Fin mars 2025, la CNIL a publié une recommandation sur l’usage de l’authentification multi-facteur pour renforcer la sécurité des SI, avec des contrôles dès 2026.
Une nouvelle recommandation fortement contraignante
La recommandation de la CNIL, publiée fin mars 2025, fait suite à une consultation publique ouverte un an plus tôt sur le sujet des solutions de cybersécurité, notamment des solutions reposant sur l’utilisation de données personnelles.
Si le texte porte le nom de « recommandation », il faut rappeler que les recommandations et lignes directrices de la CNIL doivent être suivies par les organismes, à moins de justifier, en cas de contrôle, d’une impossibilité technique, organisationnelle, opérationnelle, juridique ou financière qui empêcherait l’organisme de les respecter.
Ainsi la CNIL indiques t-elle qu’une verification du respect de cette recommandation sera effectuée dans ses contrôles dès 2026.
Quelles obligations concernant l’authentification multi-facteur (MFA) ?
Dans le cadre de la sécurisation des SI, et de l’obligation de sécurité des données pesant sur les responsables de traitement, la CNIL contrôle, depuis plusieurs années, les mesures de sécurité que mettent en oeuvre les organismes, et en apprécie non seulement la pertinence, mais aussi la qualité.
Des organismes mettant ainsi en oeuvre des mesures de sécurité indéquates, inadaptées ou incomplètes au regard de la criticité ou de la volumétrie des données qu’ils traitent peuvent donc être sanctionnés. La CNIL vérifie d’ailleurs que certaines mesures de sécurité basiques sont constamment appliquées (urls non prédictives, mots de passe robuses, etc.).
A partir de 2026, la CNIL vérifie maintenant si certains organismes répondant aux critères de la recommandation appliquent des mesures de sécurité complémentaires lors de la connexion d’un utilisateur à un outil informatique, dont l’usage des technologies MFA.
Qui est concerné ?
La recommandation cible un grand nombre d’organismes. Plusieurs critères sont retenus pour déterminer si un organisme devrait mettre en oeuvre ce type de mesure de sécurité, et ainsi être considéré fautif en son absence :
- les organismes disposant de bases de données de plus de 2 millions de personnes ;
- les sytèmes accessibles à distance ;
- les applications web ou outils SaaS interconnectés avec des systèmes sensibles ;
- les outils participant au traitement de données sensibles.
Quels changements pour les utilisateurs ?
Cette recommandation concerne tout autant la connexion d’utilisateurs internes à l’organisme, qu’externes.
Si la CNIL précise que chaque responsable du traitement devra, au cas par cas, analyser la pertinence de cette mesure au regard du traitement, des données, des attentes des utilisateurs, etc., la recommandation risque néanmoins de concerner un grand nombre d’organismes.
>> Pour les équipes métiers et équipes informatiques se connectant à des environnements informatiques contenant de grands volumes de données (plus de 2 millions de personnes concernées enregistrées), la CNIL semble ici considérer que le MFA est un pré-requis de sécurité extrêmement important, de nature à limiter les risques de violation de données.
>> De même pour les organismes mettant à disposition des personnes des outils traitant de grands volumes de données, l’usage du MFA semble fortement recommandé même lorsque les utilisateurs ne peuvent accéder aux données de tiers. Nous voyons néanmoins difficilement comment cela pourrait être mis en oeuvre pour certains systèmes informatiques accessibles à distance comme les applications smartphones, jeux-vidéos en ligne ou réseaux sociaux…
>> Pour les outils permettant le traitement de données à caractère personnel dites « sensibles » (données de santé, opinions et croyances, rapport avec la justice, …), la connexion multi-facteur semble aussi devoir être privilégiée.
Exigences RGPD d’une authentification multi-facteur
Si la mise en oeuvre du MFA sera contrôlée, c’est aussi pour que cette authentification se fasse dans des modalités participant véritablement à la sécurisation des données, sans les mettre en péril.
Ainsi la CNIL se montre t-elle assez critique sur les méthodes d’authentification multi-facteur basées sur des données personnelles elles-mêmes considérées comme sensibles, comme le visage ou l’empreinte digitale.
L’autorité de contrôle reconnaît cependant également que l’envoi de SMS comme méthode privilégiée de MFA propose un niveau de sécurité complémentaire peu fiable, et ne saurait dans certains cas être considéré comme suffisant.
Des solutions alternatives existent et sont déjà mises en oeuvre, comme le téléchargement d’applications mobiles de connexion MFA, mais ces solutions peuvent s’avérer coûteuses et dificiles à maintenir.
Datanaos vous proposera, dans un prochain article, une explication et des détails sur les modalités de MFA existants.
_____________________________________
Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.