Un projet qui entre dans une phase concrète
Le projet d’euro numérique a franchi plusieurs étapes décisives entre fin 2025 et le début de l’année 2026. Après une phase de préparation menée de novembre 2023 à octobre 2025, le Conseil des gouverneurs de la Banque centrale européenne (BCE) a décidé, le 30 octobre 2025, de passer à une nouvelle phase centrée sur la maturité technique, l’engagement du marché et le soutien au processus législatif.
Début 2026, l’Eurosystème a lancé la phase de préparation de son pilote en publiant, le 5 mars, un appel à candidatures auprès des prestataires de services de paiement (PSP). Ce pilote, délibérément limité, se déroulera en trois phases : préparation en 2026, développement à partir du troisième trimestre 2026, et phase opérationnelle prévue pour le second semestre 2027, pour une durée de douze mois. Il devrait mobiliser une dizaine à une trentaine de PSP couvrant l’ensemble de la zone euro, plusieurs milliers d’agents de l’Eurosystème et un nombre restreint de commerçants. La version « bêta » utilisée dans ce cadre n’aura pas cours légal.
Sur le plan législatif, le calendrier s’est également accéléré. Après l’adoption d’une position de négociation par le Conseil de l’Union européenne en décembre 2025, la commission des affaires économiques et monétaires (ECON) du Parlement européen a adopté sa position le 23 juin 2026, par 43 voix contre 14 et une abstention, ouvrant la voie aux négociations interinstitutionnelles (trilogues). La BCE indique qu’une première émission de l’euro numérique pourrait intervenir en 2029, sous réserve de l’adoption du règlement établissant l’euro numérique au cours de l’année 2026.
Parmi les caractéristiques du futur euro numérique, la fonctionnalité hors ligne constitue une innovation majeure — et l’une des plus intéressantes du point de vue de la sécurité. Cet article en propose une lecture axée sur la sécurité, la résilience et la gouvernance des paiements de détail.
Deux modes, deux modèles de sécurité
L’euro numérique est conçu pour fonctionner selon deux modes distincts, qui ne reposent pas sur la même architecture de sécurité.
Le mode en ligne s’appuie sur un système fondé sur les comptes (account-based), les transactions étant traitées et réglées via une infrastructure centralisée opérée par l’Eurosystème. C’est un modèle proche des paiements électroniques actuels, avec vérification et règlement centralisés.
Le mode hors ligne repose sur une logique différente : un instrument tokenisé, échangé directement d’appareil à appareil, et « réglé localement » à partir de dispositifs de stockage local. Cette distinction est essentielle : là où le mode en ligne peut s’appuyer sur une validation centralisée en temps réel, le mode hors ligne doit garantir la sécurité de la transaction sans connexion, donc sans possibilité de vérification centrale immédiate. C’est cette contrainte qui structure l’ensemble des enjeux de sécurité du hors-ligne.
Le hors-ligne : un équivalent numérique de l’espèce
L’objectif affiché du hors-ligne est de fournir un équivalent numérique du cash, utilisable en l’absence de connexion réseau. La BCE présente cette fonctionnalité comme un moyen de rendre le paysage européen des paiements plus résilient, tout en offrant un niveau de confidentialité proche de celui des espèces.
Concrètement, le paiement hors ligne s’effectue d’appareil à appareil, via une communication de proximité de type NFC, sans passer par un tiers ni par le réseau. Cette proximité avec l’espèce a une conséquence directe et importante, soulignée par le Parlement européen : le mode hors ligne fonctionnerait comme le cash, de sorte que la perte de l’appareil entraînerait la perte de la monnaie qui y est stockée, sans possibilité de remboursement.
Cette caractéristique illustre une rupture par rapport aux moyens de paiement électroniques habituels. L’euro numérique hors ligne se rapproche d’un instrument au porteur : la valeur est portée par l’appareil, et sa sécurité dépend étroitement de la protection du dispositif de stockage local.
Le stockage local et l’élément sécurisé : la dimension mobile
Le cœur technique du hors-ligne réside dans le stockage local sécurisé de la valeur sur l’appareil de l’utilisateur. Les travaux de la BCE reposent sur l’usage d’un élément matériel inviolable (tamper-resistant) — un élément sécurisé (secure element), une carte SIM/eSIM ou un composant de confiance équivalent — qui ne peut pas être aisément copié.
