Blockchaine Pro .com
Blockchain B2B

Identité décentralisée DID W3C : standards et entreprise 2026

DID W3C en 2026 : standards Decentralized Identifiers et Verifiable Credentials, adoption entreprise, articulation avec eIDAS 2.0 et le portefeuille européen EUDI Wallet.

Avertissement : ce dossier a une visée informative générale. Il ne constitue ni un conseil en investissement, ni un conseil juridique, comptable ou fiscal individualisé. La mise en œuvre d’un dispositif d’identité décentralisée engage la conformité au règlement général sur la protection des données et aux obligations LCB-FT : avant tout déploiement, consultez un conseil juridique spécialisé et le délégué à la protection des données de votre organisation. Les références techniques renvoient à des documents publics observés sur la période 2024-2026 et restent susceptibles d’évoluer.

L’identité décentralisée est devenue, en 2026, un sujet de comité de direction. La raison tient en deux faits : l’entrée en application progressive du règlement européen eIDAS 2.0, qui imposera d’ici fin 2026 un portefeuille européen d’identité numérique à chaque État membre, et la maturité des standards techniques publiés par le World Wide Web Consortium. Ce dossier explique ce que recouvre vraiment la notion de DID, comment elle s’articule avec la blockchain sans s’y réduire, et quelles obligations encadrent son usage par une entreprise française.

Identifiant décentralisé : ce que dit la recommandation W3C

Un identifiant décentralisé, ou Decentralized Identifier, est une chaîne de caractères normalisée par le standard Decentralized Identifiers DID Core 1.0, publié comme recommandation officielle par le World Wide Web Consortium en juillet 2022. Sa syntaxe se résume à trois segments séparés par deux-points : le préfixe did, une méthode qui désigne la logique de résolution, puis un identifiant spécifique à cette méthode. Un exemple type prend la forme did:web:exemple.fr:identites:42 ou did:key:z6MkpTHR....

La force du modèle ne tient pas à la chaîne elle-même mais à ce vers quoi elle résout. Chaque DID se résout en un document DID au format JSON, qui contient au minimum les clés publiques associées au sujet, les méthodes d’authentification reconnues et les points de service exposés. Ce document peut être hébergé sur un site web, dans un registre distribué, sur une sidechain ou dans une base de confiance gouvernementale : la méthode dicte l’endroit et la procédure de résolution.

Cette indirection est ce qui distingue un DID d’une simple adresse blockchain. Là où une adresse Ethereum est figée à une clé donnée et n’expose aucune sémantique, un DID peut faire pivoter ses clés, ajouter un service ou désactiver une délégation sans changer l’identifiant public lui-même. C’est la propriété cardinale qui rend l’usage en entreprise viable sur la durée, là où une rotation de clés casserait toute relation existante avec une adresse classique. Notre comparatif des modèles hot et cold wallets replace cette logique de clés dans la hiérarchie globale de la garde.

Verifiable Credentials : la pièce qui rend les DID exploitables

Un identifiant seul n’a aucune valeur juridique ou métier. C’est l’attestation vérifiable, Verifiable Credential dans la terminologie du World Wide Web Consortium, qui transporte une information signée par un émetteur. Le modèle de données est défini par la recommandation Verifiable Credentials Data Model 2.0, publiée en 2025 après plusieurs années de pilotes industriels.

Une attestation vérifiable contient quatre éléments : l’identifiant de l’émetteur, l’identifiant du sujet, une ou plusieurs affirmations ou claims portant sur ce sujet, et une signature cryptographique. L’affirmation peut être un état civil, un diplôme, un statut professionnel, un niveau KYC validé par une banque, une qualification PSAN ou PSCA. La signature lie le tout à l’émetteur de façon non répudiable. Le sujet peut ensuite présenter une ou plusieurs attestations à un vérificateur via un portefeuille, sans repasser par l’émetteur, ce qui ouvre la porte à des parcours d’onboarding réutilisable.

