Avertissement : ce dossier a une visée informative générale. Il ne constitue ni un conseil en investissement, ni un conseil juridique, comptable ou fiscal individualisé. La mise en œuvre d’un dispositif d’identité décentralisée engage la conformité au règlement général sur la protection des données et aux obligations LCB-FT : avant tout déploiement, consultez un conseil juridique spécialisé et le délégué à la protection des données de votre organisation. Les références techniques renvoient à des documents publics observés sur la période 2024-2026 et restent susceptibles d’évoluer.
L’identité décentralisée est devenue, en 2026, un sujet de comité de direction. La raison tient en deux faits : l’entrée en application progressive du règlement européen eIDAS 2.0, qui imposera d’ici fin 2026 un portefeuille européen d’identité numérique à chaque État membre, et la maturité des standards techniques publiés par le World Wide Web Consortium. Ce dossier explique ce que recouvre vraiment la notion de DID, comment elle s’articule avec la blockchain sans s’y réduire, et quelles obligations encadrent son usage par une entreprise française.
Identifiant décentralisé : ce que dit la recommandation W3C
Un identifiant décentralisé, ou Decentralized Identifier, est une chaîne de caractères normalisée par le standard Decentralized Identifiers DID Core 1.0, publié comme recommandation officielle par le World Wide Web Consortium en juillet 2022. Sa syntaxe se résume à trois segments séparés par deux-points : le préfixe did, une méthode qui désigne la logique de résolution, puis un identifiant spécifique à cette méthode. Un exemple type prend la forme did:web:exemple.fr:identites:42 ou did:key:z6MkpTHR....
La force du modèle ne tient pas à la chaîne elle-même mais à ce vers quoi elle résout. Chaque DID se résout en un document DID au format JSON, qui contient au minimum les clés publiques associées au sujet, les méthodes d’authentification reconnues et les points de service exposés. Ce document peut être hébergé sur un site web, dans un registre distribué, sur une sidechain ou dans une base de confiance gouvernementale : la méthode dicte l’endroit et la procédure de résolution.
Cette indirection est ce qui distingue un DID d’une simple adresse blockchain. Là où une adresse Ethereum est figée à une clé donnée et n’expose aucune sémantique, un DID peut faire pivoter ses clés, ajouter un service ou désactiver une délégation sans changer l’identifiant public lui-même. C’est la propriété cardinale qui rend l’usage en entreprise viable sur la durée, là où une rotation de clés casserait toute relation existante avec une adresse classique. Notre comparatif des modèles hot et cold wallets replace cette logique de clés dans la hiérarchie globale de la garde.
Verifiable Credentials : la pièce qui rend les DID exploitables
Un identifiant seul n’a aucune valeur juridique ou métier. C’est l’attestation vérifiable, Verifiable Credential dans la terminologie du World Wide Web Consortium, qui transporte une information signée par un émetteur. Le modèle de données est défini par la recommandation Verifiable Credentials Data Model 2.0, publiée en 2025 après plusieurs années de pilotes industriels.
Une attestation vérifiable contient quatre éléments : l’identifiant de l’émetteur, l’identifiant du sujet, une ou plusieurs affirmations ou claims portant sur ce sujet, et une signature cryptographique. L’affirmation peut être un état civil, un diplôme, un statut professionnel, un niveau KYC validé par une banque, une qualification PSAN ou PSCA. La signature lie le tout à l’émetteur de façon non répudiable. Le sujet peut ensuite présenter une ou plusieurs attestations à un vérificateur via un portefeuille, sans repasser par l’émetteur, ce qui ouvre la porte à des parcours d’onboarding réutilisable.
