La CNIL publie, après consultation publique, une recommandation sur l’authentification multifacteur, dite MFA (multi-factor authentication).
Le but est de sécuriser juridiquement les utilisateurs de telles solutions et d’encourager les fournisseurs à intégrer la protection de la vie privée dès la conception de leurs produits ou services. Cette recommandation vise en particulier à éclairer les responsables de traitement sur les conditions dans lesquelles le recours à la MFA est opportun, au regard des besoins de sécurité ; sur le respect des principes du RGPD dans le cadre du recours à la MFA, notamment la détermination d’une base légale, la minimisation des données collectées, les durées de conservation et le respect de l’exercice des droits par les personnes concernées ; sur la détermination de la qualification des acteurs intervenant dans une solution de MFA ; sur le choix des modalités (facteurs d’authentification : connaissance, possession, inhérence) et leurs conditions de conformité au RGPD et sur les points d’attention relatifs à l’usage du facteur d’inhérence, l’usage de solutions basées sur l’envoi d’un code à usage unique pars SMS ou encore l’utilisation de l’équipement personnel des salariés comme facteur de possession.
Vous trouverez l’ensemble du texte de la recommandation ici : https://www.cnil.fr/sites/cnil/files/202503/recommandation_relative_a_l_authentification_multifacteur.pdf