Cette dépendance au matériel soulève une question d’accès qui relève du cadre législatif. Selon les travaux de la BCE et la proposition de règlement, les fabricants d’équipements et les fournisseurs de services de communication électronique devraient accorder un accès effectif à l’élément sécurisé installé dans les appareils des utilisateurs, avec un espace de stockage suffisant pour héberger la fonctionnalité hors ligne. Cet accès est présenté comme essentiel pour garantir un accès inclusif au paiement hors ligne, notamment via les smartphones. La BCE explore par ailleurs d’autres formats (form factors), par exemple des cartes dédiées, pour ne pas dépendre uniquement du téléphone.
Pour la place financière, cette dimension mobile est structurante : la sécurité du hors-ligne se joue en partie sur des composants matériels des terminaux (élément sécurisé, provisionnement à distance du portefeuille hors ligne), qui sortent du périmètre habituellement maîtrisé par les banques. Dans le cadre du pilote, l’Eurosystème prévoit d’ailleurs de fournir aux PSP un « SDK offline » incluant les bibliothèques nécessaires aux paiements P2P hors ligne, à la communication NFC, au provisionnement du portefeuille sur l’élément sécurisé et aux contre-mesures de sécurité.
Le défi de la double dépense
Le principal défi de sécurité du hors-ligne est la prévention de la double dépense (double spending) : sans validation centrale en temps réel, il faut empêcher qu’une même unité de valeur soit dépensée deux fois.
L’approche retenue combine deux lignes de défense. La première repose sur le matériel : l’élément sécurisé inviolable est censé empêcher la copie de la valeur et permettre des contrôles d’authenticité mutuelle entre appareils. La seconde repose sur des contrôles différés, effectués lors des opérations de chargement et de déchargement du portefeuille hors ligne (funding et defunding), c’est-à-dire lorsque l’appareil se reconnecte au système. À ces moments, l’Eurosystème effectue des contrôles de lutte contre le blanchiment et de détection de contrefaçon, afin de s’assurer que les fonds réinjectés dans le système sont authentiques et de détecter d’éventuelles doubles dépenses.
Ce mécanisme appelle une lecture lucide. La détection de la double dépense est, pour partie, différée au moment du déchargement, et non garantie en temps réel au moment du paiement. La sécurité du dispositif repose donc sur la robustesse du matériel et sur ces contrôles a posteriori. Ce point fait l’objet d’un examen technique attentif, y compris de la part de chercheurs, car la sécurité d’un matériel grand public n’est jamais absolue dans la durée. En pratique, si la protection contre la double dépense venait à être compromise pour un type de matériel donné, la fonctionnalité hors ligne devrait pouvoir être désactivée pour ce type d’appareil. Le règlement en discussion insiste d’ailleurs sur la nécessité de clarifier les règles de responsabilité, avec une attention particulière aux risques propres au hors-ligne, dont la double dépense.
Confidentialité : un modèle proche de l’espèce
La confidentialité constitue l’un des arguments centraux du hors-ligne, et l’un de ses points les plus distinctifs. Selon l’Eurosystème, les paiements hors ligne n’impliquent pas le partage des données de transaction avec les PSP, l’Eurosystème ou tout autre prestataire : les détails de la transaction ne sont connus que du payeur et du bénéficiaire, à l’image des espèces.
Cette confidentialité n’est toutefois pas absolue sur l’ensemble du cycle. Lors des opérations de chargement et de déchargement, l’intermédiaire et l’Eurosystème reçoivent un ensemble minimal de données nécessaires aux contrôles : montant chargé ou déchargé, identifiant du dispositif de stockage local, date et heure de l’opération, et compte en ligne utilisé pour le chargement ou le déchargement. Ce sont ces opérations d’entrée et de sortie, et non les paiements individuels entre utilisateurs, qui font l’objet d’une visibilité.
Le cadre législatif renforce cette orientation. La position du Parlement européen intègre les principes de « protection de la vie privée dès la conception » (privacy by design) et « par défaut » (privacy by default), et évoque le recours à des technologies telles que les preuves à divulgation nulle de connaissance (zero-knowledge proofs), permettant de vérifier des transactions sans révéler de données personnelles. L’enjeu opérationnel est de concilier ce haut niveau de confidentialité avec les obligations de lutte contre le blanchiment et le financement du terrorisme, qui s’appliquent aux points de chargement et de déchargement.
Résilience et continuité de service
La résilience est l’autre grand argument du hors-ligne, et il est directement pertinent pour le secteur financier. En permettant des paiements même en cas de perte de connectivité — voire, selon les travaux de la BCE, dans des situations d’urgence telles que des pannes d’électricité ou de réseau —, la fonctionnalité hors ligne apporte une continuité de service que les moyens de paiement électroniques classiques n’offrent pas.
