Recommandation relative à l’authentification multifacteur
Document produit par la Commission nationale de l’informatique et des libertés (CNIL), qui détaille les recommandations pour la mise en conformité au RGPD des responsables de traitement dans leur usage de l’authentification multifacteur (MFA).
Cette recommandation s’adresse aux professionnels de tous secteurs, particulièrement aux délégués à la protection des données (DPD) et aux responsables de la sécurité des systèmes d’information (RSSI), ainsi qu’aux offreurs de solutions d’authentification multifacteur.
Points clés :
- L’authentification multifacteur repose sur au moins deux facteurs distincts parmi : la connaissance (mot de passe), la possession (jeton matériel) et l’inhérence (biométrie)
- Le texte précise les obligations en matière de protection des données personnelles, notamment la minimisation des données collectées et leur sécurisation
- Le recours à la biométrie nécessite le consentement des personnes, sauf obligation légale spécifique
- Les données d’authentification doivent être conservées de manière sécurisée et pour une durée limitée
- Une attention particulière doit être portée aux transferts de données hors UE
Le document fournit également des recommandations pratiques et des exemples concrets pour aider à la mise en œuvre, comme la gestion de la « fatigue MFA » ou l’utilisation d’applications TOTP.