'est l'étape la plus impactante pour les entreprises. L'article 5b du règlement eIDAS 2 impose que certains prestataires du secteur privé acceptent le EUDI Wallet pour l'identification en ligne dans les domaines suivants :

• Services bancaires et financiers (ouverture de compte, KYC)
• Mobilité (transports, location de véhicules)
• Énergie (contrats consommateurs)
• Plateformes en ligne très grandes (au sens du DSA, > 45 millions d'utilisateurs mensuels dans l'UE)
• Télécommunications

Le délai d'acceptation obligatoire est fixé à 12 mois après la mise à disposition du portefeuille dans chaque État membre, ce qui place l'échéance réelle pour la plupart des secteurs au cours du premier semestre 2027.

Pour les entreprises qui utilisent déjà des solutions de signature électronique conforme eIDAS, l'enjeu est d'assurer la compatibilité de leurs flux documentaires avec les nouveaux attributs d'identité issus des portefeuilles numériques.

---

3. Impact sur les prestataires de services de confiance (TSP) et les éditeurs SaaS

3.1 Nouvelles obligations pour les TSP qualifiés

Les prestataires de services de confiance qualifiés (QTSP) doivent mettre à jour leurs pratiques de certification pour intégrer les nouvelles catégories de services introduites par eIDAS 2 :

• Attestations d'attributs électroniques qualifiées : permis de conduire numérique, diplômes, qualifications professionnelles
• Archivage électronique qualifié : service garantissant l'intégrité sur le long terme des documents signés
• Gestion de dispositifs de création de signature à distance (RQSCD) : clarification du cadre pour les solutions cloud

Les QTSP ont jusqu'à 18 mois après la publication des normes ETSI révisées (attendues T2-T3 2026) pour se conformer aux nouvelles exigences techniques, ce qui positionne les premières re-certifications effectives en 2027.

3.2 Ce que cela signifie pour les entreprises utilisatrices

Si votre organisation utilise un prestataire de signature électronique SaaS — qu'il s'agisse d'une solution certifiée QES ou d'un outil de signature avancée — plusieurs questions de conformité se posent dès maintenant :

1. Votre prestataire est-il en cours de mise à jour de sa certification pour intégrer les exigences eIDAS 2 ?
2. Vos workflows de signature sont-ils prêts à recevoir des identités issues des EUDI Wallets ?
3. Votre politique d'archivage répond-elle aux futures exigences d'archivage électronique qualifié ?

Nos analyses du comparatif des solutions de signature électronique intègrent désormais le critère de roadmap eIDAS 2 comme facteur différenciant clé.

3.3 Les normes techniques de référence

L'ETSI (European Telecommunications Standards Institute) est chargé de produire les normes harmonisées sur lesquelles s'appuie eIDAS 2. Le programme de travail 2025-2027 couvre notamment :

• ETSI EN 319 411-1 et -2 (révisées) : politiques et exigences pour les TSP émettant des certificats
• ETSI EN 319 132-1 (XAdES) et EN 319 122-1 (CAdES) : formats de signature avancée et qualifiée
• ETSI TS 119 500 : cadre de confiance pour les services d'archivage électronique qualifié
• ISO/IEC 18013-5 : protocole de présentation des attributs mDL (mobile Driving Licence), adopté comme base technique du EUDI Wallet

---

4. Calendrier eIDAS 2 en France : état d'avancement et obligations spécifiques

4.1 Le rôle de l'ANSSI dans la gouvernance nationale

En France, l'ANSSI est l'autorité de supervision des prestataires de services de confiance au titre d'eIDAS. Dans la perspective d'eIDAS 2, elle pilote :

• L'adaptation du référentiel général de sécurité (RGS) pour intégrer les nouveaux services qualifiés
• La participation aux travaux du groupe de coopération eIDAS (article 46e du règlement)
• La supervision des audits de conformité des QTSP français

L'ANSSI a publié en mars 2025 une feuille de route nationale précisant les étapes d'adaptation du cadre français à eIDAS 2, avec un point d'étape prévu en septembre 2026.