Dans un contexte où la dépendance aux infrastructures numériques et aux réseaux est croissante, cette capacité constitue un facteur de résilience de place : le hors-ligne agit comme une couche de secours permettant de maintenir des paiements de détail lorsque les canaux habituels sont indisponibles. Cet argument prend un relief particulier après les épisodes d’indisponibilité ayant affecté divers acteurs, y compris des infrastructures de paiement, et qui ont nourri l’attention des colégislateurs sur la robustesse du dispositif.
La résilience du hors-ligne ne doit cependant pas être surestimée. Elle repose sur la disponibilité et l’intégrité des appareils, sur la capacité à charger de la valeur en amont d’une éventuelle indisponibilité, et sur la solidité des contrôles au moment du rechargement. Le hors-ligne renforce la continuité, mais déplace une partie du risque vers le terminal et son matériel.
Gouvernance et rôle des acteurs
L’euro numérique s’inscrit dans un modèle de distribution intermédié. Ce ne sont pas les citoyens qui détiendraient un compte directement auprès de la BCE : la distribution serait assurée par des intermédiaires supervisés. La position du Parlement européen prévoit un rôle pour les banques, les PSP, les établissements de monnaie électronique, les bureaux de poste et les prestataires de services sur crypto-actifs agréés au titre du règlement MiCA.
Plusieurs éléments de gouvernance encadrent le dispositif. Un plafond de détention (holding limit) est prévu afin d’éviter une migration excessive des dépôts bancaires vers la monnaie de banque centrale ; ce plafond serait fixé par la Commission sur recommandation de la BCE et réexaminé au moins tous les deux ans. L’euro numérique ne serait pas rémunéré. Les entreprises ne pourraient en principe pas détenir d’euros numériques, hormis pour accumuler des paiements entrants pendant une durée limitée avant transfert. Les services de base (ouverture de compte, détention, gestion des fonds) seraient gratuits, les frais commerçants et interprestataires étant plafonnés, et les paiements hors ligne exempts de frais.
Deux points de gouvernance sont particulièrement sensibles pour le hors-ligne. D’une part, les règles de responsabilité en cas de fraude ou de double dépense, que le Parlement européen appelle à clarifier avant tout lancement. D’autre part, la préparation opérationnelle : la BCE doit finaliser un rulebook, construire l’infrastructure et mener les tests réels du pilote, et une période de déploiement d’au moins vingt-quatre mois est envisagée après l’adoption du cadre, afin de laisser aux acteurs le temps de se préparer.
Ce que cela implique pour les banques, assurances et acteurs des paiements
Pour les établissements, l’euro numérique hors ligne introduit un moyen de paiement dont le modèle de sécurité diffère de ceux qu’ils exploitent aujourd’hui. Plusieurs conséquences opérationnelles se dessinent.
La première concerne la sécurité mobile et matérielle. La distribution du hors-ligne suppose de gérer le provisionnement de portefeuilles sur des éléments sécurisés, la relation avec les fabricants d’appareils et les fournisseurs de communication, et la dépendance à des composants matériels que les banques ne maîtrisent pas directement.
La deuxième concerne les processus de chargement et de déchargement. Ce sont les points de contrôle du dispositif : c’est là que s’appliquent les vérifications anti-blanchiment et anti-contrefaçon, et que se joue la détection différée de la double dépense. Ces flux devront être intégrés aux dispositifs existants de conformité et de lutte contre la fraude.
La troisième concerne la responsabilité et la gestion de la fraude. Le caractère au porteur du hors-ligne, la perte définitive de la valeur en cas de perte de l’appareil, et la détection non instantanée de certaines anomalies imposeront des règles claires de responsabilité et des dispositifs de détection adaptés.
Enfin, l’accompagnement des clients et la continuité de service devront être pensés : support en cas de perte d’appareil, information sur les limites du hors-ligne, articulation avec les autres moyens de paiement.
Perspective Forum des Compétences
L’euro numérique hors ligne n’est pas un simple nouveau canal de paiement : il introduit, à l’échelle de la place, un modèle de sécurité inédit pour un instrument de banque centrale destiné au grand public. Là où les paiements électroniques reposent sur une validation centralisée, le hors-ligne fait porter la valeur par l’appareil et repose sur un matériel inviolable et des contrôles différés.
Ce changement de paradigme est porteur d’un vrai gain de résilience — la capacité à payer sans réseau ni, potentiellement, sans électricité — mais il déplace une partie de la confiance vers le matériel des terminaux et vers les points de chargement et de déchargement. Les enjeux clés sont clairement identifiés : robustesse de l’élément sécurisé et gestion du risque de double dépense, équilibre entre confidentialité proche de l’espèce et obligations de conformité, clarté des règles de responsabilité, et maîtrise opérationnelle des flux de (dé)chargement.
