L’authentification multifacteur (MFA) est une solution répandue. Elle permet de répondre à l’obligation de sécurité et donne la preuve juridique de l’identité de l’utilisateur et de sa responsabilité. Elle doit aussi répondre au RGPD. Son application peut être complexe.
La Cnil, après consultation publique, vient de publier une recommandation pour la mise en place de solutions MFA mais aussi pour que les fournisseurs puissent intégrer la protection de la vie privée dès la conception de leurs produits ou services.
La recommandation porte notamment sur :
– la détermination de la base légale ;
– la proportionnalité de la sécurité ;
– la minimisation des données collectées ;
– les durées de conservation et le respect de l’exercice des droits par les personnes concernées ;
– la détermination de la qualification des acteurs intervenant dans une solution de MFA ;
– le choix des modalités (facteurs d’authentification : connaissance, possession, inhérence) et leurs conditions de conformité au RGPD.
La Cnil alerte également sur l’usage du facteur d’inhérence, l’usage de solutions basées sur l’envoi d’un code à usage unique par SMS ou encore l’utilisation de l’équipement personnel des salariés comme facteur de possession.
Cette recommandation comporte des encadrés explicatifs sur certaines thématiques aux enjeux particuliers, et des exemples pratiques de mise en œuvre de l’authentification multifacteur, avec pour les éditeurs une démarche de protection de la vie privée dès la conception.
