Identité décentralisée et SSI : l'avenir de la vérification ?
Définitions : DID, VC, SSI, en clair
Trois sigles structurent ce champ. Mieux vaut les distinguer pour saisir ce qui change vraiment.
Un DID (Decentralized Identifier, soit « identifiant décentralisé ») est un identifiant numérique unique, vérifiable par cryptographie, qui ne dépend d'aucune autorité centrale. Le standard DID Core est devenu Recommandation W3C en 2022. La syntaxe did:method:specific-string permet de décliner ces identifiants selon plusieurs méthodes : did:web (résolu via le DNS), did:key (auto-contenu), did:ion (sur Bitcoin), did:ebsi (sur la blockchain européenne EBSI).
Attention, un DID n'est pas une identité en soi. C'est l'équivalent d'un numéro de téléphone : un point d'attache. Ce qui prouve que ce point d'attache correspond à une personne réelle, ce sont les attestations vérifiables qui y sont rattachées.
Une VC (Verifiable Credential, ou « attestation vérifiable ») est une attestation signée par un émetteur (par exemple un État ou une université), qui porte des informations vérifiées sur un sujet (la personne concernée) et qui peut être présentée à un vérificateur (la partie qui contrôle). Le standard Verifiable Credentials Data Model v2.0 est stable depuis 2022. Une version 2.1 a été publiée en premier brouillon public en 2026, avec un accent particulier sur l'intégrité des données, la preuve à divulgation nulle de connaissance (zero-knowledge proof) et l'interopérabilité.
Un exemple parlant : un État émet une attestation « identité civile » signée avec sa clé privée. Le citoyen la stocke dans son portefeuille numérique (wallet). Lorsqu'il s'inscrit à un service en ligne, il la présente. Le service vérifie la signature de l'État sans avoir besoin de le contacter en temps réel. La preuve tient grâce à la cryptographie, en pair-à-pair, sans appel à l'émetteur.
La SSI (Self-Sovereign Identity, identité auto-souveraine) est le modèle global qui combine DID + VC + portefeuille citoyen. Son principe : la personne contrôle ses identifiants et ses attributs, choisit ce qu'elle révèle (divulgation sélective), peut prouver une propriété sans dévoiler les données sous-jacentes, et n'est plus tributaire d'un fournisseur d'identité centralisé.
Trois principes structurants :
- Contrôle utilisateur : la personne décide quels attributs elle partage, et avec qui
- Portabilité : les identifiants suivent la personne, pas le fournisseur
- Vérifiabilité cryptographique : la signature de l'émetteur remplace l'appel à l'autorité
::: callout-info Lecture rapide
- DID = identifiant unique vérifiable (le point d'attache)
- VC = attestation signée par une autorité (le contenu prouvé)
- SSI = modèle global combinant les deux + portefeuille + divulgation sélective
- EUDI Wallet = portefeuille numérique européen obligatoire, conforme à eIDAS 2.0
:::
Standards W3C : où en est-on en 2026 ?
L'écosystème W3C a beaucoup mûri depuis 2022. Voici l'état des principales briques en avril 2026.
| Standard | Statut 2026 | Année |
|---|---|---|
| DID Core | Recommandation W3C (REC) stable | 2022 |
| Verifiable Credentials Data Model v2.0 | Recommandation W3C (REC) stable | 2022 |
| VC Data Model v2.1 | Premier brouillon public (First Public Working Draft) | 2026 |
| Verifiable Credential Confidence v1.0 | Brouillon de travail, finalisation prévue juillet 2026 | 2026 |
| Verifiable Issuers and Verifiers v1.0 | Rapport de groupe communautaire, finalisation 2028 | 2028 |
| Méthodes DID : did:key v0.9, did:web, did:webvh | Implémentations diverses | en cours |
| OID4VC /fr/ OID4VP (protocoles d'échange de VC) | Implémentés par DCC et l'EUDI Wallet | 2026 |
Les standards sont mûrs. Ce qui ne l'est pas encore, c'est l'interopérabilité entre méthodes DID. Un DID résolu via blockchain (did:ebsi) ne se comporte pas comme un DID résolu via DNS (did:web). Les attestations signées en format JWS ne sont pas équivalentes à celles signées en format Data Integrity Proof. Cette fragmentation freine l'adoption industrielle.