Pour les banques, les assureurs et les acteurs des paiements, l’enjeu n’est pas de trancher aujourd’hui sur l’opportunité de l’euro numérique — décision qui relève des colégislateurs puis de la BCE — mais d’anticiper. Le calendrier (pilote opérationnel en 2027, émission possible en 2029, déploiement d’au moins vingt-quatre mois) laisse du temps, mais les sujets structurants — accès à l’élément sécurisé, sécurité mobile, contrôles de (dé)chargement, responsabilité et détection de fraude — gagnent à être étudiés dès maintenant. Le hors-ligne doit être abordé comme un nouveau rail de paiement, doté de son propre modèle de menace.
Sources publiques utilisées
Cet article s’appuie principalement sur la documentation publique de la Banque centrale européenne et de l’Eurosystème, ainsi que sur les documents des institutions de l’Union européenne relatifs à l’euro numérique :
- BCE, Preparation phase of a digital euro – Closing report (octobre 2025), et pages « Progress on the digital euro ».
- BCE / Eurosystème, documentation du pilote de l’euro numérique : appel à candidatures des PSP (5 mars 2026), FAQs on the digital euro pilot et Digital euro pilot – business architecture.
- BCE, travaux sur la fonctionnalité hors ligne : State of play on offline digital euro et rapports d’avancement de la phase de préparation (fonctionnalité hors ligne, accès à l’élément sécurisé au titre de l’article 33 de la proposition de règlement, contrôles lors du chargement et du déchargement).
- BCE, FAQs on the digital euro.
- Commission européenne, proposition de règlement sur l’établissement de l’euro numérique (COM/2023/369, 28 juin 2023, procédure 2023/0212(COD)).
- Conseil de l’Union européenne, position de négociation (décembre 2025) ; Parlement européen, position de la commission ECON adoptée le 23 juin 2026 (mode en ligne et hors ligne, confidentialité, plafonds de détention, règles de responsabilité et période de déploiement).
L'euro numérique est une monnaie de banque centrale sous forme numérique (CBDC), émise et garantie par la Banque centrale européenne (BCE), destinée aux paiements de détail. Il est conçu comme un complément à l'espèce, et non comme un substitut. Il ne s'agit ni d'un billet, ni d'un compte détenu directement auprès de la BCE : la distribution passerait par des intermédiaires supervisés (banques, PSP, etc.). Il se distingue des paiements électroniques actuels notamment par sa nature de monnaie de banque centrale et par sa fonctionnalité hors ligne.
La phase de préparation a été menée de novembre 2023 à octobre 2025. Le 30 octobre 2025, le Conseil des gouverneurs de la BCE a décidé de passer à une nouvelle phase (maturité technique, engagement du marché, soutien au processus législatif). Sur le plan législatif, le Conseil de l'UE a adopté une position en décembre 2025, et la commission ECON du Parlement européen a adopté sa position le 23 juin 2026 (43 voix contre 14, une abstention), ouvrant les trilogues. La BCE vise une première émission possible en 2029, sous réserve de l'adoption du règlement au cours de 2026, suivie d'une période de déploiement d'au moins vingt-quatre mois.
Le pilote est un exercice de l'Eurosystème destiné à valider le fonctionnement technique, fonctionnel et opérationnel de l'euro numérique. L'appel à candidatures des PSP a été publié le 5 mars 2026. Le pilote se déroule en trois phases : préparation (2026), développement (à partir du troisième trimestre 2026) et phase opérationnelle (second semestre 2027, douze mois). Il est délibérément limité : une dizaine à une trentaine de PSP, plusieurs milliers d'agents de l'Eurosystème et un nombre restreint de commerçants. Les transactions testées (paiements de personne à personne en ligne et hors ligne, paiements en point de vente et e-commerce) reproduiront le design technique mais n'auront pas cours légal. L'Eurosystème fournira aux PSP un « SDK offline » couvrant les paiements P2P hors ligne, la communication NFC, le provisionnement du portefeuille sur l'élément sécurisé et les contre-mesures de sécurité.
Les deux modes ne reposent pas sur la même architecture de sécurité. Le mode en ligne s'appuie sur un système fondé sur les comptes (account-based), avec traitement et règlement via une infrastructure centralisée de l'Eurosystème — proche des paiements électroniques actuels, avec validation centralisée. Le mode hors ligne repose sur un instrument tokenisé, échangé directement d'appareil à appareil et réglé localement, sans validation centrale en temps réel. Cette contrainte structure l'ensemble des enjeux de sécurité du hors-ligne.

