Authentification multifacteur et protection des données : la CNIL vous guide !

15 avril 2025

Pour se protéger des cyberattaques, la solution de l’authentification multifacteur peut être pertinente. Encore faut-il que sa mise en place se fasse dans le respect du RGPD. Pour aider les utilisateurs et les fournisseurs de ces solutions, la CNIL a publié des recommandations. Faisons le point.

Allier cybersécurité et protection des données personnelles

Pour rappel, l’authentification multifacteur, dite MFA pour multi-factor authentication, est un système permettant de vérifier l’identité d’un utilisateur, avant de lui donner l’accès aux ressources d’un système d’information, en utilisant plusieurs preuves, appelées « facteurs », qui appartiennent à au moins 2 des catégories suivantes :

  • les facteurs de connaissance, qui correspondent à « ce que la personne sait » (par exemple un mot de passe ou un code confidentiel) ;
  • les facteurs de possession, qui correspondent à « ce que la personne a » (par exemple une carte à puce, une clé USB ou encore une application d’authentification installée sur un appareil dit « enrôlé ») ;
  • les facteurs d’inhérence, qui correspondent à « ce que la personne est ou fait » (par exemple les empreintes digitales, l’ADN, la morphologie, la manière de frapper sur le clavier, etc.).

Si ces méthodes d’authentification sont plus sécurisées qu’une authentification simple, elles peuvent potentiellement utiliser des données personnelles, d’où la nécessité de respecter le RGPD.

La CNIL a donc mis à disposition des ressources afin de sécuriser les utilisateurs et d’inciter les fournisseurs à intégrer ces questions dès la conception de ces solutions.

Les recommandations de la CNIL visent particulièrement plusieurs sujets, à savoir :

  • les conditions et les besoins en sécurité qui font de la MFA une solution adaptée ;
  • le respect des principes du RGPD, (base légale, collecte et conservation des données, etc.) ;
  • la détermination de la qualification des acteurs intervenant dans une solution de MFA ;
  • le choix des modalités de la MFA, notamment les catégories de facteurs choisies et leurs conditions de conformité au RGPD ;
  • l’usage du facteur d’inhérence ;
  • le choix de l’envoi d’un code à usage unique par SMS ;
  • l’utilisation de l’équipement personnel des salariés comme facteur de possession, etc.
30 juin 2026
Les travailleurs indépendants, praticiens auxiliaires médicaux et employeurs dont l’activité est perturbée par la canicule peuvent solliciter des délais de paiement, des ajustements de cotisations ou certaines aides financières.
30 juin 2026
Afin d’optimiser le suivi de l’état de santé des travailleurs agricoles, un bilan de l’exposition professionnelle doit être établi lors de la visite médicale de mi-carrière. Ce bilan est désormais mieux encadré : comment ?
30 juin 2026
Les travailleurs indépendants, praticiens auxiliaires médicaux et employeurs dont l’activité est perturbée par la canicule peuvent solliciter des délais de paiement, des ajustements de cotisations ou certaines aides financières.
30 juin 2026
Afin d’optimiser le suivi de l’état de santé des travailleurs agricoles, un bilan de l’exposition professionnelle doit être établi lors de la visite médicale de mi-carrière. Ce bilan est désormais mieux encadré : comment ?
29 juin 2026
2 ajustements AGIRC-ARRCO, qui portent sur les cotisations payées en retard et le départ progressif à la retraite, récemment étendus à tous les salariés et employeurs concernés, peuvent avoir des conséquences très concrètes pour les employeurs et les salariés. Voilà qui mérite quelques explications…
29 juin 2026
Le secteur de l’aviation civile obéit à un nombre important de règles relatives à la sûreté que doivent observer ses acteurs. Une nouvelle catégorie d’intervenants se voit impliquée…
29 juin 2026
Les établissements recevant du public (ERP) doivent respecter des mesures de sécurité. Mais, parce que les ERP rassemblent des établissements très différents, des cadres spécifiques existent pour régler au mieux leur situation. C’est notamment le cas des salles de spectacle recourant aux éclairages lasers…
29 juin 2026
Les établissements recevant du public (ERP) doivent respecter des mesures de sécurité. Mais, parce que les ERP rassemblent des établissements très différents, des cadres spécifiques existent pour régler au mieux leur situation. C’est notamment le cas des salles de spectacle recourant aux éclairages lasers…
29 juin 2026
2 ajustements AGIRC-ARRCO, qui portent sur les cotisations payées en retard et le départ progressif à la retraite, récemment étendus à tous les salariés et employeurs concernés, peuvent avoir des conséquences très concrètes pour les employeurs et les salariés. Voilà qui mérite quelques explications…
29 juin 2026
Le secteur de l’aviation civile obéit à un nombre important de règles relatives à la sûreté que doivent observer ses acteurs. Une nouvelle catégorie d’intervenants se voit impliquée…