Par Haas Avocats
Jusqu’au 31 mai 2024, les responsables de traitement, les sous-traitants, ainsi que les fournisseurs de solutions d’authentification multi facteurs peuvent donner leur avis à la CNIL sur son projet de recommandation relative au MFA[1].
Ce sont donc non seulement l’ensemble des professionnels du secteur que la CNIL encourage à se saisir du sujet, mais plus largement tous les acteurs amenés à y être confrontés ! Désormais, l’authentification multi facteurs est effectivement susceptible de concerner tous les acteurs du numérique.
Un contexte propice à la MFA
Face à la multiplication des cyberattaques, l’authentification multi facteurs permet de prévenir la compromission des services informatiques en vérifiant la preuve de l’identité de l’utilisateur avant de lui autoriser l’accès aux ressources d’un système d’information.
Dans cette optique, il s’agit de s’appuyer sur plusieurs facteurs d’authentification, appartenant à au moins deux des trois catégories suivantes :
- Facteur de connaissance: ce que la personne sait (par exemple un code ou un mot de passe) ;
- Facteur de possession: ce que la personne a (un moyen de conserver des secrets mémorisables comme une clé d’accès logicielle ou une carte de clés personnelles) ;
- Facteur d’inhérence: ce que la personne est ou fait (une caractéristique physique indissociable d’une personne pouvant être morphologique, telle qu’une empreinte digitale, ou comportementale, telle que la voix).
L’authentification reposant ainsi nécessairement sur un traitement de données personnelles, c’est dans ce cadre qu’intervient le nouveau projet de recommandation de la CNIL.
Les professionnels faisant usage de l’authentification multi facteurs devront se conformer à la règlementation relative à la protection des données.
Une mesure de sécurité préventive
L’ANSSI avait déjà publié, le 8 octobre 2021, un guide sur les recommandations relatives à l’authentification multi facteurs et aux mots de passe.
Ce guide de l’ANSSI, écrit avec la contribution de la CNIL, vise à proposer des recommandations de sécurité relatives à l’authentification en général et par mots de passe en particulier, tout en constituant un support technique pour accompagner les acteurs devant réaliser une analyse de risque sur l’authentification.
Surtout, ce guide constitue une référence pour l’élaboration de mesures d’authentification qui permettent de satisfaire à l’obligation de sécurité des traitements de données personnelles imposée par le RGPD[2].
En effet, la sécurité de l’accès à des services en ligne participe de la protection des données à caractère personnel. C’est donc en s’appuyant sur le guide de l’ANSSI que la CNIL a pu formuler des recommandations de conformité des systèmes d’authentification au RGPD, que cela soit dans l’usage de ces systèmes, ou dès leur conception.
Pour rappel, l’obligation de sécurité imposée par le RGPD au responsable de traitement et au sous-traitant leur enjoint de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »[3].
Or, les risques ayant connu une croissance exponentielle ces dernières années, l’efficacité des mesures de protection doit être à la hauteur, et l’authentification multi facteurs n’échappe pas à ce constat. En effet, selon l’ANSSI, cette mesure fait partie des cinq mesures de sécurité prioritaires à mettre en place de manière préventive.
Mettre en place une authentification multi facteurs dans le respect de la législation en matière de données personnelles
C’est donc tout l’enjeu de ces nouvelles recommandations formulées par la CNIL et soumises à consultation publique.
Dans un premier temps, les organismes qui souhaitent recourir à l’authentification doivent vérifier si celle-ci résulte d’une obligation légale. En l’absence de toute obligation en ce sens, ils doivent s’assurer de l’opportunité de mettre en place une telle mesure de sécurité, et invoquer l’une des bases légales listées par le RGPD[4].
Enfin, l’organisme doit choisir une telle mesure de sécurité en prenant en compte les risques pour les données personnelles des personnes concernées. A ce titre, le responsable de traitement doit concevoir les mesures techniques et organisationnelles de sécurité comme protégeant les données personnelles dès la conception et par défaut[5]. En d’autres termes, cela signifie que la création même de l’authentification multi facteurs doit protéger les données personnelles.
Et tout cela, bien sûr, dans le respect de l’ensemble des principes fondateurs du RGPD[6], tel que celui de la minimisation des données. Le responsable de traitement devra veiller avec attention à ne collecter que les informations strictement nécessaires à cette authentification multi facteurs[7].
Au regard de ces précisions liminaires, c’est désormais à vous de donner votre avis sur ces recommandations[8] !
***
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Multi-factor authentication
[2] Article 5 et 32 du RGPD
[3] Article 32 du RGPD
[4] L’article 6 du RGPD explicite les bases légales pouvant fonder un traitement de données personnelles
[5] Article 25 du RGPD
[6] Article 5 du RGPD
[7] Et notamment ne devra collecter aucune information supplémentaire, contribuant à relier le compte à une autre identité de la personne, que le responsable de traitement n’ait déjà
[8] Le formulaire de consultation est disponible sur le site de la CNIL : Consultation publique : Authentification multifacteur | CNIL