Ce triangle entre émetteur, détenteur et vérificateur est la structure fondamentale du domaine. Le détenteur n’a pas besoin d’autorisation préalable pour présenter ce qu’il détient, et le vérificateur n’a pas besoin de contacter l’émetteur à chaque vérification, puisque la signature et le statut de révocation suffisent. C’est en ce sens que l’identité décentralisée diffère radicalement d’un fédérateur centralisé comme un identifiant social classique.
eIDAS 2.0 et le portefeuille européen EUDI Wallet
Le règlement (UE) 2024/1183 du 11 avril 2024, couramment désigné comme eIDAS 2.0, a transformé le paysage. Il oblige chaque État membre à mettre à disposition de ses citoyens et de ses entreprises un portefeuille européen d’identité numérique, dit EUDI Wallet, capable de stocker et de présenter des attestations électroniques d’attribut. L’architecture de référence, publiée et mise à jour régulièrement par la Commission européenne dans le cadre du projet EU Digital Identity Wallet, retient un modèle de données fortement aligné sur les Verifiable Credentials du W3C, sans imposer une méthode DID unique.
Cette ambiguïté volontaire est stratégique. Le régulateur européen ne souhaite pas verrouiller l’écosystème sur une méthode propriétaire ou sur une blockchain particulière ; il définit des propriétés que toute implémentation doit respecter, en particulier la sélectivité de la divulgation et la non-corrélation entre vérifications. Plusieurs grands consortiums pilotes, dont les groupes EUDI Wallet pour l’identification de personnes physiques, l’éducation, le paiement et la fonction publique, expérimentent des combinaisons de did:web et de did:key pour assurer cette interopérabilité.
Pour une entreprise française régulée, la conséquence est concrète : à horizon 2026 et au-delà, un client pourra présenter via son portefeuille européen une attestation qualifiée par sa banque, son administration ou son employeur, sans repasser par un parcours KYC complet. Notre dossier MiCA et le règlement européen sur les crypto-actifs détaille les obligations sectorielles dans lesquelles cette réutilisation prend tout son sens.
RGPD : pourquoi la blockchain n’est presque jamais le bon registre
Une confusion persistante dans le débat public consiste à assimiler identité décentralisée et blockchain publique. Or les deux ne se recouvrent que partiellement. Une méthode DID peut résoudre sans aucun registre distribué, comme did:web qui repose sur le système de noms de domaine, ou did:key qui n’exige aucune infrastructure. Et lorsqu’un registre est mobilisé, il peut tout aussi bien être une autorité de certification gouvernementale, une chaîne de consortium permissionnée ou une chaîne publique.
L’enjeu principal qui dicte ce choix est le règlement général sur la protection des données. La Commission nationale de l’informatique et des libertés a rappelé dans plusieurs prises de position publiques que l’inscription en clair de données personnelles sur un registre public est en pratique incompatible avec le droit à l’effacement, puisqu’un registre distribué est par construction non révocable. Une analyse synthétique de ces enjeux figure dans le rapport Blockchain et règlement général sur la protection des données publié par la commission.
La pratique professionnelle 2026 inscrit donc sur registre uniquement des preuves cryptographiques : identifiant de schéma, racine de Merkle d’un statut de révocation, empreinte d’une attestation. Les données personnelles elles-mêmes sont conservées dans des bases hors-chaîne chiffrées, soumises aux droits classiques de la personne concernée. Cette ligne de partage est aujourd’hui le critère qui sépare un projet sérieux d’un projet exposé au superviseur. Notre dossier sur la gouvernance DAO illustre une logique parallèle de responsabilité documentée.
Cas d’usage entreprise : du KYC réutilisable au passeport professionnel
L’identité décentralisée n’a de sens que par les usages qu’elle débloque. Trois familles dominent en 2026.
La première est le KYC réutilisable. Une banque ou un prestataire de services sur crypto-actifs qui a déjà conduit une procédure de connaissance du client peut délivrer une attestation vérifiable couvrant les éléments standardisés : nom, date de naissance, vérification d’adresse, niveau de risque. Un autre acteur régulé peut, sous sa propre responsabilité, accepter cette attestation comme intrant et ne demander que les informations spécifiques à sa profession. Le règlement européen sur les crypto-actifs et la sixième directive LCB-FT autorisent expressément cette délégation de vérification, sous réserve que le prestataire entrant conserve la responsabilité finale. Notre dossier KYC et AML pour les entreprises crypto détaille les conditions opérationnelles.