4.2 Obligations pour les grandes entreprises françaises

Les entreprises françaises dépassant les seuils du DSA ou opérant dans les secteurs ciblés par l'article 5b doivent engager dès maintenant une analyse d'impact. Les étapes recommandées sont :

1. Cartographie des flux d'identification : identifier les processus où l'identité numérique est requise (KYC, signature de contrats, accès aux espaces clients)
2. Évaluation des prestataires actuels : vérifier leur roadmap de conformité eIDAS 2
3. Plan de mise à jour des CGV et politiques de signature : anticiper l'intégration des attributs d'identité issus des EUDI Wallets
4. Formation des équipes juridiques et DSI : le cadre technique et légal évolue significativement

Pour les entreprises qui gèrent d'importants volumes contractuels, les outils de signature électronique en entreprise doivent être évalués au prisme de leur capacité à évoluer vers eIDAS 2 sans rupture de service.

4.3 Articulation avec d'autres réglementations européennes

Le déploiement d'eIDAS 2 ne s'effectue pas en silo. Il s'articule étroitement avec :

• Le RGPD (2016/679) : les attributs d'identité contenus dans les EUDI Wallets constituent des données personnelles soumises aux principes de minimisation et de finalité
• La directive NIS 2 (2022/2555) : les TSP sont des entités essentielles au sens de NIS 2 et doivent satisfaire aux exigences de cybersécurité renforcées
• Le règlement DORA (2022/2554) : les établissements financiers utilisant des services de confiance pour leurs opérations numériques doivent intégrer ces dépendances dans leur cartographie des risques ICT
• Le règlement sur les données (Data Act, 2023/2854) : interopérabilité des données d'identité entre secteurs

Les entreprises qui ont déjà engagé leur conformité NIS 2 trouveront des synergies significatives avec la mise en conformité eIDAS 2, notamment sur les volets gestion des risques et continuité d'activité.

---

5. Préparer son organisation dès maintenant : la checklist 2026

5.1 Pour les directions juridiques et conformité

• [ ] Lire le règlement (UE) 2024/1183 dans sa version consolidée et identifier les articles applicables à votre secteur
• [ ] Cartographier les contrats et processus nécessitant une mise à jour (clauses de signature, politique de conservation)
• [ ] Vérifier la validité juridique transfrontalière de vos signatures électroniques actuelles dans le contexte eIDAS 2
• [ ] Anticiper l'intégration des attestations d'attributs qualifiées (ex. : vérification de qualité professionnelle pour les actes notariés ou médicaux)

5.2 Pour les directions des systèmes d'information

• [ ] Évaluer la compatibilité de votre stack technique avec les protocoles EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identifier les API à mettre à jour chez vos éditeurs de signature électronique
• [ ] Prévoir les tests d'intégration avec les portefeuilles pilotes disponibles en 2026
• [ ] Mettre en place une veille sur les actes d'exécution de la Commission (notifications au Journal officiel de l'UE)

5.3 Pour les directions métier

Les gains attendus d'une conformité bien anticipée sont concrets : réduction des frictions dans les parcours de signature grâce à l'identité préverifiée du EUDI Wallet, accélération des processus KYC, et réduction des coûts de vérification d'identité. Pour évaluer le retour sur investissement de votre transition, notre calculateur ROI signature électronique intègre les paramètres spécifiques à la conformité eIDAS 2.

Enfin, les organisations qui envisagent une migration depuis d'autres solutions vers une plateforme nativement préparée pour eIDAS 2 peuvent consulter notre guide de migration depuis DocuSign ou YouSign vers Certyneo, qui détaille les étapes techniques et contractuelles d'une transition sans rupture.

Cadre légal applicable au déploiement d'eIDAS 2

Textes fondateurs et hiérarchie des normes

Le déploiement du règlement eIDAS 2 s'inscrit dans un corpus juridique stratifié dont la maîtrise est indispensable pour toute organisation soumise à des obligations de conformité.

