Avec plus de 23 millions d’utilisateurs, l’application ukrainienne Diia s’est imposée comme l’une des infrastructures d’identité numérique les plus avancées en Europe. L’ancienne vice-ministre de la transformation numérique en Ukraine, aujourd’hui directrice des affaires réglementaires et gouvernementales à l’échelle mondiale chez IDnow, Liudmyla Rabchynska, nous livre un retour d’expérience précieux au moment où l’Union européenne accélère sur l’EUDI Wallet.
Au-delà de la technologie, elle alerte sur un point clé : sans adoption, confiance et écosystème, aucun portefeuille ne devient une infrastructure.
Solutions Numeriques & Cybersecurite (SNC) : Plus de 23 millions d’Ukrainiens utilisent aujourd’hui l’application Diia. À quel moment ce portefeuille d’identité numérique est-il réellement devenu une infrastructure publique essentielle, et non plus simplement un service administratif digital ?
Liudmyla Rabchynska (L.R.) : Diia n’a jamais été pensé comme un simple outil administratif. L’ambition, dès le départ, était de simplifier le quotidien des citoyens et de rendre leur relation avec l’État plus rapide, plus fluide et plus fiable.
Les deux premiers documents dématérialisés – le permis de conduire et la carte grise – ont été lancés en février 2020, et les citoyens ont immédiatement apprécié la commodité de les avoir sur leur smartphone.
Le véritable tournant s’est toutefois joué dans les semaines suivantes, lorsque la police et les administrations ont été équipées pour vérifier ces documents numériques sur le terrain. C’est à ce moment précis que Diia a cessé d’être une application pratique pour devenir une brique d’infrastructure nationale.
L’écosystème s’est ensuite étoffé rapidement avec de nouveaux documents, la validation par les autorités locales, et surtout avec la construction par le secteur privé de ses propres dispositifs d’acceptation. En deux ans environ, la majorité des grands prestataires privés ukrainiens acceptaient les documents Diia.
Le basculement ne s’est donc pas produit au moment du lancement, mais lorsque la vérification et l’acceptation sont devenues opérationnelles dans l’ensemble du tissu public et privé.
SNC : L’Europe s’apprête à déployer l’EUDI Wallet dans le cadre du règlement eIDAS 2.0. Selon vous, les États membres ont-ils aujourd’hui une vision suffisamment claire de ce que représente la mise en place d’une infrastructure d’identité numérique à grande échelle ?
L.R. : Le constat est mitigé. Chacun des 27 États membres arrive avec sa tradition juridique, sa maturité technique et son contexte politique propres. La Commission a fourni un effort considérable pour fédérer les acteurs autour d’un socle commun, avec des boîtes à outils, des actes d’exécution, et de grands projets pilotes comme POTENTIAL, NOBID, DC4EU, EWC, et plus récemment APTITUDE et WE BUILD. Ces initiatives permettent de tester l’interopérabilité, la scalabilité et les cas d’usage concrets avant l’échéance de fin 2026.
Pour autant, la compréhension des enjeux reste très inégale. Certains pays avancent vite, d’autres adoptent une posture plus prudente, et tous ne s’investissent pas avec la même intensité dans les pilotes. Ce que j’observe à l’échelle européenne, c’est une mobilisation forte sur la technologie, les standards et les cas d’usage, ce qui est bien évidemment indispensable, mais le travail sur la dimension humaine est encore insuffisant : confiance des utilisateurs, pédagogie, communication, stratégie d’adoption. La Commission elle-même insiste désormais sur la nécessité de comprendre ce que les Européens attendent réellement de leur portefeuille, ce qui confirme que ce décalage est identifié.
À mon sens, le risque principal n’est pas technique, c’est celui d’un déficit de confiance. Si les citoyens ne perçoivent pas clairement l’utilité du portefeuille, la protection de leurs données et le problème concret qu’il résout dans leur quotidien, le déploiement sera plus lent et plus contesté. L’Europe est réellement sur la bonne voie, mais la phase qui s’ouvre devra accorder autant de poids à la confiance et à l’ergonomie qu’à l’architecture et à la conformité.
