Pour se protéger des cyberattaques, la solution de l’authentification multifacteur peut être pertinente. Encore faut-il que sa mise en place se fasse dans le respect du RGPD. Pour aider les utilisateurs et les fournisseurs de ces solutions, la CNIL a publié des recommandations. Faisons le point.
Allier cybersécurité et protection des données personnelles
Pour rappel, l’authentification multifacteur, dite MFA pour multi-factor authentication, est un système permettant de vérifier l’identité d’un utilisateur, avant de lui donner l’accès aux ressources d’un système d’information, en utilisant plusieurs preuves, appelées « facteurs », qui appartiennent à au moins 2 des catégories suivantes :
- les facteurs de connaissance, qui correspondent à « ce que la personne sait » (par exemple un mot de passe ou un code confidentiel) ;
- les facteurs de possession, qui correspondent à « ce que la personne a » (par exemple une carte à puce, une clé USB ou encore une application d’authentification installée sur un appareil dit « enrôlé ») ;
- les facteurs d’inhérence, qui correspondent à « ce que la personne est ou fait » (par exemple les empreintes digitales, l’ADN, la morphologie, la manière de frapper sur le clavier, etc.).
Si ces méthodes d’authentification sont plus sécurisées qu’une authentification simple, elles peuvent potentiellement utiliser des données personnelles, d’où la nécessité de respecter le RGPD.
La CNIL a donc mis à disposition des ressources afin de sécuriser les utilisateurs et d’inciter les fournisseurs à intégrer ces questions dès la conception de ces solutions.
Les recommandations de la CNIL visent particulièrement plusieurs sujets, à savoir :
- les conditions et les besoins en sécurité qui font de la MFA une solution adaptée ;
- le respect des principes du RGPD, (base légale, collecte et conservation des données, etc.) ;
- la détermination de la qualification des acteurs intervenant dans une solution de MFA ;
- le choix des modalités de la MFA, notamment les catégories de facteurs choisies et leurs conditions de conformité au RGPD ;
- l’usage du facteur d’inhérence ;
- le choix de l’envoi d’un code à usage unique par SMS ;
- l’utilisation de l’équipement personnel des salariés comme facteur de possession, etc.
Authentification multifacteur et protection des données : la CNIL vous guide ! - © Copyright WebLex
C’est désormais officiel, la FESAC confirme sa place d’interlocuteur national pour les entreprises du spectacle vivant, de la musique, de l’audiovisuel et du cinéma, en répondant aux critères de représentativité interprofessionnelle. Focus.La FESAC : nouvelle organisation représentative ! Rappelons que pour être représentative au niveau national et multi-professionnel, une organisation syndicale doit notamment avoir recueilli au moins 8 % des suffrages exprimés au niveau national et interprofessionnel au cours du dernier cycle électoral. Dans ce cadre, la Fédération des entreprises du spectacle vivant, de la musique, de l’audiovisuel et du cinéma (ou FESAC) est reconnue comme organisation représentative au niveau national et multi-professionnel. Pour mémoire, cette reconnaissance lui permet de porter la voix des employeurs de ces secteurs dans le dialogue social interprofessionnel, et de participer aux échanges et négociations qui structurent les grandes orientations sociales (conditions d’emploi, rémunérations, protection sociale, etc.) au-delà d’une seule branche. Pour aller plus loin, vous pouvez retrouver l’ensemble des informations relatives à cette organisation (missions, composition, actualités, positions, publications et contacts) directement sur son site internet. Sources : Arrêté du 24 novembre 2025 fixant la liste des organisations professionnelles d'employeurs reconnues représentatives au niveau national et multi-professionnel dans le secteur du spectacle vivant et enregistréSpectacle vivant : on connaît l’organisation syndicale représentative - © Copyright WebLex
La CPAM peut procéder à tout moment à des contrôles auprès des assurés percevant des prestations de l’Assurance maladie, en particulier des IJSS, afin de s’assurer que la situation déclarée répond bien à la situation réelle. Alors que ces vérifications pouvaient jusqu’à présent être menées à distance, une nouvelle modalité de contrôle est désormais possible : le télécontrôle
Parce qu’elles peuvent entraîner des conséquences dramatiques en cas d’accidents ou d’incidents, les installations classées pour la protection de l'environnement (ICPE) ont l’obligation de déclarer ce type d’évènement au plus vite pour une meilleure gestion des conséquences. Une déclaration qui devra, dans certains cas, se faire en ligne…
Alors que les sites culturels, ludiques ou éducatifs bénéficient du taux réduit de TVA de 10 %, l’accès aux équipements sportifs reste soumis au taux normal, sauf exceptions. Des précisions viennent clarifier le traitement applicable, au regard de la TVA, à certaines infrastructures comme les pistes de karting. On fait le point…
La pratique de la pêche en tant que loisir n’exonère pas les pêcheurs du respect de certaines obligations relatives à la protection des environnements marins, qui viennent d’être mises à jour…
Bonne nouvelle pour les volontaires internationaux : les règles d’indemnisation évoluent, avec une indemnité supplémentaire désormais dégressive en cas de retour anticipé pour situation de crise, et un maintien renforcé des droits en congé maternité ou d’adoption.
Le fait de recevoir des mails et des sms pendant un arrêt maladie par sa hiérarchie est-il de nature à créer automatiquement un préjudice indemnisable du salarié ? C’est à cette question que le juge vient d’apporter (une nouvelle fois) la (même) réponse…
Les prestations d’hébergement fournies dans le cadre du secteur hôtelier et les locations de logements meublés à usage résidentiel sont soumises au taux réduit de TVA de 10 %, toutes conditions par ailleurs remplies, si des prestations annexes sont fournies. Si la notion de prestations annexes a fait l’objet de précisions de l’administration, un retour en arrière n’est pas à exclure…
Au printemps 2024, la loi visant à sécuriser et à réguler l’espace numérique, dite « SREN », a posé un certain nombre de règles générales dont les modalités d’application restaient à fixer. Il en va ainsi de la question des frais de transfert de données en cas de changement de fournisseur de cloud, pour laquelle des précisions viennent d’être apportées…
Pour rappel, les organismes de formation doivent déposer auprès des pouvoirs publics une déclaration d’activité dès la conclusion de la 1re convention ou du 1er contrat de formation professionnelle, accompagnée de justificatifs. Une formalité qui a été allégée pour les micro-entrepreneurs…