← AI War Room
Souverainete

Les Pays-Bas bloquent le rachat américain de leur fournisseur d'identité numérique

Tech4B2B · · 3 min (mis à jour le )
Illustration : Les Pays-Bas bloquent le rachat américain de leur fournisseur d'identité numérique
  • Sujet: Les Pays-Bas bloquent le rachat américain de leur fournisseur d'identité numérique
  • Date:
Le gouvernement néerlandais a utilisé son droit de veto pour empêcher l'acquisition d'Idemia-lié Royal Joh. Enschedé par le fonds américain Investcorp. Le fournisseur imprime les passeports, les cartes d'identité et gère une partie de l'infrastructure d'identification biométrique du pays.C'est la première fois que La Haye active ce mécanisme de contrôle des investissements étrangers sur un actif numérique civil. Le signal dépasse largement les frontières bataves.

Royal Joh. Enschedé, basée à Haarlem, fabrique des documents d'identité et des billets de banque depuis 1703. L'entreprise fournit les passeports néerlandais, des documents de voyage pour plusieurs autres États membres, et opère des composants logiciels liés à la vérification biométrique utilisée aux frontières Schengen. Le fonds bahreïni-américain Investcorp, dont le siège opérationnel est à New York, avait annoncé un accord d'acquisition au premier trimestre 2025. Montant non divulgué.

Le Bureau d'évaluation des investissements (Bureau Toetsing Investeringen), créé en 2023 sous la loi Vifo sur le filtrage des investissements, a recommandé le blocage. Le ministre des Affaires économiques, Dirk Beljaarts, a suivi sans aménagement. La décision est tombée un vendredi après-midi de juin 2025, dans un communiqué de quatre paragraphes. Pas de conférence de presse.

Vifo

La loi Vifo (Wet veiligheidstoets investeringen, fusies en overnames) est entrée en vigueur le 1er juin 2023 avec un effet rétroactif au 8 septembre 2020. Elle couvre les entreprises actives dans les « technologies sensibles » et les « opérateurs vitaux ». Les fournisseurs d'identité numérique y figurent explicitement. Les Pays-Bas ne sont pas les seuls : l'Allemagne a bloqué en 2024 le rachat d'un fabricant de satellites par un consortium chinois, la France a imposé des conditions sur plusieurs rachats dans la défense. Mais c'est la première application connue à un fournisseur civil d'infrastructure d'identification.

Investcorp gère environ 44 milliards de dollars d'actifs. Le fonds avait présenté l'opération comme un levier de croissance pour Enschedé sur les marchés d'identité numérique en Asie et en Afrique. Rien dans le dossier public ne suggère un problème de sécurité caractérisé. Le gouvernement néerlandais a invoqué le risque de « dépendance stratégique » et la nécessité de maintenir le contrôle souverain sur la chaîne d'approvisionnement des documents d'identité. Investcorp a publié un communiqué laconique prenant acte de la décision.

Le portefeuille européen

Le règlement eIDAS 2.0, adopté en 2024, impose aux États membres de proposer un portefeuille d'identité numérique (EUDI Wallet) à leurs citoyens d'ici 2026. Les marchés publics pour l'implémentation de ces portefeuilles sont en cours de rédaction dans au moins quinze pays. Chaque brique de la chaîne — émission, vérification, stockage, révocation — implique des fournisseurs spécialisés. Royal Joh. Enschedé occupe la brique émission-vérification physique et une partie de l'enrôlement biométrique.

La question que pose le veto néerlandais n'est pas abstraite : si un fournisseur d'identité numérique passe sous contrôle extraeuropéen, est-il encore éligible à ces marchés ? La réponse juridique actuelle est non, pas automatiquement. La réponse politique de La Haye est plus tranchante. Elle crée un précédent que les juristes des marchés publics en France, en Allemagne et en Italie vont devoir intégrer.

Thales, via sa filiale Idemia (issue du rachat de la division identité et sécurité en 2024), est le principal concurrent européen d'Enschedé sur ce segment. IN Groupe, l'imprimerie nationale française, fournit les passeports et cartes d'identité de la République et lorgne les marchés export. La Bundesdruckerei allemande est dans la même configuration. Ces trois acteurs sont publics ou para-publics. Enschedé est privée. C'est ce statut privé qui rendait l'acquisition possible — et c'est ce même statut qui a obligé le gouvernement à légiférer pour pouvoir l'empêcher.

Ce que les appels d'offres ne disent pas encore

Les cahiers des charges des marchés publics d'identité numérique en Europe ne contiennent pas, à ce stade, de clause d'exclusion systématique des fournisseurs non européens. Le Cloud de confiance français (SecNumCloud) a posé le principe d'une immunité aux lois extraterritoriales pour les données sensibles, mais rien d'équivalent n'existe formellement pour l'identité numérique. Le RGPD impose des contraintes sur les transferts de données, pas sur la nationalité capitalistique du fournisseur.