SNC : Dans plusieurs pays européens, le débat porte sur le rôle respectif de l’État et des acteurs privés dans l’écosystème des portefeuilles d’identité numériques. D’après l’expérience ukrainienne, quel équilibre entre ces deux acteurs permet réellement de structurer un écosystème fonctionnel ?
L.R. : L’expérience ukrainienne montre que les deux parties sont indispensables, chacune dans leur rôle. L’État pose le cadre de confiance, avec la reconnaissance juridique, l’infrastructure d’identité socle, ou encore les règles du système. Mais dans la pratique, c’est souvent le secteur privé qui offre l’éventail de services le plus large.
C’est pour cette raison que le succès ne se résume donc pas à la construction du portefeuille. Il tient à sa capacité à être accepté partout, services publics et privés confondus. Le véritable risque, c’est l’écart entre les attentes des citoyens et la réalité du marché. Si un utilisateur s’attend à ce que son portefeuille soit accepté partout, mais qu’on le lui refuse à la banque, à l’hôtel ou chez un prestataire – a fortiori s’il n’a plus de document physique sur lui – la frustration s’installe et c’est la confiance dans l’ensemble du système qui s’en trouve fragilisée.
L’équilibre à trouver est donc clair. C’est aux gouvernements de fixer les standards, de garantir la confiance et d’impulser l’adoption ; et au secteur privé de porter les cas d’usage à grande échelle. La responsabilité clé des États membres est de s’assurer que l’acceptation est large et prévisible, afin que les citoyens perçoivent le portefeuille comme une infrastructure fiable, et non comme un outil expérimental.
SNC : Le cadre réglementaire européen existe déjà en grande partie. Le véritable défi se situe-t-il désormais dans la gouvernance et l’organisation des projets au niveau national ?
L.R. : C’est un double enjeu. La gouvernance et l’organisation nationale des projets sont désormais déterminantes, mais la stabilité et la lisibilité du cadre européen restent tout aussi essentielles. Le socle juridique est largement posé avec la révision d’eIDAS, et la Commission a accompagné la mise en œuvre à travers la boîte à outils, les pilotes et des travaux techniques complémentaires autour de l’écosystème du portefeuille.
En parallèle, les États membres font face à une pression très concrète. Le calendrier est ambitieux, la maturité technique inégale, les ressources parfois insuffisantes dans certaines administrations, et les enjeux de cybersécurité ne cessent de monter. On ne parle plus simplement de conformité, mais de la capacité à faire fonctionner une infrastructure nationale résiliente en conditions réelles. L’évolution de l’agenda cyber européen au sens large le confirme, la résilience est devenue un enjeu central des infrastructures publiques numériques.
Le plus difficile, à mon sens, c’est de transformer la réglementation en modèle opérationnel. Il faudra définir clairement qui pilote, assurer la coordination entre ministères et secteur privé, et être en mesure de réagir rapidement lorsque les risques ou les exigences évoluent. L’expérience de Diia le démontre concrètement, car face à une pression cyber permanente, l’infrastructure d’identité numérique doit être gouvernée comme une infrastructure critique, et non comme un projet informatique parmi d’autres.
SNC : L’un des enjeux majeurs du portefeuille européen est la création d’un écosystème d’usages, au-delà des seuls services administratifs. Quels leviers permettent, selon votre expérience, d’entraîner l’ensemble d’un écosystème — administrations, banques, opérateurs ou entreprises — autour d’une identité numérique ?
L.R. : Je vois cinq leviers essentiels.
Le premier est l’utilité concrète. Un écosystème de portefeuille ne se déploie pas parce qu’il est imposé par la loi ; il se déploie parce qu’il simplifie des gestes importants du quotidien. Cela suppose de cibler très tôt les usages à forte fréquence où l’identité crée une valeur immédiate, comme l’ouverture de compte bancaire, l’activation d’une carte SIM, l’accès à des services réglementés, la signature de contrats, la vérification de l’âge, ou encore l’onboarding. Le cadre européen va d’ailleurs dans ce sens, puisqu’il prévoit explicitement l’utilisation du portefeuille par des acteurs privés dans la banque, les transports, l’énergie et les télécommunications.