Règlement (UE) 2024/1183 du Parlement européen et du Conseil — dit « eIDAS 2 » — constitue la norme de référence. Il abroge et remplace le règlement (UE) n° 910/2014 (eIDAS 1) sur les points qu'il révise, tout en maintenant la validité des certifications existantes pendant les périodes de transition prévues aux articles 51 et suivants. Publié au Journal officiel de l'UE série L le 30 avril 2024, il est entré en vigueur le 20 mai 2024.

Le Code civil français, articles 1366 et 1367, consacre la reconnaissance de la signature électronique comme équivalente à la signature manuscrite lorsqu'elle satisfait aux conditions d'identification du signataire et d'intégrité du document. Ces dispositions sont interprétées à la lumière du droit européen eIDAS, qui prime en vertu du principe de primauté du droit de l'Union.

Le règlement (UE) 2016/679 (RGPD) s'applique intégralement aux traitements de données personnelles réalisés dans le cadre du EUDI Wallet et des services de confiance. Les attributs d'identité (données biographiques, qualifications, permis) constituent des données à caractère personnel au sens de l'article 4 §1 du RGPD. Le principe de minimisation (art. 5 §1 c) est particulièrement pertinent : les prestataires ne doivent collecter que les attributs strictement nécessaires à la finalité de la transaction.

La directive (UE) 2022/2555 (NIS 2), transposée en droit français par la loi n° 2024-449 du 21 mai 2024, classe les prestataires de services de confiance qualifiés parmi les entités essentielles soumises à des obligations renforcées de gestion des risques cyber, de notification des incidents et de sécurité de la chaîne d'approvisionnement.

Les normes ETSI constituent le référentiel technique harmonisé d'eIDAS 2 :

• ETSI EN 319 401 : exigences générales pour les TSP
• ETSI EN 319 411-1/-2 : politiques pour TSP émettant des certificats qualifiés
• ETSI EN 319 132-1 : format XAdES (signatures XML avancées)
• ETSI EN 319 122-1 : format CAdES (signatures CMS avancées)
• ETSI EN 319 162-1 : format ASiC (conteneurs de signatures)

Risques juridiques en cas de non-conformité

Le non-respect des obligations eIDAS 2 expose les organisations à plusieurs risques :

1. Inopposabilité des signatures : une signature électronique réalisée via un TSP non conforme aux nouvelles exigences peut perdre la présomption légale de validité, remettant en cause la valeur probante des contrats signés.
2. Sanctions administratives : les autorités de supervision nationales (ANSSI en France) peuvent prononcer des mesures correctives, des injonctions de mise en conformité, voire des retraits d'accréditation pour les TSP.
3. Responsabilité contractuelle : les entreprises utilisant des outils non conformes peuvent voir leur responsabilité engagée vis-à-vis de leurs clients et partenaires si un litige porte sur la validité d'un acte signé électroniquement.
4. Cumul avec le RGPD : une gestion non conforme des attributs d'identité du EUDI Wallet peut exposer simultanément à des sanctions CNIL (jusqu'à 4 % du chiffre d'affaires mondial annuel).

Scénarios d'usage concrets face au calendrier eIDAS 2

Scénario 1 — Un cabinet juridique de taille intermédiaire gérant des actes transfrontaliers

Un cabinet d'avocats d'affaires comptant une quinzaine de collaborateurs et traitant régulièrement des opérations de M&A impliquant des contreparties dans plusieurs États membres de l'UE (Belgique, Pays-Bas, Espagne) utilise actuellement une solution de signature électronique qualifiée pour ses actes de cession de parts et ses protocoles de confidentialité. Avec l'entrée en application du calendrier eIDAS 2, le cabinet anticipe deux évolutions majeures d'ici fin 2026 :

• Vérification d'identité simplifiée : les contreparties étrangères pourront présenter leurs attributs d'identité via leur EUDI Wallet national, supprimant les échanges de copies de passeport et les procédures KYC redondantes. D'après les estimations issues des rapports de la Commission européenne sur les LSP, le gain de temps sur la phase de vérification d'identité est estimé entre 40 % et 60 % selon les juridictions impliquées.
• Valeur probante renforcée : les actes signés avec des identités attestées par des EUDI Wallets qualifiés bénéficieront d'une présomption légale encore plus robuste, réduisant le risque de contestation judiciaire dans les litiges transfrontaliers.