Le veto néerlandais pourrait accélérer la formalisation. Plusieurs capitales discutent, dans le cadre des négociations sur les actes d'exécution d'eIDAS 2.0, de l'introduction d'exigences de souveraineté capitalistique ou opérationnelle pour les fournisseurs critiques du portefeuille européen. Rien n'est arbitré. Mais le fait qu'un État membre ait dû recourir à une loi de filtrage des investissements pour protéger une brique que le règlement européen considère comme stratégique illustre un angle mort réglementaire.

Un DSI d'une administration centrale néerlandaise, interrogé par un média spécialisé batave la semaine du blocage, a résumé la situation :

« On nous demande de déployer un portefeuille d'identité numérique interopérable en dix-huit mois, avec des fournisseurs certifiés, en respectant eIDAS, et personne ne nous dit si le fournisseur qui imprime nos passeports depuis trois siècles a le droit d'être racheté par un fonds américain. On l'apprend dans la presse. »

Investcorp avait pris soin de proposer un maintien du siège opérationnel à Haarlem, une direction locale, et un engagement de non-transfert des données hors UE. Le gouvernement néerlandais n'a pas jugé ces garanties suffisantes. Le précédent est net : les engagements contractuels d'un fonds d'investissement ne suffisent pas à lever un risque de dépendance souveraine sur une infrastructure d'identification.

1703

Royal Joh. Enschedé a survécu à l'occupation napoléonienne, à deux guerres mondiales et à la transition du florin à l'euro, qui a supprimé l'essentiel de son activité billets de banque. L'entreprise a pivoté vers les documents de sécurité et l'identité numérique dans les années 2000. Elle emploie environ 750 personnes, dont une centaine d'ingénieurs spécialisés en sécurité des documents et en biométrie. Son chiffre d'affaires n'est pas public.

Pour les DSI du secteur public européen, le signal opérationnel est double. D'abord, les fournisseurs d'identité numérique privés sont désormais des cibles d'acquisition identifiées — et donc des risques de continuité contractuelle. Ensuite, les mécanismes de filtrage des investissements existent et fonctionnent, mais ils interviennent après l'annonce d'une acquisition, pas avant. Un appel d'offres attribué en 2025 à un fournisseur privé européen peut se retrouver, en 2027, face à un changement de contrôle capitalistique que le cahier des charges n'avait pas anticipé.

La Direction générale de la stabilité financière, des services financiers et de l'union des marchés de capitaux de la Commission européenne a refusé de commenter la décision néerlandaise spécifiquement. Un porte-parole a rappelé que :

« le contrôle des investissements étrangers relève de la compétence des États membres dans le cadre du règlement de filtrage européen ».

Il pleuvait à Haarlem le jour de l'annonce.

TL;DR

Les Pays-Bas ont bloqué l'acquisition par un fonds américain du fournisseur historique de leurs passeports et documents d'identité, créant un précédent de souveraineté numérique en Europe avec des répercussions directes sur les marchés publics d'identité numérique.

  • Première utilisation du mécanisme de filtrage néerlandais (loi Vifo) sur un fournisseur civil d'identification numérique — les engagements contractuels d'Investcorp n'ont pas suffi à lever le veto.
  • Aucune clause de souveraineté capitalistique n'existe encore dans les cahiers des charges eIDAS 2.0 : le blocage révèle un angle mort réglementaire que plusieurs États membres cherchent désormais à combler.
  • Pour les DSI du secteur public, le risque de changement de contrôle d'un fournisseur privé d'identité numérique en cours de contrat devient un sujet de continuité opérationnelle à traiter dès l'appel d'offres.

Questions fréquentes

Un fournisseur d'identité numérique non européen peut-il encore répondre à un marché public eIDAS 2.0?

Juridiquement, oui. Le règlement eIDAS 2.0 et les directives marchés publics européennes n'imposent pas de clause de nationalité capitalistique. Mais la décision néerlandaise crée un précédent politique qui pourrait se traduire par des exigences de souveraineté opérationnelle dans les actes d'exécution en cours de négociation.

Quels fournisseurs européens d'identité numérique restent indépendants de capitaux extraeuropéens?

IN Groupe (France) et Bundesdruckerei (Allemagne) sont publics. Thales/Idemia est coté mais de droit français. Les acteurs nordiques et baltes comme Cybernetica sont privés et de taille plus modeste, donc potentiellement exposés aux mêmes dynamiques d'acquisition qu'Enschedé.

Comment un DSI peut-il anticiper un changement de contrôle capitalistique de son fournisseur d'identité?

En intégrant dès le cahier des charges une clause de notification et de sortie en cas de changement de contrôle significatif, et en exigeant un séquestre des codes sources et des données biométriques dans un cadre juridique européen. La loi ne l'impose pas encore. Le précédent néerlandais suggère que l'attendre serait imprudent.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.