Le deuxième levier est l’acceptation large, par opposition à des pilotes isolés. Les citoyens ne raisonnent pas en termes d’identité « publique » ou « privée ». Ils attendent un instrument de confiance unique, qui fonctionne sur l’ensemble des parcours qui comptent. Si le portefeuille est opérationnel pour les impôts ou l’administration, mais pas pour la banque, le forfait mobile ou l’assurance, la confiance s’effrite très vite. L’expérience ukrainienne montre que le succès vient lorsque l’État et le secteur privé construisent simultanément leur infrastructure d’acceptation.
Le troisième levier est un modèle de gouvernance et de confiance. L’écosystème se met en mouvement lorsque les rôles sont clairement définis ; qui émet les attestations, qui les vérifie, qui porte la responsabilité, comment les parties utilisatrices s’enregistrent, et comment les niveaux de garantie se traduisent en décisions opérationnelles. L’architecture EUDI progresse dans cette direction avec les règles du portefeuille, l’enregistrement des parties utilisatrices, les cadres d’émission et les exigences de certification. Sans cette clarté, les grandes banques et les opérateurs télécoms resteront frileux.
Quatrième levier : la simplicité d’intégration pour le marché. Les banques et les entreprises n’intégreront pas, solution par solution et à grands frais, chaque implémentation nationale. Elles ont besoin de briques techniques réutilisables, d’attributs standardisés, de cadres de confiance interopérables et d’un parcours d’enrôlement fluide en tant que partie utilisatrice. C’est précisément la vocation des pilotes à grande échelle lancés par la Commission, qui mobilisent des centaines d’entités publiques et privées à travers l’Europe pour démontrer que l’interopérabilité et la scalabilité en charge fonctionnent en pratique.
Enfin, le cinquième levier, souvent sous-estimé, est la confiance des utilisateurs. Les citoyens doivent comprendre ce que fait le portefeuille, dans quels cas il fonctionne, quelles données sont partagées, et en quoi cette solution est plus sûre que le modèle d’identité fragmenté qui prévaut aujourd’hui. Un portefeuille techniquement irréprochable mais dépourvu de stratégie de communication et d’adoption restera un exercice de conformité plutôt qu’une infrastructure nationale.
En résumé, pour mobiliser l’ensemble de l’écosystème, l’Europe doit réunir cinq éléments : des parcours utiles, une acceptation large, une gouvernance claire, une intégration simple et la confiance du public. Si ces cinq conditions sont réunies, le portefeuille peut devenir un véritable catalyseur du marché. À défaut, il demeurera un concept prometteur dont l’adoption restera limitée.
SNC : Les portefeuilles d’identité numériques posent aussi des questions sensibles de confiance, de sécurité et de souveraineté des données. Quels enseignements l’Europe peut-elle tirer de l’expérience ukrainienne sur ces sujets ?
L.R. : Trois leçons majeures se dégagent.
La première, c’est que la confiance doit se construire dès le premier jour. Lorsque les citoyens font confiance au portefeuille, ils ne se contentent pas de l’utiliser, ils le défendent, le recommandent, et en font une source de fierté nationale. C’est exactement ce qui s’est produit avec Diia. Pour l’Europe, cela signifie que la communication ne peut pas être traitée après coup. Les autorités doivent expliquer clairement, dès le départ, à quoi sert le portefeuille, comment les données sont protégées, et en quoi il simplifie la vie quotidienne. Si la confiance initiale est fragilisée par la confusion, la désinformation ou des instrumentalisations politiques, l’adoption devient beaucoup plus difficile.
La deuxième leçon porte sur la cybersécurité, qui doit être traitée comme une condition opérationnelle permanente et non comme un simple exercice de conformité. L’Ukraine vit sous pression cyber soutenue depuis des années. En janvier 2022, quelques semaines avant l’invasion à grande échelle, des attaques destructrices par malware ont frappé plusieurs réseaux gouvernementaux ukrainiens, dont le portail national des services numériques. La justice américaine a par la suite qualifié cette opération d’attaque coordonnée du GRU, utilisant le malware WhisperGate, conçu pour détruire systèmes et données en amont de l’invasion. Plus largement, les autorités ukrainiennes font état d’une forte hausse d’incidents cyber depuis le début de la guerre. Le message pour l’Europe est clair : les attaques contre l’infrastructure du portefeuille ne sont pas un risque hypothétique, mais une réalité à intégrer en permanence, a fortiori dans un contexte de guerre hybride.
