Délibération n° 2025-019 du 20 mars 2025 portant adoption d’une recommandation relative à l’authentification multifacteur (MFA)

JO du 2 avril 2025

Les solutions pour faire face aux menaces cyber se sont multipliées et sécurisées au fil du temps en se fondant sur des technologies alliant « intelligence artificielle, mutualisation et utilisation d’informations diverses, prise de décision automatisée, ou encore analyse du comportement des utilisateurs pour les plus avancées ».
Ces solutions intègrent l’authentification multifacteur (MFA).
Elles peuvent permettre de répondre à l’obligation de sécurité des données prévue à l’article 32 du règlement général sur la protection des données (RGPD). Néanmoins, elles reposent elles-mêmes sur des traitements de données dont la conformité au RGPD doit aussi être assurée.
Dans ce contexte et pour accompagner les acteurs, la Commission nationale de l’informatique et des libertés a adopté une recommandation sur la MFA.
Une MFA repose sur plusieurs preuves, appelées facteurs d’authentification, appartenant à au moins deux des trois catégories suivantes :
– un facteur de connaissance (ce que la personne sait) tel qu’un secret à mémoriser ;
– un facteur de possession (ce que la personne a) tel qu’un élément secret non mémorisable comme une clé cryptographique ;
– un facteur d’inhérence (ou facteur biométrique, ce que la personne est ou fait) à savoir une caractéristique physique indissociable d’une personne qui peut être morphologique, comportementale ou biologique.
Figurant en annexe, cette recommandation vise à garantir la sécurité juridique des utilisateurs de cette solution. Elle a également pour objectif d’encourager les fournisseurs à intégrer la protection de la vie privée dès la conception de leurs produits ou services.
En particulier, elle apporte des précisions aux responsables de traitement en ce qui concerne :
– les conditions dans lesquelles le recours à la MFA est judicieux au regard des besoins de sécurité ;
– le respect des principes du RGPD dans le cadre du recours à la MFA (notamment la minimisation des données collectées, les durées de conservation et le respect de l’exercice des droits par les personnes concernées) ;
– la qualification des acteurs intervenant dans une solution de MFA ;
– le choix des modalités (facteurs d’authentification : connaissance, possession, inhérence) et leurs conditions de conformité au RGPD ;
– les points clefs relatifs à l’usage du facteur d’inhérence, l’usage de solutions basées sur l’envoi d’un code à usage unique pars SMS ou encore l’utilisation de l’équipement personnel des salariés comme facteur de possession.