Authentification multifacteur et protection des données : la CNIL vous guide !

15 avril 2025

Pour se protéger des cyberattaques, la solution de l’authentification multifacteur peut être pertinente. Encore faut-il que sa mise en place se fasse dans le respect du RGPD. Pour aider les utilisateurs et les fournisseurs de ces solutions, la CNIL a publié des recommandations. Faisons le point.

Allier cybersécurité et protection des données personnelles

Pour rappel, l’authentification multifacteur, dite MFA pour multi-factor authentication, est un système permettant de vérifier l’identité d’un utilisateur, avant de lui donner l’accès aux ressources d’un système d’information, en utilisant plusieurs preuves, appelées « facteurs », qui appartiennent à au moins 2 des catégories suivantes :

  • les facteurs de connaissance, qui correspondent à « ce que la personne sait » (par exemple un mot de passe ou un code confidentiel) ;
  • les facteurs de possession, qui correspondent à « ce que la personne a » (par exemple une carte à puce, une clé USB ou encore une application d’authentification installée sur un appareil dit « enrôlé ») ;
  • les facteurs d’inhérence, qui correspondent à « ce que la personne est ou fait » (par exemple les empreintes digitales, l’ADN, la morphologie, la manière de frapper sur le clavier, etc.).

Si ces méthodes d’authentification sont plus sécurisées qu’une authentification simple, elles peuvent potentiellement utiliser des données personnelles, d’où la nécessité de respecter le RGPD.

La CNIL a donc mis à disposition des ressources afin de sécuriser les utilisateurs et d’inciter les fournisseurs à intégrer ces questions dès la conception de ces solutions.

Les recommandations de la CNIL visent particulièrement plusieurs sujets, à savoir :

  • les conditions et les besoins en sécurité qui font de la MFA une solution adaptée ;
  • le respect des principes du RGPD, (base légale, collecte et conservation des données, etc.) ;
  • la détermination de la qualification des acteurs intervenant dans une solution de MFA ;
  • le choix des modalités de la MFA, notamment les catégories de facteurs choisies et leurs conditions de conformité au RGPD ;
  • l’usage du facteur d’inhérence ;
  • le choix de l’envoi d’un code à usage unique par SMS ;
  • l’utilisation de l’équipement personnel des salariés comme facteur de possession, etc.

Agriculture : le point sur les mesures d’aide

1 août 2025
Le secteur agricole peut bénéficier d’un nombre important de différentes aides. Des précisions sont apportées concernant plusieurs d’entre elles…

Loyers impayés : une procédure simplifiée pour les bailleurs

1 août 2025
La procédure des saisies sur salaire a été largement remaniée au 1er juillet 2025. Des changements entraînant des conséquences très concrètes pour le secteur de la location immobilière depuis cette date…

Expérimentation Hand’Innov : jusqu’à quand ?

1 août 2025
Sur le plan de l’accompagnement médical, une expérimentation dite « Hand’Innov » a pour objet d’améliorer l’accès aux soins des personnes en situation de handicap. Une expérimentation dont la fin de la phase pilote a été repoussée : jusqu’à quand ?

Organismes de placement collectif (OPC) : la réforme prend forme !

31 juillet 2025
Pour rappel, le Gouvernement a proposé de réformer le droit applicable aux organismes de placement collectif (OPC) afin de le simplifier et de l’harmoniser. Si les grandes lignes ont été posées en mars 2025, c’est au tour des modalités de mises en œuvre d’être précisées…

Anomalies récurrentes en DSN : l’Urssaf vous accompagne !

31 juillet 2025
Parce que certaines anomalies sont souvent constatées en DSN, l’Urssaf vient de publier la conduite à tenir pour corriger 7 des anomalies les plus fréquemment constatées. Focus.

Mayotte : des incitations financières pour les professionnels de santé

31 juillet 2025
La situation sanitaire à Mayotte est depuis longtemps préoccupante, et cela s’est accentué depuis le passage du cyclone Chido en décembre 2024. Pour améliorer la situation, plusieurs mesures incitatives sont prises pour encourager les professionnels de santé à exercer sur l’île…

Praticien et auxiliaire médical : plafonnement des sommes payées par carte bancaire à l’Urssaf !

30 juillet 2025
Dès le 21 juillet 2025, les modalités de paiement à l’Urssaf évoluent pour les praticiens et auxiliaires médicaux. En effet, il ne sera plus possible pour eux de s’acquitter du paiement des cotisations sociales et autres sommes dues à l’Urssaf avec leur carte bancaire, au-delà d’un certain montant. Explications.

TVA à taux réduit  : et pour les professionnels de parachutisme ?

30 juillet 2025
Les activités proposées par les exploitants professionnels de parachutisme sont soumises au taux normal de TVA. Une situation qui soulève une interrogation, estime une députée qui voit pourtant dans ces activités des opérations de transport aérien, soumises au taux réduit de TVA…

Crédit d’impôt recherche : exclusion officielle de certaines dépenses

29 juillet 2025
La loi de finances pour 2025 a aménagé le calcul du crédit d’impôt recherche en excluant, pour le calcul du seuil de 100 000 millions d’euros de dépenses, certaines dépenses (de veille technologique, de frais de maintenance de brevets, etc.). Une exclusion qui est désormais officielle. Explications…

Lutte contre les accidents du travail graves et mortels : du nouveau !

29 juillet 2025
Pour lutter contre les accidents de travail graves et mortels, un renforcement des sanctions et de la politique pénale appliquées aux entreprises qui manqueraient à leur obligation de sécurité est envisagé. Quelles conséquences opérationnelles pour les entreprises ?