EUDI Wallet : calendrier eIDAS 2.0
Le règlement eIDAS 2.0 (UE 2024/1183, en vigueur depuis le 20 mai 2024) impose à chaque État membre de proposer un EUDI Wallet (European Digital Identity Wallet, le portefeuille européen d'identité numérique) à ses citoyens. C'est l'application européenne la plus ambitieuse de la SSI à grande échelle.
Calendrier :
- 20 mai 2024 : entrée en vigueur du règlement
- Mi-2026 : finalisation des spécifications techniques (cadre de référence d'architecture v1.0)
- Fin 2026 : disponibilité dans les 27 États membres (échéance pour les États)
- Novembre 2027 : obligation d'acceptation par les grandes plateformes (fintechs, médias sociaux, places de marché)
Cible de la Commission européenne : 80 millions d'utilisateurs en 2027. C'est ambitieux mais cohérent avec la pénétration du smartphone en Europe.
Contenu : le portefeuille stockera les données d'identification personnelle (PID, c'est-à-dire l'identité civile), des attestations qualifiées d'attributs (QEAA, comme un diplôme, un permis ou une licence professionnelle) et des attestations non qualifiées émises par tout émetteur reconnu. La signature électronique qualifiée est intégrée nativement.
Interopérabilité : le portefeuille doit fonctionner d'un pays à l'autre. Un citoyen français doit pouvoir présenter son attestation d'identité française à un service espagnol et obtenir l'accès. C'est le saut majeur par rapport à eIDAS 1.0, dont la couverture transfrontalière atteignait à peine 59 % en 2021.
::: callout-info Ce qui change concrètement avec l'EUDI Wallet
- Vérification d'identité sans appel à l'autorité émettrice (preuve par signature cryptographique)
- Divulgation sélective : prouver qu'on est majeur sans révéler sa date de naissance
- Compatibilité 27 États membres, en mode natif
- Échéance États : fin 2026 /fr/ Échéance plateformes : novembre 2027
:::
Le paradoxe de l'adoption modeste
Tout est prêt techniquement. Le calendrier réglementaire est posé. Les standards sont mûrs. Et pourtant, l'adoption réelle de la SSI reste modeste en avril 2026. Plusieurs sources convergent : moins de 1 % des identités numériques mondiales fonctionnent en SSI pure. La majorité absolue (estimée à plus de 70 %) repose toujours sur des identifiants centralisés, comme Aadhaar (Inde, 1,3 milliard d'inscrits), FranceConnect, BankID dans les pays nordiques, ou Singpass à Singapour.
Pourquoi ? Quatre freins bien documentés.
D'abord, les implémentations DID divergent. did:web est simple à déployer mais réintroduit un risque de centralisation via le DNS. did:ebsi est porté par la Commission, mais peu pénétré. did:ion est sécurisé mais peu répandu en Europe. Les outils de résolution DID manquent encore en environnement entreprise. Cette fragmentation refroidit les institutions financières, qui ne peuvent pas s'engager sur une méthode sans visibilité à long terme.
Ensuite, pour qu'une attestation vérifiable soit utile, il faut à la fois que l'émetteur soit reconnu et que les vérificateurs sachent la lire. En 2026, l'écosystème reste asymétrique : peu d'émetteurs publics actifs (les États commencent juste, fin 2026), peu de vérificateurs prêts dans le tissu économique. Tant que la masse critique n'est pas atteinte, l'attestation reste une promesse plus qu'un usage.
