Les mDL ISO 18013-7 dans l'onboarding bancaire et le KYC (2025)

Pendant des années, l'onboarding bancaire à distance reposait sur des processus fastidieux de connaissance du client (KYC) qui exigeaient généralement des utilisateurs qu'ils scannent une pièce d'identité physique ou un permis de conduire, souvent en combinaison avec une vérification du vivant (liveness check) ou un appel vidéo en direct. Cette méthode génère beaucoup de friction et est exposée à de nouvelles vulnérabilités de sécurité basées sur l'IA.

Cependant, un changement majeur est en train de se produire. Au cours des prochaines années, ces processus traditionnels seront remplacés par des identifiants numériques sécurisés et centrés sur l'utilisateur. Au cœur de cette transformation se trouve le permis de conduire mobile (mDL), qui a déjà commencé à se répandre dans différentes régions. La norme ISO/IEC 18013-7 en est le principal catalyseur, offrant un cadre sécurisé pour présenter ces identifiants numériques en ligne.

Alors que notre précédent article sur l'API Digital Credentials (2025) : Chrome & Safari couvrait la technologie au sens large, cette analyse se concentre spécifiquement sur la manière dont les mDL conformes à la norme ISO 18013-7 sont adoptés dans le secteur bancaire. Nous examinerons la situation actuelle dans trois marchés clés, les États-Unis, l'Australie et l'Europe, pour comprendre comment les institutions financières passent des premiers projets pilotes aux premiers systèmes en production.

Aux États-Unis, l'adoption des permis de conduire mobiles pour le KYC à distance passe de projets pilotes menés par le gouvernement à des plans de mise en œuvre concrets par les grandes institutions financières. Une étape clé a été la publication officielle de la norme ISO/IEC 18013-7 le 7 octobre 2024, qui définit le protocole pour présenter de manière sécurisée un mDL sur Internet.

Bien qu'aucune banque n'ait encore lancé de processus d'onboarding mDL en ligne à grande échelle à la mi-2025, les bases sont en train d'être posées. Une avancée importante est la fonctionnalité d'Apple « Verify with Wallet on the Web », annoncée lors de la WWDC 2025, parallèlement à des progrès comparables sur le navigateur Chrome de Google. Cette fonctionnalité permettra aux utilisateurs de partager des informations d'identité vérifiées provenant de mDL émis par les États et stockés dans l'Apple Wallet ou des portefeuilles tiers (Third-Party Wallets) directement avec des sites web, ce qui représente un catalyseur important pour une adoption généralisée.

Voici un résumé des initiatives clés aux États-Unis :

L'annonce d'Apple a mentionné un large éventail de partenaires de lancement, y compris les institutions financières U.S. Bank et Chime, et d'autres services comme Turo et Uber Eats. Cela indique que plus tard en 2025, on s'attend à ce que leurs clients soient parmi les premiers à utiliser l'identifiant numérique de leur iPhone au lieu de télécharger des documents physiques. L'initiative est également soutenue par les agences des véhicules à moteur des États de l'Arizona, de la Géorgie et du Maryland. Au-delà de l'écosystème d'Apple, le National Cybersecurity Center of Excellence (NCCoE) des États-Unis poursuit son projet de construction d'une architecture de référence pour accélérer l'adoption des mDL pour la vérification d'identité en ligne.

L'Australie a été un précurseur mondial dans le déploiement des permis de conduire numériques (DDL) au niveau des États. L'autorité de régulation financière, AUSTRAC, a donné son approbation dès 2019 pour que les banques acceptent ces identifiants numériques à des fins de KYC. Cependant, le marché est dans une phase de transition, passant de vérifications manuelles en ligne à l'exploration de plateformes d'identité numérique plus intégrées.

De nombreuses banques s'appuient encore sur la méthode classique, à forte friction, pour le KYC en ligne : exiger des clients qu'ils prennent et téléchargent des photos de leur permis de conduire physique, souvent associées à une vérification du vivant (« liveness check ») où l'utilisateur prend un selfie ou une courte vidéo. Pour aller plus loin, certaines institutions ont mis en place des solutions intermédiaires. Par exemple, le système eVerify de la banque ANZ numérise une partie du processus, permettant aux clients de s'identifier en saisissant manuellement leur numéro de carte de permis de conduire (DLCN) en ligne, qui est ensuite vérifié par rapport à une base de données du gouvernement. Bien que plus simple que le téléchargement de photos, cela ne constitue pas encore une vérification mDL entièrement automatisée où les données sont échangées de manière sécurisée et instantanée en un seul clic.