Ce triangle entre émetteur, détenteur et vérificateur est la structure fondamentale du domaine. Le détenteur n’a pas besoin d’autorisation préalable pour présenter ce qu’il détient, et le vérificateur n’a pas besoin de contacter l’émetteur à chaque vérification, puisque la signature et le statut de révocation suffisent. C’est en ce sens que l’identité décentralisée diffère radicalement d’un fédérateur centralisé comme un identifiant social classique.

eIDAS 2.0 et le portefeuille européen EUDI Wallet

Le règlement (UE) 2024/1183 du 11 avril 2024, couramment désigné comme eIDAS 2.0, a transformé le paysage. Il oblige chaque État membre à mettre à disposition de ses citoyens et de ses entreprises un portefeuille européen d’identité numérique, dit EUDI Wallet, capable de stocker et de présenter des attestations électroniques d’attribut. L’architecture de référence, publiée et mise à jour régulièrement par la Commission européenne dans le cadre du projet EU Digital Identity Wallet, retient un modèle de données fortement aligné sur les Verifiable Credentials du W3C, sans imposer une méthode DID unique.

Cette ambiguïté volontaire est stratégique. Le régulateur européen ne souhaite pas verrouiller l’écosystème sur une méthode propriétaire ou sur une blockchain particulière ; il définit des propriétés que toute implémentation doit respecter, en particulier la sélectivité de la divulgation et la non-corrélation entre vérifications. Plusieurs grands consortiums pilotes, dont les groupes EUDI Wallet pour l’identification de personnes physiques, l’éducation, le paiement et la fonction publique, expérimentent des combinaisons de did:web et de did:key pour assurer cette interopérabilité.

Pour une entreprise française régulée, la conséquence est concrète : à horizon 2026 et au-delà, un client pourra présenter via son portefeuille européen une attestation qualifiée par sa banque, son administration ou son employeur, sans repasser par un parcours KYC complet. Notre dossier MiCA et le règlement européen sur les crypto-actifs détaille les obligations sectorielles dans lesquelles cette réutilisation prend tout son sens.

RGPD : pourquoi la blockchain n’est presque jamais le bon registre

Une confusion persistante dans le débat public consiste à assimiler identité décentralisée et blockchain publique. Or les deux ne se recouvrent que partiellement. Une méthode DID peut résoudre sans aucun registre distribué, comme did:web qui repose sur le système de noms de domaine, ou did:key qui n’exige aucune infrastructure. Et lorsqu’un registre est mobilisé, il peut tout aussi bien être une autorité de certification gouvernementale, une chaîne de consortium permissionnée ou une chaîne publique.

L’enjeu principal qui dicte ce choix est le règlement général sur la protection des données. La Commission nationale de l’informatique et des libertés a rappelé dans plusieurs prises de position publiques que l’inscription en clair de données personnelles sur un registre public est en pratique incompatible avec le droit à l’effacement, puisqu’un registre distribué est par construction non révocable. Une analyse synthétique de ces enjeux figure dans le rapport Blockchain et règlement général sur la protection des données publié par la commission.

La pratique professionnelle 2026 inscrit donc sur registre uniquement des preuves cryptographiques : identifiant de schéma, racine de Merkle d’un statut de révocation, empreinte d’une attestation. Les données personnelles elles-mêmes sont conservées dans des bases hors-chaîne chiffrées, soumises aux droits classiques de la personne concernée. Cette ligne de partage est aujourd’hui le critère qui sépare un projet sérieux d’un projet exposé au superviseur. Notre dossier sur la gouvernance DAO illustre une logique parallèle de responsabilité documentée.

Cas d’usage entreprise : du KYC réutilisable au passeport professionnel

L’identité décentralisée n’a de sens que par les usages qu’elle débloque. Trois familles dominent en 2026.

La première est le KYC réutilisable. Une banque ou un prestataire de services sur crypto-actifs qui a déjà conduit une procédure de connaissance du client peut délivrer une attestation vérifiable couvrant les éléments standardisés : nom, date de naissance, vérification d’adresse, niveau de risque. Un autre acteur régulé peut, sous sa propre responsabilité, accepter cette attestation comme intrant et ne demander que les informations spécifiques à sa profession. Le règlement européen sur les crypto-actifs et la sixième directive LCB-FT autorisent expressément cette délégation de vérification, sous réserve que le prestataire entrant conserve la responsabilité finale. Notre dossier KYC et AML pour les entreprises crypto détaille les conditions opérationnelles.

La deuxième famille est l’accès employé et le passeport professionnel. Une attestation signée par l’employeur peut transporter le rôle, le périmètre d’habilitation et la date de validité, et alimenter une politique d’accès aux outils internes sans recourir à un identifiant fédéré classique. Le bénéfice opérationnel est la portabilité entre prestataires et la révocation immédiate à la sortie d’un collaborateur, sans dépendance à un fournisseur unique d’authentification.