Intégrer un portefeuille SSI dans un parcours d'eIDV (vérification d'identité électronique) existant n'est pas trivial : authentification du portefeuille, lecture des attestations dans plusieurs formats, validation cryptographique, gestion de la révocation, gouvernance des cadres de confiance. Les acteurs régulés attendent des SDK matures et des audits de sécurité avant de basculer.
Enfin, l'eIDV historique (biométrie, vérification documentaire, données transactionnelles) couvre déjà 100 % des cas dans les pays bancarisés. Ajouter une couche SSI ne supprime pas le besoin de la couche existante. Pendant cinq ans au moins, les deux modèles vont cohabiter. Cette coexistence est rationnelle, mais elle ralentit le basculement.
La SSI n'est pas une révolution à court terme : c'est une transition lente, portée par l'EUDI Wallet, qui s'étalera sur la décennie 2026-2035.
Articulation SSI ↔ eIDV traditionnelle
Loin de remplacer la vérification d'identité électronique classique, la SSI s'articule avec elle. Le tableau suivant clarifie les rôles respectifs.
| Aspect | eIDV traditionnelle | SSI /fr/ EUDI Wallet |
|---|---|---|
| Contrôle des données | Centralisé (autorité, fournisseur eIDV) | Décentralisé (utilisateur) |
| Mode de vérification | Appel à l'émetteur ou à une base transactionnelle | Cryptographique (signature EdDSA, ECDSA) |
| Confidentialité | Tout ou rien | Divulgation sélective, preuve à divulgation nulle |
| Biométrie /fr/ documents | Stockés côté fournisseur | Liés à l'attestation, portables |
| Couverture mondiale | 197 pays, 1,5 Md d'individus (notre périmètre) | UE, puis interopérabilité partielle |
| Maturité 2026 | Industrialisée | En déploiement |
| Cas d'usage majeur | Entrée en relation, conformité KYC bancaire | Authentification forte récurrente |
L'EUDI Wallet ne supprime pas la nécessité d'une première inscription qui valide qu'une personne réelle reçoit l'attestation. Cette inscription initiale s'appuie sur les outils traditionnels : biométrie, vérification documentaire, vérification par données transactionnelles. C'est précisément là que notre métier reste pertinent.
Un schéma type 2026-2030 :
1. Inscription initiale : la personne se présente à l'autorité française (par exemple via FranceConnect+), qui vérifie son identité par biométrie + contrôle documentaire + recoupement avec des données transactionnelles. Une attestation d'identité civile est émise dans son EUDI Wallet. 2. Usage récurrent : la personne présente cette attestation à tout service compatible (banque, fintech, e-commerce). La signature cryptographique suffit, plus besoin de revérifier l'identité à chaque interaction. 3. Surveillance continue : les données transactionnelles continuent d'alimenter le suivi KYC dynamique après l'entrée en relation (lutte contre les comptes mules, contre le blanchiment).
::: callout-info Notre rôle dans cette transition
- Sur l'inscription initiale : nous vérifions l'identité par données transactionnelles, pour valider l'existence réelle avant émission de l'attestation
- Sur le KYC dynamique : nous fournissons des signaux transactionnels continus, pour détecter les comportements anormaux après l'entrée en relation
- Sur l'interopérabilité internationale : nous mobilisons 4 000 sources mondiales, 197 pays, en complément des portefeuilles nationaux
:::
Les freins à la généralisation
Le « pas encore » est central. Cinq raisons documentées, qui ne disparaîtront pas avant 2028-2030.
Inertie réglementaire. Les règles européennes anti-blanchiment (AMLD6), eIDAS 2.0, MiCA (cryptoactifs), DORA (résilience numérique) et l'AI Act doivent toutes converger vers une cohérence opérationnelle. Cette convergence prend du temps.
