Accueil 5 News 5 Sécurité et conformité : la CNIL publie sa recommandation sur l’authentification multifacteur

Sécurité et conformité : la CNIL publie sa recommandation sur l’authentification multifacteur

par | 24 Avr 2025

En mars 2025, la Commission nationale de l’informatique et des libertés (CNIL) a diffusé une recommandation complète sur l’authentification multifacteur (MFA). Cette publication, issue d’une consultation publique lancée l’année précédente, vise à guider les acteurs publics et privés dans l’intégration de cette méthode d’authentification renforcée, tout en assurant leur conformité au Règlement général sur la protection des données (RGPD).

Pourquoi une recommandation sur la MFA ?

Dans un contexte de menaces numériques croissantes, l’authentification multifacteur s’impose progressivement comme une brique essentielle de la sécurité des systèmes d’information. Les compromissions d’identifiants, le phishing et les vols de sessions figurent parmi les attaques les plus fréquentes. Pour y faire face, la MFA permet d’ajouter une couche de sécurité en combinant plusieurs facteurs :
  • Ce que l’on connaît (mot de passe, code PIN),
  • Ce que l’on possède (téléphone, clé de sécurité),
  • Ce que l’on est (données biométriques).
Cependant, la mise en œuvre de ces technologies soulève des questions en matière de conformité. La CNIL cherche à harmoniser les pratiques pour éviter les dérives et garantir la protection des droits fondamentaux.

Points structurants de la recommandation

Le document publié par la CNIL aborde de nombreux aspects techniques et juridiques :
  • La base légale justifiant le recours à la MFA (intérêt légitime, obligation contractuelle, sécurité des données sensibles).
  • La limitation de la collecte des données aux stricts besoins d’authentification.
  • La responsabilité conjointe ou distincte entre le fournisseur de la solution MFA et le responsable de traitement.
  • La pertinence des différents facteurs (SMS, application mobile, clé matérielle, biométrie), leur degré de sécurité et leur acceptabilité au regard du RGPD.

Une recommandation basée sur des échanges concrets

Cette publication ne sort pas d’un travail théorique isolé. Elle repose sur un large dialogue avec les parties prenantes : fournisseurs de technologies, entreprises, administrations, chercheurs et juristes. La consultation publique a permis d’identifier les attentes et de préciser certaines zones d’ombre.

Zoom sur les méthodes d’authentification les plus utilisées

L’envoi de code à usage unique (OTP) par SMS est très répandu. Toutefois, la CNIL attire l’attention sur ses limites : il ne doit pas être considéré comme une méthode suffisamment robuste pour des données sensibles. De même, l’utilisation de terminaux personnels dans un cadre professionnel soulève des questions sur la séparation des usages, le contrôle des accès et la gestion du cycle de vie de ces appareils.
Par opposition, les clés de sécurité basées sur les standards FIDO2/WebAuthn sont jugées plus solides, car elles ne nécessitent pas la transmission d’informations secrètes et limitent les risques d’hameçonnage.

Exemples européens et comparaisons

La CNIL n’est pas la seule autorité à se pencher sur la MFA. En Allemagne, le BSI (Office fédéral pour la sécurité de l’information) recommande l’usage de cartes à puce ou de certificats numériques pour l’accès à des services critiques. Au Royaume-Uni, l’ICO (Information Commissioner’s Office) insiste sur la nécessité de sensibiliser les utilisateurs aux méthodes d’authentification en fonction du risque métier.
Ces approches convergent vers une exigence de proportionnalité : l’authentification doit être adaptée au niveau de sensibilité des données traitées et aux menaces pesant sur le système.

Cas d’usages et recommandations pratiques

  • Secteur bancaire : les établissements doivent opter pour une MFA forte, combinant possession (clé ou application) et connaissance (mot de passe). L’utilisation d’OTP par SMS est jugée insuffisante pour accéder aux services de gestion de comptes.
  • Santé : les professionnels de santé, souvent nomades, doivent utiliser des solutions portables sécurisées. Le recours à des moyens biométriques doit être strictement encadré.
  • Secteur public : les agents accédant à des systèmes contenant des données sensibles (fiscales, sociales, etc.) doivent être équipés de solutions robustes, tout en évitant d’imposer des barrières techniques démesurées.

Risques en cas de mauvaise implémentation

Un recours mal encadré à la MFA peut générer des risques importants :
  • Collecte excessive de données personnelles,
  • Dépendance à un fournisseur externe sans contrat solide,
  • Difficulté de révocation ou de gestion des accès en cas d’incidents,
  • Risque de contournement si la méthode est mal intégrée aux flux métiers.

Vers une gouvernance renforcée

La CNIL insiste sur le rôle du délégué à la protection des données (DPO) dans le choix des technologies MFA. Une analyse d’impact relative à la protection des données (AIPD) peut être requise si l’authentification concerne un grand nombre de personnes ou un traitement sensible.
Les RSSI, de leur côté, doivent tester l’efficacité des moyens déployés, en mesurant notamment leur résistance aux attaques par phishing ou vol d’appareil.
Conclusion : construire une MFA responsable
La publication de cette recommandation constitue un jalon important pour encadrer l’usage croissant de l’authentification multifacteur. En combinant exigences de sécurité et respect des libertés individuelles, elle dessine une voie claire pour les organisations qui souhaitent sécuriser l’accès à leurs services tout en se conformant au RGPD.
L’enjeu est aussi stratégique : la confiance numérique passe par des choix technologiques responsables, robustes et éthiques. La MFA, bien pensée, peut y contribuer pleinement.
Source : Authentification multifacteur : les recommandations de la CNIL pour mieux protéger les données

Publications connexes

  1. Données à caractère personnel : comment la CNIL effectue ses contrôles ?
  2. Cybersécurité 2024, les tendances émergentes
  3. Guide sur les modifications des traitements de données personnelles : démarches et recommandations
  4. Plan d’action de la CNIL afin de protéger les données des électeurs lors des élections européennes de 2024
  5. La CNIL alerte sur les risques liés au dispositif de laissez-passer pour les jeux Olympiques et paralympiques de 2024

Carlos BARBOSA | Juriste spécialisé RGPD
Il accompagne les entreprises et les administrations tout au long de leur démarche de conformité, veillant à ce que les exigences légales en matière de protection des données personnelles soient pleinement respectées. Grâce à son expertise juridique, Carlos aide les organisations à naviguer dans les complexités du cadre réglementaire, garantissant ainsi une conformité optimale et une gestion rigoureuse des informations sensibles.

Cyberlégal

cyberlegal.fr

Accompagnement juridique & veille réglementaire dédiée à la technologie de l’information

Plus de détail

Logo CERT-FR

CERT-FR
Alertes de sécurité

Site web CERT-FR

Services

CSM Cybersécurité Audit SSI, audit informatique en Corse à bastia et Ajaccio

Audit SSI

Audit RGPD de votre structure : Charte informatique, politique de sécurité des systèmes d'information (PSSI), registre des activités de traitement, gestion des sous-traitants dans la conformité RGPD, expertise RGPD de notre juriste. cabinet CSM - Cybersécurité Management en Corse à Ajaccio et Bastia.

Audit RGPD

Soc Managé par CSM Cybersécurité Management en Corse sur Bastia et Ajaccio une analyse constantes de l’activité sur les postes de travail et serveurs.

SOC managé

Auteurs blog

Publications Carlos BARBOSA

Publications Arnaud BASCOU

Publications CSM

Dernières publications