La deuxième famille est l’accès employé et le passeport professionnel. Une attestation signée par l’employeur peut transporter le rôle, le périmètre d’habilitation et la date de validité, et alimenter une politique d’accès aux outils internes sans recourir à un identifiant fédéré classique. Le bénéfice opérationnel est la portabilité entre prestataires et la révocation immédiate à la sortie d’un collaborateur, sans dépendance à un fournisseur unique d’authentification.
La troisième famille est la traçabilité contractuelle entre acteurs régulés : émission de garanties bancaires, transfert d’instruments financiers tokenisés, conformité de la Travel Rule sur les transferts crypto entre prestataires. Notre dossier sur la Travel Rule TFR explique cette obligation et le rôle qu’y joue une attestation vérifiable d’identité du donneur d’ordre et du bénéficiaire.
Mettre en œuvre : choix de méthode et trajectoire 2026
Le registre officiel des méthodes DID maintenu par le World Wide Web Consortium recense plus d’une centaine d’entrées en 2026. Pour une entreprise sérieuse, le sous-ensemble pertinent se réduit à trois options bien outillées. La méthode did:web s’appuie sur le système de noms de domaine et un fichier JSON publié sur le serveur officiel de l’organisation : la résolution est triviale à auditer, le contrôle revient au propriétaire du domaine, aucune dépendance à une blockchain n’est introduite. La méthode did:key encode directement une clé publique dans l’identifiant, idéale pour les identités éphémères, les démonstrations hors ligne et les pairs anonymes. La méthode did:ion, opérée par Microsoft sur une sidechain Bitcoin, vise les déploiements à grande échelle.
La trajectoire 2026 d’une entreprise française se construit en trois étapes. Premièrement, publier un identifiant did:web rattaché au domaine corporate, signé par une infrastructure de clés interne déjà gouvernée. Deuxièmement, émettre une première attestation vérifiable pilote sur un cas restreint, par exemple le rôle d’un collaborateur dans une application interne. Troisièmement, ouvrir l’écosystème par une participation à un consortium sectoriel aligné sur les exigences eIDAS 2.0, ce qui prépare l’interopérabilité avec le portefeuille européen EUDI Wallet à mesure de son déploiement.
Cette progression évite l’écueil le plus fréquent de la période : faire de l’identité décentralisée une démonstration technique sans usage, ou inversement plonger directement dans un projet réglementé sans maîtriser la cryptographie sous-jacente. La discipline d’une montée en charge graduelle, documentée par une politique de gestion des clés et une revue avec le délégué à la protection des données, est ce qui distingue les projets qui passeront le contrôle du superviseur de ceux qui resteront au stade du prototype.
Conclusion : un standard arrivé à maturité, à intégrer pas à pas
L’identité décentralisée n’est plus un sujet expérimental. Les standards du World Wide Web Consortium sont publiés comme recommandations officielles, le règlement eIDAS 2.0 imposera un portefeuille européen d’ici la fin 2026, et plusieurs grands acteurs régulés français ont déjà engagé des pilotes alignés. La question pour une entreprise n’est plus de savoir si l’identité décentralisée va s’imposer, mais à quelle vitesse l’intégrer à ses processus d’onboarding, d’accès et de conformité.
La bonne hygiène consiste à séparer ce qui est public et inchangeable, donc cryptographique, de ce qui est personnel et révocable, donc hors-chaîne. Elle consiste aussi à choisir des méthodes auditées, à documenter une gouvernance des clés, et à articuler le dispositif avec les obligations existantes de connaissance du client, de lutte contre le blanchiment et de protection des données. Sur ce socle, l’identité décentralisée tient sa promesse : un identifiant universel, sous le contrôle de son sujet, qui résiste à la rotation des fournisseurs et à l’évolution des chaînes.