Coexistence technique. Le portefeuille ne remplace pas la vérification documentaire ou biométrique pour les niveaux de garantie élevé. Il les complète. Tant que les standards d'attestation biométrique liés aux VC ne seront pas matures, l'existant reste indispensable.
Adoption utilisateur. Le citoyen moyen n'a pas demandé un portefeuille numérique. L'installation, la configuration, la récupération en cas de perte du smartphone restent des frictions réelles. Les premières études d'usage du portefeuille pilote allemand montrent un taux d'activation autour de 12 % la première année.
Confiance institutionnelle. Les régulateurs (ACPR en France, EBA au niveau européen) doivent valider la fiabilité opérationnelle des portefeuilles avant de les considérer suffisants pour un niveau de garantie substantiel ou élevé. Cette validation est en cours, mais n'est pas finalisée.
Coût de migration. Une banque qui a investi 10 millions d'euros dans une plateforme de vérification d'identité ne va pas l'abandonner en 18 mois. La transition se fera par couches additionnelles, pas par remplacement.
Comment vous préparer en 2026
Pour les acteurs régulés et les fournisseurs de vérification d'identité, une stratégie pragmatique se décline en quatre chantiers.
1. Cartographier l'existant. Quelles méthodes de vérification utilisez-vous aujourd'hui ? Quel niveau eIDAS atteignent-elles ? Où sont les angles morts (couverture mondiale, deepfakes, faux positifs) ?
2. Architecturer en couches. Distinguez la couche donnée réelle (transactionnelle, gouvernementale, télécoms), la couche biométrie + document, et la couche attestation /fr/ portefeuille à venir. Les trois doivent cohabiter dans un même parcours de vérification.
3. Suivre le calendrier EUDI. Mi-2026 (spécifications), fin 2026 (disponibilité dans les États), novembre 2027 (acceptation par les grandes plateformes). Anticipez l'intégration SDK 9 à 12 mois avant les échéances qui concernent votre secteur.
4. Pilotes ciblés. Lancez un pilote SSI en 2026-2027 sur un cas d'usage limité (signature électronique qualifiée, entrée en relation de partenaires B2B, accès des employés). Évitez le big bang sur le flux de production grand public.
::: callout-info Recommandation pratique
- N'attendez pas l'échéance 2027 pour explorer la SSI : pilotez tôt, sur de petits cas d'usage
- Ne désinvestissez pas la vérification d'identité traditionnelle : elle restera la couche socle pendant cinq ans au moins
- Investissez en priorité dans la couche données transactionnelles : elle est la plus résiliente face aux deepfakes, et la plus complémentaire de la SSI à venir
:::
Ce qu'il faut retenir
::: callout-info À retenir
- DID Core et VC Data Model v2.0 sont des Recommandations W3C stables depuis 2022
- EUDI Wallet : disponibilité dans les 27 États fin 2026, acceptation par les grandes plateformes en novembre 2027
- Cible Commission européenne : 80 millions d'utilisateurs en 2027
- Adoption réelle de la SSI : moins de 1 % des identités numériques mondiales en 2026
- Coexistence avec la vérification d'identité traditionnelle pendant cinq ans au moins
- La vérification par données transactionnelles reste pertinente : elle valide l'existence réelle d'une personne avant émission de l'attestation
:::
Pour les fondations de la vérification d'identité moderne, voyez le pilier eIDV : vérification d'identité électronique et le comparatif eIDV /fr/ biométrie /fr/ documentaire. Sur le calendrier européen, lisez eIDAS 2.0 et l'EUDI Wallet. Sur la résilience anti-fraude, Deepfakes et identité : comment les détecter en 2026. Sur la donnée transactionnelle comme socle, Sources de données transactionnelles : pourquoi elles changent la donne. Sur les fondations réglementaires, voyez Réglementation KYC eIDV France.
::: cta Cadrer votre stratégie SSI /fr/ EUDI Wallet avec nos experts ? Discuter de votre projet :::