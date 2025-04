Authentification multifacteur : les recommandations de la CNIL pour mieux protéger les données

avril 2025 par CNIL

La CNIL souhaite promouvoir des solutions de cybersécurité conformes au RGPD, tant dans leur usage que dès leur conception. Dans ce but, elle publie une recommandation destinée à accompagner les utilisateurs et les fournisseurs de solutions d’authentification multifacteur.

Pourquoi cette recommandation ?

La numérisation de l’activité économique – y compris dans le secteur public – s’est accompagnée d’une nette augmentation des menaces cyber, souvent plus efficaces et complexes. Les solutions pour y faire face ont aussi évolué. Pour assurer une sécurité en profondeur, sont désormais mobilisés des technologies mêlant intelligence artificielle, mutualisation et utilisation d’information diverses, prise de décision automatisée, ou encore analyse du comportement des utilisateurs.

Pour accompagner les acteurs du secteur dans le développement de solutions adaptées aux besoins de la protection des données personnelles, la CNIL a initié une démarche autour des solutions de cybersécurité.

Un des objectifs est que les solutions, comme l’authentification multifacteur, utiles pour assurer la sécurité d’un système d’information, soient également conforme au RGPD dans leur conception lorsqu’elles reposent sur l’utilisation de données personnelles.

Quel est l’objectif de cette recommandation ?

La CNIL publie, après consultation publique, une recommandation sur l’authentification multifacteur, dite MFA (multi-factor authentication). Son but est de sécuriser juridiquement les utilisateurs de telles solutions et d’encourager les fournisseurs à intégrer la protection de la vie privée dès la conception de leurs produits ou services.

Cette recommandation vise en particulier à éclairer les responsables de traitement :

sur les conditions dans lesquelles le recours à la MFA est opportun, au regard des besoins de sécurité ;

sur le respect des principes du RGPD dans le cadre du recours à la MFA, notamment la détermination d’une base légale, la minimisation des données collectées, les durées de conservation et le respect de l’exercice des droits par les personnes concernées ;

sur la détermination de la qualification des acteurs intervenant dans une solution de MFA ;

sur le choix des modalités (facteurs d’authentification : connaissance, possession, inhérence) et leurs conditions de conformité au RGPD ;

sur les points d’attention relatifs à l’usage du facteur d’inhérence, l’usage de solutions basées sur l’envoi d’un code à usage unique pars SMS ou encore l’utilisation de l’équipement personnel des salariés comme facteur de possession.

Quel est le périmètre de cette recommandation ?

Cette recommandation couvre l’authentification au sens strict, et n’a pas vocation à développer les processus liés à la gestion des identités et des accès (par exemple la gestion de comptes, la gestion des droits et habilitations, etc.).

Elle comporte des encadrés explicatifs sur certaines thématiques aux enjeux particuliers, et des exemples pratiques de mise en œuvre vertueuse de l’authentification multifacteur, intégrant la protection de la vie privée dès la conception.

À qui s’adresse cette recommandation ?

Cette recommandation s’adresse :

aux responsables de traitements et aux sous-traitants, notamment à leurs délégués à la protection des données (DPO), aux responsables de la sécurité des systèmes d’information (RSSI) ainsi qu’à leurs équipes ;

aux fournisseurs de solutions d’authentification multifacteur.

Comment cette recommandation a-t-elle été conçue ?

Pour élaborer cette recommandation, la CNIL a organisé une consultation sectorielle comportant une série d’auditions avec des acteurs de la sphère publique comme privée pour recueillir de premières observations et interrogations sur l’authentification multifacteur. Elle a ensuite lancé une consultation publique sur un projet de recommandation, consultation qui a permis d’améliorer le projet de recommandation au regard de la réalité du terrain et de l’expérience des acteurs concernés.

Les 18 contributions provenant d’acteurs issus de divers secteurs d’activité, ont permis à la CNIL :

d’expliciter davantage le périmètre de la recommandation et de le recentrer sur l’objet de celle-ci : l’authentification multifacteur et sa conformité au RGPD ;

de revoir la structure pour une meilleure lisibilité (en adoptant le plan classique d’une fiche de registre) ;

de clarifier les principaux points incompris ;

d’améliorer la recommandation en précisant certains des termes utilisés ;

de formaliser une posture claire sur les pratiques communes remontées, sans préjuger du cadre sectoriel applicable.