Enfin, le troisième enseignement concerne la souveraineté des données et la résilience. La souveraineté ne consiste pas uniquement à conserver les données sous contrôle national quand tout va bien. Elle implique aussi de disposer d’un plan B crédible lorsque, du fait d’une guerre, d’une invasion, d’une occupation ou d’une catastrophe majeure, il n’existe plus d’endroit sûr sur le territoire pour stocker les données critiques de l’État. L’Ukraine l’a vécu, ce scénario n’est pas théorique. En situation extrême, un gouvernement doit pouvoir agir vite – juridiquement, techniquement et politiquement – pour garantir que les données souveraines restent protégées, accessibles et sous un contrôle de confiance, y compris si cela nécessite des dispositifs temporaires de stockage ou de sauvegarde hors du pays. Ces solutions doivent en outre pouvoir évoluer aussi rapidement que la situation sécuritaire.
Pour l’Europe, la véritable souveraineté suppose la résilience. Un écosystème de portefeuille ne peut pas reposer sur des hypothèses de temps de paix. Il doit intégrer des plans de continuité pour les scénarios les plus dégradés, y compris des sauvegardes transfrontalières sécurisées lorsque l’infrastructure nationale ne peut plus être pleinement garantie.
En somme, l’enseignement central que livre l’Ukraine tient en ceci : un portefeuille réussit quand la confiance est protégée, la cybersécurité traitée comme une défense continue, et la souveraineté adossée à une planification de résilience à la hauteur des enjeux. Sans ces trois piliers, même une technologie très aboutie aura du mal à s’imposer comme une infrastructure véritablement essentielle.
SNC : Avec le recul sur le déploiement de Diia, quelle serait selon vous l’erreur stratégique la plus probable que pourraient commettre les États européens dans le déploiement de l’EUDI Wallet ?
L.R. : L’erreur fondamentale serait de traiter le portefeuille comme un déploiement technologique alors qu’il s’agit avant tout d’un déploiement de confiance et d’acceptation.
L’Europe investit considérablement dans les standards, les pilotes et l’interopérabilité, et c’est absolument nécessaire. Mais le cadre EUDI est conçu pour fonctionner au-delà des frontières et pour s’étendre aux usages du secteur privé. Mais si les États membres se concentrent principalement sur la conformité, l’architecture et les échéances de livraison, sans se préoccuper suffisamment de savoir où le portefeuille fonctionnera concrètement pour les citoyens dès le premier jour, ils risquent de susciter la déception plutôt que l’adoption.
L’expérience de Diia montre que le succès ne vient pas du simple lancement de documents numériques. Il vient au moment où la vérification, l’acceptation et l’utilisabilité en conditions réelles deviennent opérationnelles, dans les administrations comme dans les services privés. C’est à ce stade qu’un portefeuille commence à être perçu comme une infrastructure, et non comme une application. La littérature sur les infrastructures publiques numériques confirme cette analyse : ce sont l’interopérabilité, la coordination intersectorielle et la fluidité des parcours qui font de l’identité numérique un réflexe du quotidien.
L’erreur stratégique à éviter est donc de demander aux citoyens de faire confiance à un portefeuille avant que l’écosystème ne soit prêt à honorer cette promesse. Si les utilisateurs s’attendent à pouvoir s’en servir, mais que l’acceptation est inégale, le support flou ou la proposition de valeur peu lisible, la confiance se détériore très rapidement. Et une confiance perdue au démarrage est infiniment plus difficile à reconstruire.
En pratique, trois écueils sont à éviter : une gouvernance fragmentée, une communication insuffisante et un défaut d’adhésion du secteur privé. Le portefeuille ne doit pas être présenté comme un jalon réglementaire. Il doit être introduit comme une infrastructure fiable, largement acceptée et sécurisée, qui améliore concrètement le quotidien. C’est la leçon la plus nette que nous laisse Diia.
