[Clôturée] Authentification multifacteur : consultation publique de la CNIL sur un projet de recommandation
La CNIL souhaite promouvoir des solutions de cybersécurité conformes au RGPD, tant dans leur usage que dès leur conception. Dans ce but, elle soumet à consultation publique jusqu’au 31 mai 2024 un projet de recommandation destiné à accompagner les utilisateurs et fournisseurs d’authentification multifacteur.
Des solutions de cybersécurité largement utilisées et reposant sur l’utilisation de données personnelles
La numérisation croissante de l’activité économique – y compris dans le secteur public – s’accompagne d’une nette augmentation des menaces cyber, qui se professionnalisent. Les solutions pour y faire face ont évolué pour une sécurité en profondeur basée sur des technologies mêlant intelligence artificielle, mutualisation et utilisation d’information diverses, prise de décision automatisée, ou encore analyse du comportement des utilisateurs pour les plus avancées.
Ces solutions, comme l’authentification multifacteur, peuvent permettre de répondre à l’obligation de sécurité des données notamment (article 32 du règlement général sur la protection des données ou RGPD). Cependant, elles reposent en elles-mêmes sur des traitements de données dont la conformité au RGPD doit être assurée.
Afin d’accompagner les acteurs, la CNIL travaille sur projet de recommandation sur l’authentification multifacteur, généralement abrégée par MFA (multi-factor authentication) qu’elle publie pour consultation publique. Le but est de sécuriser les responsables de traitement – utilisateurs de telles solutions – et à encourager les fournisseurs à adopter une approche de protection de la vie privée dès la conception.
Quel est le périmètre du projet de recommandation ?
Ce projet de recommandation vise en particulier à éclairer les responsables de traitement :
- sur les conditions dans lesquelles le recours à la MFA s’impose (existence d’une obligation légale) ou est opportun (au regard des besoins de sécurité) ;
- sur le respect des principes du RGPD dans le cadre du recours à la MFA, notamment la détermination d’une base légale, la minimisation des données collectées, les durées de conservation, le respect de l’exercice des droits par les personnes concernées ;
- sur la détermination de la qualification des acteurs intervenant dans la solution de MFA ;
- sur le choix des modalités (facteurs d’authentification) et leurs conditions de conformité au RGPD.
Il couvre l’authentification au sens strict, et n’a pas vocation à développer les processus liés à la gestion des identités et des accès (par exemple la gestion de comptes, la gestion des droits et habilitations, etc.).
Il comporte des encadrés explicatifs sur certaines thématiques aux enjeux particuliers, et des exemples pratiques de mise en œuvre de l’authentification multifacteur vertueuses, intégrant la protection de la vie privée par conception.
Pour élaborer cet projet de recommandation, la CNIL a organisé une série de rencontres avec des acteurs publics et privés pour recueillir des premières observations ou interrogations sur l’authentification multifacteur. La consultation publique doit permettre d’améliorer le projet de recommandation au regard de la réalité du terrain et de l’expérience des acteurs concernés.
À qui s’adresse cette consultation ?
Cette consultation s’adresse :
- aux responsables de traitements et aux sous-traitants, notamment à leurs délégués à la protection des données (DPO), aux responsables de la sécurité des systèmes d’information (RSSI) ainsi qu’à leurs équipes ; et
- aux fournisseurs de solutions d’authentification multifacteur.
La CNIL souhaite permettre au plus grand nombre d’acteurs, qu’il s’agisse de professionnels du secteur de la sécurité des systèmes d’information ou non, autour des enjeux de protection des droits et libertés que l’authentification multifacteur implique.
Quel est le calendrier de la consultation ?
Cette consultation publique prendra fin le 31 mai 2024.
Les réponses à la consultation publique peuvent être collectives et se faire par le biais de fédérations, associations, etc.
Il n’est pas nécessaire de formuler des observations sur l’ensemble des fiches pour répondre à la consultation publique.
Quelles sont les prochaines étapes ?
Les contributions seront analysées à l’issue de la consultation publique pour permettre la publication de la recommandation définitive, après son adoption par le collège de la CNIL.
Cette première publication lié à l’action conformité cyber sera suivie par d’autres publications portant sur d’autres techniques ou solution du secteur de la sécurité des systèmes d’information.