La troisième famille est la traçabilité contractuelle entre acteurs régulés : émission de garanties bancaires, transfert d’instruments financiers tokenisés, conformité de la Travel Rule sur les transferts crypto entre prestataires. Notre dossier sur la Travel Rule TFR explique cette obligation et le rôle qu’y joue une attestation vérifiable d’identité du donneur d’ordre et du bénéficiaire.

Mettre en œuvre : choix de méthode et trajectoire 2026

Le registre officiel des méthodes DID maintenu par le World Wide Web Consortium recense plus d’une centaine d’entrées en 2026. Pour une entreprise sérieuse, le sous-ensemble pertinent se réduit à trois options bien outillées. La méthode did:web s’appuie sur le système de noms de domaine et un fichier JSON publié sur le serveur officiel de l’organisation : la résolution est triviale à auditer, le contrôle revient au propriétaire du domaine, aucune dépendance à une blockchain n’est introduite. La méthode did:key encode directement une clé publique dans l’identifiant, idéale pour les identités éphémères, les démonstrations hors ligne et les pairs anonymes. La méthode did:ion, opérée par Microsoft sur une sidechain Bitcoin, vise les déploiements à grande échelle.

La trajectoire 2026 d’une entreprise française se construit en trois étapes. Premièrement, publier un identifiant did:web rattaché au domaine corporate, signé par une infrastructure de clés interne déjà gouvernée. Deuxièmement, émettre une première attestation vérifiable pilote sur un cas restreint, par exemple le rôle d’un collaborateur dans une application interne. Troisièmement, ouvrir l’écosystème par une participation à un consortium sectoriel aligné sur les exigences eIDAS 2.0, ce qui prépare l’interopérabilité avec le portefeuille européen EUDI Wallet à mesure de son déploiement.

Cette progression évite l’écueil le plus fréquent de la période : faire de l’identité décentralisée une démonstration technique sans usage, ou inversement plonger directement dans un projet réglementé sans maîtriser la cryptographie sous-jacente. La discipline d’une montée en charge graduelle, documentée par une politique de gestion des clés et une revue avec le délégué à la protection des données, est ce qui distingue les projets qui passeront le contrôle du superviseur de ceux qui resteront au stade du prototype.

Conclusion : un standard arrivé à maturité, à intégrer pas à pas

L’identité décentralisée n’est plus un sujet expérimental. Les standards du World Wide Web Consortium sont publiés comme recommandations officielles, le règlement eIDAS 2.0 imposera un portefeuille européen d’ici la fin 2026, et plusieurs grands acteurs régulés français ont déjà engagé des pilotes alignés. La question pour une entreprise n’est plus de savoir si l’identité décentralisée va s’imposer, mais à quelle vitesse l’intégrer à ses processus d’onboarding, d’accès et de conformité.

La bonne hygiène consiste à séparer ce qui est public et inchangeable, donc cryptographique, de ce qui est personnel et révocable, donc hors-chaîne. Elle consiste aussi à choisir des méthodes auditées, à documenter une gouvernance des clés, et à articuler le dispositif avec les obligations existantes de connaissance du client, de lutte contre le blanchiment et de protection des données. Sur ce socle, l’identité décentralisée tient sa promesse : un identifiant universel, sous le contrôle de son sujet, qui résiste à la rotation des fournisseurs et à l’évolution des chaînes.