Le cabinet prévoit de migrer vers une plateforme SaaS disposant d'une roadmap eIDAS 2 documentée avant le T3 2026, soit environ six mois avant les premières obligations d'acceptation.

Scénario 2 — Une PME industrielle gérant un volume élevé de contrats fournisseurs

Une PME du secteur de l'équipement industriel gérant environ 250 contrats fournisseurs par an, dont 30 % avec des partenaires européens hors France, fait face à des contraintes croissantes de vérification d'identité lors de l'onboarding de nouveaux fournisseurs. Le processus actuel — demande de Kbis, copie de pièce d'identité du représentant légal, vérification manuelle — mobilise en moyenne 2,5 heures par dossier selon les benchmarks sectoriels de la fédération des acheteurs.

Avec l'intégration du EUDI Wallet dans son workflow de signature d'ici 2027, la PME projette :

• Une réduction de 55 à 70 % du temps consacré à la vérification d'identité grâce aux attestations d'attributs qualifiées (numéro d'immatriculation, représentation légale)
• Une diminution de 80 % des relances documentaires auprès des fournisseurs étrangers
• Une sécurisation accrue contre la fraude documentaire, les attributs étant cryptographiquement vérifiables

La PME a identifié la nécessité de mettre à jour ses conditions générales d'achat pour y intégrer la référence aux attestations eIDAS 2, en lien avec son conseil juridique.

Scénario 3 — Un groupement hospitalier anticipant la conformité pour les actes médicaux numériques

Un groupement hospitalier d'environ 900 lits répartis sur trois sites doit gérer la signature électronique de documents médicaux sensibles : consentements éclairés, prescriptions, comptes-rendus opératoires et contrats avec des prestataires de soins. La réglementation française impose la signature qualifiée pour certains actes médicaux à portée juridique forte.

Dans la perspective du calendrier eIDAS 2, le groupement anticipe l'arrivée des attestations d'attributs qualifiées pour les qualifications professionnelles de santé (numéro RPPS, spécialité, établissement d'exercice), qui permettront de :

• Automatiser la vérification de la qualité du signataire (médecin, chirurgien, pharmacien) sans vérification manuelle dans les annuaires professionnels
• Réduire les risques d'erreur d'attribution de signature lors des remplacements et gardes
• Faciliter la portabilité des dossiers médicaux numériques entre établissements, dans le cadre de l'espace européen des données de santé (EHDS)

Le groupement estime que l'intégration des flux EUDI Wallet dans son système d'information hospitalier (SIH) représente un projet de 12 à 18 mois, justifiant un lancement des études techniques dès le T3 2026 pour une mise en production avant l'obligation d'acceptation sectorielle.

Conclusion

Le calendrier de déploiement du règlement eIDAS 2 dans l'Union européenne est désormais clairement balisé : actes d'exécution en cours de finalisation en 2026, déploiement des EUDI Wallets nationaux entre mi-2026 et fin 2026, et obligations d'acceptation pour le secteur privé à partir du premier semestre 2027. Cette feuille de route laisse une fenêtre d'action concrète pour les entreprises françaises et européennes, à condition d'engager dès maintenant l'analyse de conformité, l'évaluation des prestataires et la mise à jour des processus contractuels.

Attentre 2027 pour se mettre en conformité, c'est prendre le risque d'une transition dans l'urgence, avec les coûts et les risques juridiques que cela implique. Certyneo, conçu nativement pour les exigences eIDAS et en roadmap active vers eIDAS 2, vous accompagne dès aujourd'hui dans cette transition. Démarrez gratuitement sur Certyneo et sécurisez vos flux documentaires dans le respect du cadre européen de confiance numérique.