Adoptée le 20 mars 2025, la nouvelle recommandation de la CNIL sur l’authentification multifacteur (ou MFA pour multi-factor authentification) propose un cadre précis à destination des entreprises souhaitant renforcer la sécurité de leurs systèmes d’information. Quelles sont les implications pratiques d’un tel encadrement de la MFA pour les responsables de traitement, RSSI et DPO ?
Face à la recrudescence des cyberattaques, la généralisation de la MFA apparaît comme une mesure essentielle pour prévenir l’accès non autorisé aux ressources informatiques, étant rappelé que le responsable de traitement est tenu d’assurer la sécurité des traitements de données à caractère personnel qu’il met en œuvre en application des articles 5.1f et 32 du RGPD.
Cette mesure consiste à vérifier l’identité d’un utilisateur à l’aide d’au moins deux facteurs choisis parmi trois catégories distinctes :
– facteur de connaissance, ce que l’utilisateur sait (par exemple un mot de passe) ;
– facteur de possession, ce qu’il possède (par exemple protocoles OTP – one-time password – contenu dans un objet comme un jeton matériel – hard token) ;
– facteur d’inhérence, ce qu’il est (par exemple facteur biométrique comme l’empreinte digitale).
La CNIL revient sur le périmètre de la notion et attire l’attention sur les distinctions suivantes :
– un facteur d’authentification ne comprend pas certains types d’informations contextuelles, telles que la localisation géographique de l’utilisateur ou l’adresse IP ;
– une vérification en deux étapes (2SV pour two-step validation), avec par exemple la saisie d’un mot de passe puis d’un code reçu par mail, n’est pas une authentification multifacteur.
Par ailleurs, la CNIL rappelle que de nombreuses données personnelles sont impliquées dans la MFA :
– les données du traitement d’identification comme le numéro de compte attribué, le pseudonyme de l’utilisateur, l’adresse e-mail ;
– les données propres à l’authentification, qui diffèrent selon les facteurs de vérification (par exemple mot de passe, code confidentiel, secret à usage unique, empreinte digitale) ;
– les données d’enregistrement des succès et échecs de l’authentification.
Les recommandations à suivre pour un traitement conforme au droit des données personnelles
Le point de départ de la recommandation est la qualification de la MFA en tant que traitement de données personnelles. En conséquence, la mise en œuvre de la MFA doit s’appuyer sur une base légale valide (obligation légale, intérêt légitime ou consentement) et respecter les principes du RGPD, notamment la minimisation, la sécurité dès la conception et la transparence.
L’analyse des risques comme aide à la décision
Pour la CNIL, le recours à la MFA doit être proportionné aux risques associés à l’accès concerné. Dans les cas sensibles – comme l’administration des systèmes, l’accès à la messagerie professionnelle ou les données de santé – la MFA est fortement recommandée, voire attendue. En revanche, son usage systématique, par exemple pour des services à faible enjeu (réservation d’une salle de réunion), pourrait être contre-productif, en créant une « lassitude » et un risque de contournement par les utilisateurs.
Pour guider les entreprises, la recommandation invite à mener une analyse de risques tenant compte de la nature des données, des finalités du traitement, et des impacts potentiels pour les personnes concernées.
Le choix d’une base légale adaptée
La CNIL distingue deux types de situations pour guider le responsable de traitement dans le choix d’une base légale :
– dans le cas où la MFA est une mesure de sécurité, au sens de l’article 32 du RGPD, rattachée au traitement principal, la fonction d’authentification multifacteur suit la base légale du traitement principal ;