Questions fréquentes

Quelle est la différence concrète entre un DID et une adresse blockchain classique en 2026 ?
Une adresse blockchain est un identifiant technique propre à un protocole donné : elle est dérivée d'une clé publique selon les règles d'Ethereum, de Bitcoin ou d'une autre chaîne, et ne porte aucune sémantique au-delà de cette chaîne. Un identifiant décentralisé, ou DID, est au contraire un identifiant universel normalisé par le World Wide Web Consortium qui se résout vers un document descriptif contenant plusieurs clés publiques, plusieurs points de service et une logique de rotation. La méthode de résolution est explicite dans la chaîne elle-même, par exemple did:web pour un nom de domaine, did:key pour une clé brute ou did:ion pour le registre sidechain de Microsoft. Cette indirection sépare l'identité de toute infrastructure particulière : le sujet peut changer de clé, ajouter un service, révoquer une délégation sans changer son identifiant public, ce qu'une adresse blockchain seule ne permet pas. Notre dossier sur les wallets chauds et froids situe ces clés dans la hiérarchie de garde.
Le portefeuille européen EUDI Wallet utilise-t-il vraiment des DID en 2026 ?
Le règlement (UE) 2024/1183 du 11 avril 2024, dit eIDAS 2.0, et son architecture de référence ARF publiée par la Commission européenne ne mentionnent pas le terme DID comme obligation textuelle : ils définissent une notion plus large d'identifiant et d'attestation électronique d'attribut. En pratique, l'architecture de référence retient un modèle de données très proche des Verifiable Credentials du W3C, et plusieurs grands projets pilotes des consortiums européens choisissent explicitement des méthodes DID interopérables pour les attestations délivrées. La logique est donc la suivante : le portefeuille européen n'impose pas une méthode unique, mais il rend possible et privilégie les méthodes ouvertes alignées sur les standards W3C, ce qui assure une compatibilité avec les écosystèmes existants. Notre dossier KYC et AML pour les entreprises crypto détaille les conséquences opérationnelles attendues sur l'onboarding réutilisable.
Une entreprise française doit-elle stocker des données personnelles sur la blockchain pour faire de l'identité décentralisée ?
Surtout pas. La Commission nationale de l'informatique et des libertés a rappelé à plusieurs reprises que le règlement général sur la protection des données s'applique pleinement aux traitements adossés à un registre distribué, et que l'inscription de données personnelles en clair sur un registre public est en pratique incompatible avec le droit à l'effacement. La pratique recommandée par les architectes du domaine consiste à inscrire sur le registre uniquement des preuves cryptographiques non renversables, par exemple un identifiant de schéma de credential ou une racine de Merkle d'un statut de révocation, tandis que les données personnelles elles-mêmes sont conservées dans des bases hors-chaîne chiffrées et soumises aux droits classiques de la personne concernée. Notre dossier DAC8 illustre l'articulation entre traçabilité fiscale et droits du contribuable, parallèle utile pour comprendre cette ligne de partage.
Comment l'identité décentralisée s'articule-t-elle avec les obligations KYC d'un prestataire crypto en 2026 ?
Le règlement européen sur les crypto-actifs MiCA, dit règlement (UE) 2023/1114, et la sixième directive LCB-FT n'autorisent pas un prestataire de services sur crypto-actifs à supprimer son devoir d'identification du client : ils l'autorisent en revanche à s'appuyer sur des vérifications réalisées par un tiers, dès lors que la responsabilité finale reste portée par le prestataire entrant. C'est précisément ce que permet une attestation d'identité réutilisable signée par un acteur de confiance et présentée par le client via un portefeuille DID. Le scénario type, observé en 2026 chez plusieurs banques et exchanges agréés, consiste à accepter une attestation déjà délivrée par une banque ou une administration, à en vérifier la signature et le statut de révocation en ligne, puis à compléter la collecte par les données spécifiquement requises par la profession. Notre guide PSAN AMF détaille les attentes du superviseur sur la qualité des dispositifs internes.
Quelles méthodes DID privilégier pour un projet d'entreprise sérieux en 2026 ?
Le registre officiel des méthodes maintenu par le World Wide Web Consortium en recense plus d'une centaine, mais le sous-ensemble pertinent pour un usage professionnel discipliné se limite à quelques options bien outillées. La méthode did:web s'appuie sur le système de noms de domaine et un fichier publié sur le serveur de l'entreprise : sa résolution ne dépend d'aucune blockchain, l'audit y est trivial, et le contrôle revient au propriétaire du domaine. La méthode did:key encode une clé publique brute dans l'identifiant lui-même, idéale pour les identités éphémères et les contextes hors ligne. La méthode did:ion, pilotée par Microsoft sur une sidechain Bitcoin, vise les déploiements à grande échelle. Pour une trésorerie ou une fonction réglementée, la combinaison did:web pour l'organisation et did:key pour les acteurs individuels offre le meilleur compromis entre simplicité et auditabilité. Notre tutoriel multisig Safe illustre la gouvernance des clés qui sous-tend ces choix.

Avertissement. Cet article est éditorial. Il ne constitue pas un conseil en investissement personnalisé ni une sollicitation. Les actifs numériques présentent un risque de perte en capital total. Vérifiez le statut PSAN ou CASP de tout prestataire avant d'agir et, en cas de doute sur votre situation fiscale, consultez un expert-comptable ou un avocat fiscaliste.

Plus d'articles sur Blockchain B2B