Authentification multifacteur et protection des données : la CNIL vous guide !

15 avril 2025

Pour se protéger des cyberattaques, la solution de l’authentification multifacteur peut être pertinente. Encore faut-il que sa mise en place se fasse dans le respect du RGPD. Pour aider les utilisateurs et les fournisseurs de ces solutions, la CNIL a publié des recommandations. Faisons le point.

Allier cybersécurité et protection des données personnelles

Pour rappel, l’authentification multifacteur, dite MFA pour multi-factor authentication, est un système permettant de vérifier l’identité d’un utilisateur, avant de lui donner l’accès aux ressources d’un système d’information, en utilisant plusieurs preuves, appelées « facteurs », qui appartiennent à au moins 2 des catégories suivantes :

  • les facteurs de connaissance, qui correspondent à « ce que la personne sait » (par exemple un mot de passe ou un code confidentiel) ;
  • les facteurs de possession, qui correspondent à « ce que la personne a » (par exemple une carte à puce, une clé USB ou encore une application d’authentification installée sur un appareil dit « enrôlé ») ;
  • les facteurs d’inhérence, qui correspondent à « ce que la personne est ou fait » (par exemple les empreintes digitales, l’ADN, la morphologie, la manière de frapper sur le clavier, etc.).

Si ces méthodes d’authentification sont plus sécurisées qu’une authentification simple, elles peuvent potentiellement utiliser des données personnelles, d’où la nécessité de respecter le RGPD.

La CNIL a donc mis à disposition des ressources afin de sécuriser les utilisateurs et d’inciter les fournisseurs à intégrer ces questions dès la conception de ces solutions.

Les recommandations de la CNIL visent particulièrement plusieurs sujets, à savoir :

  • les conditions et les besoins en sécurité qui font de la MFA une solution adaptée ;
  • le respect des principes du RGPD, (base légale, collecte et conservation des données, etc.) ;
  • la détermination de la qualification des acteurs intervenant dans une solution de MFA ;
  • le choix des modalités de la MFA, notamment les catégories de facteurs choisies et leurs conditions de conformité au RGPD ;
  • l’usage du facteur d’inhérence ;
  • le choix de l’envoi d’un code à usage unique par SMS ;
  • l’utilisation de l’équipement personnel des salariés comme facteur de possession, etc.

Indemnités de rupture et taux de la contribution patronale : 40 % ?

27 mars 2026
Dans une mise à jour récente, le bulletin officiel de la Sécurité sociale met fin aux hésitations nées de la loi de financement de la Sécurité sociale pour 2026 : la hausse de 30 % à 40 % du taux de la contribution patronale spécifique due sur certaines indemnités de rupture s’applique en fonction de la date de fin du contrat de travail. Voilà qui mérite quelques précisions…

Dépistage précoce et prévention de la perte d’autonomie : quelles modalités ?

27 mars 2026
Deux ans après la loi portant diverses mesures pour bâtir la société du bien vieillir et de l’autonomie, les modalités de la mise en place du dépistage précoce de la perte d’autonomie sont à présent connues. Que faut-il en retenir ?

Réforme de la franchise en base de TVA : retour en arrière

27 mars 2026
Suspendue avant même son entrée en vigueur, la réforme de la franchise en base de TVA telle que prévue par la loi de finances pour 2025 devait aboutir dans le cadre de la loi de finances pour 2026. Qu’en est-il et pour quelles conséquences ?

Crédit d’impôt en faveur des services à la personne : quoi de neuf ?

26 mars 2026
Si le crédit d’impôt pour emploi d’un salarié à domicile concerne, par définition, les services fournis à l’intérieur du domicile, pour autant il peut être accordé pour des services fournis à l’extérieur du domicile sous réserve du respect de conditions qui viennent d’être précisées par la loi de finances pour 2026. On fait le point…

Réduction d’impôt pour don : tour d’horizon des nouvelles mesures

26 mars 2026
La réduction d’impôt sur le revenu pour dons fait de nouveau l’objet d’aménagements suite à l’adoption de la loi de finances pour 2026. En quoi consistent ces nouveautés ?

Passeport de prévention : ouverture aux employeurs

25 mars 2026
Le Passeport de prévention franchit une nouvelle étape : après les organismes de formation, ce sont désormais les employeurs qui peuvent accéder à leur espace de déclaration pour renseigner les formations SST concernées. Que faut-il retenir à ce sujet ?

Secteur agricole : aides actualisées en mars 2026

25 mars 2026
Le secteur agricole peut bénéficier de différentes aides. De plus, en fonction, notamment, de la situation sanitaire, des précautions particulières ou des évolutions de réglementations peuvent être décidées. Autant de points à préciser au regard de décisions prises au cours du mois de mars 2026…

Artistes-auteurs : le calendrier des déclarations est dévoilé

25 mars 2026
L’Urssaf vient de dévoiler le calendrier de la déclaration des revenus artistiques perçus en 2025 par les artistes-auteurs relevant des bénéfices non commerciaux (BNC) et, dans le même temps, elle rappelle les règles applicables à la possible modulation des cotisations sociales dues au titre du 2e trimestre. Voilà qui mérite quelques explications…

Logiciels de caisse auto-certifiés : le retour

25 mars 2026
Alors que les éditeurs des logiciels de caisse avaient encore la possibilité jusqu’au 1er septembre 2026 de prouver leur conformité par la production d'une attestation individuelle avant la suppression définitive des logiciels auto-certifiés, la loi de finances pour 2026 redistribue les cartes. Comment ?

Transfert de mails sensibles : faute grave ?

25 mars 2026
Le transfert massif de courriels professionnels couverts par le secret vers une messagerie personnelle, y compris celle d’un tiers, peut-il caractériser une faute grave justifiant le licenciement d’un salarié protégé ? Réponse du juge dans une affaire récemment tranchée…