Bien que le cadre réglementaire soit en place, un échange de données fluide, piloté par API et basé sur la norme ISO 18013-7, n'est pas encore une pratique courante dans les grandes banques. L'industrie est prête pour ce changement à mesure que les cadres nationaux d'identité numérique mûrissent et que de plus en plus d'États font évoluer leurs DDL pour être entièrement conformes à une future norme en ligne.

Contrairement à l'adoption tirée par le marché aux États-Unis et en Australie, l'Union européenne poursuit une stratégie directive (« top-down »). À travers une réglementation connue sous le nom d'eIDAS 2.0, l'UE impose la création d'un marché unique et interopérable de l'identité numérique. La pierre angulaire de cette initiative est le portefeuille européen d'identité numérique (EUDI Wallet), une application mobile que chaque État membre devra proposer à ses citoyens d'ici 2026/2027. Ce portefeuille (wallet) est conçu pour contenir un large éventail d'identifiants numériques vérifiés, tels que des diplômes, des titres de transport et des certifications professionnelles.

Pour le secteur bancaire et les industries réglementées, deux identifiants au sein du portefeuille (wallet) sont intéressants : les données d'identification personnelle (PID), qui servent d'identifiant numérique national officiel, et le permis de conduire mobile (mDL). Bien qu'ils aient des fonctions différentes, l'architecture technique des deux est basée sur la série de normes ISO, faisant du format mDL discuté dans cet article un composant essentiel du cadre d'identité de l'UE. Le portefeuille permettra aux individus de partager ces attributs vérifiés par le gouvernement avec les banques et d'autres entreprises privées de manière sécurisée et contrôlée par l'utilisateur.

Ce mandat réglementaire est activement défini à travers plusieurs projets pilotes à grande échelle (LSP) lancés en 2023 pour tester des cas d'usage réels dans les domaines bancaire et des paiements. Ces pilotes impliquent des centaines d'entités publiques et privées, y compris de grandes institutions financières. Pour les industries réglementées comme la banque, la participation est obligatoire. La réglementation leur impose d'accepter l'EUDI Wallet pour l'identification des clients et l'authentification forte du client (SCA) d'ici 2027.

Voici un résumé des initiatives clés favorisant l'adoption des mDL et de l'identité numérique dans le secteur bancaire européen :

Ce mandat réglementaire va de fait banaliser la vérification d'identité à haute assurance. Lorsqu'un processus métier essentiel comme le KYC devient un service public universel soutenu par le gouvernement, l'enjeu concurrentiel ne portera plus sur la manière dont une banque vérifie une identité, mais sur ce qu'elle fait de cette identité de confiance. Les banques qui sauront exploiter les attributs vérifiés du portefeuille pour offrir des services de qualité supérieure — comme des approbations de prêt instantanées ou des paiements transfrontaliers fluides — prendront l'avantage. L'EUDI Wallet n'est pas seulement un exercice de conformité ; c'est une transformation du marché qui oblige chaque institution financière en Europe à se préparer pour la prochaine génération de services bancaires numériques.

L'ère du KYC à forte friction, qui oblige les clients à scanner des documents physiques et à effectuer des vérifications du vivant, touche à sa fin. Comme cet article l'a montré, la transition vers une vérification d'identité numérique sécurisée en un clic est bien engagée, mais les voies d'adoption diffèrent considérablement à travers le monde. Aux États-Unis, l'impulsion vient du marché, avec des géants de la tech comme Apple qui s'associent à des banques avant-gardistes telles que U.S. Bank et Chime. En Australie, un environnement réglementaire progressiste a préparé le terrain, mais l'adoption est plus graduelle à mesure que le marché passe des vérifications manuelles à des réseaux d'identité numérique véritablement intégrés. Pendant ce temps, l'Union européenne poursuit un puissant mandat directif, obligeant par la loi l'ensemble de son secteur bancaire à adopter l'EUDI Wallet et ses identifiants sous-jacents conformes à la norme ISO.

Malgré ces différentes stratégies, une base technique commune émerge : la norme ISO/IEC 18013-7. Qu'elle soit motivée par la demande du marché ou par un mandat réglementaire, elle devient le modèle mondial pour le partage sécurisé de l'identité en ligne. La trajectoire est claire. D'ici fin 2025 et courant 2026, la première vague de parcours d'onboarding conformes à la norme ISO sera probablement mise en service, transformant l'expérience utilisateur et renforçant la sécurité grâce à la vérification cryptographique des données. En fin de compte, l'adoption de la norme ISO 18013-7 représente une évolution mondiale vers une économie numérique plus sûre, privée et efficace, où l'identité vérifiée n'est plus un obstacle mais un catalyseur de confiance fluide.