MFA : les recommandations de la CNIL pour concilier cybersécurité et protection des données personnelles

Adoptée le 20 mars 2025, la nouvelle recommandation de la CNIL sur l’authentification multifacteur (MFA pour multi-factor authentification) propose un cadre précis à destination des entreprises souhaitant renforcer la sécurité de leurs systèmes d’information. Quelles sont les implications pratiques d’un tel encadrement de la MFA pour les responsables de traitement, RSSI et DPO ? 

Respecter les critères de l’authentification multifacteur 

Face à la recrudescence des cyberattaques, la généralisation de la MFA apparaît comme une mesure essentielle pour prévenir l’accès non autorisé aux ressources informatiques, étant rappelé que le responsable de traitement est tenu d’assurer la sécurité des traitements de données à caractère personnel qu’il met en œuvre en application des articles 5.1f et 32 du RGPD. 

Cette mesure consiste à vérifier l’identité d’un utilisateur à l’aide d’au moins deux facteurs choisis parmi trois catégories distinctes :  

• Facteur de connaissance, ce que l’utilisateur sait (par exemple un mot de passe). 
• Facteur de possession, ce qu’il possède (par exemple protocoles OTP – one-time password – contenu dans un objet comme un jeton matériel – hard token). 
• Facteur d’inhérence, ce qu’il est (par exemple facteur biométrique comme l’empreinte digitale).  

La CNIL revient sur le périmètre de la notion et attire l’attention sur les distinctions suivantes : 

• Un facteur d’authentification ne comprend pas certains types d’informations contextuelles, telles que la localisation géographique de l’utilisateur ou l’adresse IP. 
• Une vérification en deux étapes (2SV pour two-step validation), avec par exemple la saisie d’un mot de passe puis d’un code reçu par mail, n’est pas une authentification multifacteur. 

Par ailleurs, la CNIL rappelle que de nombreuses données personnelles sont impliquées dans la MFA :  

• Les données du traitement d’identification comme le numéro de compte attribué, le pseudonyme de l’utilisateur, l’adresse email.   
• Les données propres à l’authentification, qui diffèrent selon les facteurs de vérification (par exemple, mot de passe, code confidentiel, secret à usage unique, empreinte digitale). 
• Les données d’enregistrement des succès et échecs de l’authentification. 

Les recommandations à suivre pour un traitement conforme au droit des données personnelles  

Le point de départ de la recommandation est la qualification de la MFA en tant que traitement de données personnelles. En conséquence, la mise en œuvre de la MFA doit s’appuyer sur une base légale valide (obligation légale, intérêt légitime ou consentement) et respecter les principes du RGPD, notamment la minimisation, la sécurité dès la conception et la transparence. 

L’analyse des risques comme aide à la décision  

Pour la CNIL, le recours à la MFA doit être proportionné aux risques associés à l’accès concerné. Dans les cas sensibles — comme l’administration des systèmes, l’accès à la messagerie professionnelle ou les données de santé — la MFA est fortement recommandée, voire attendue. En revanche, son usage systématique, par exemple pour des services à faible enjeu (réservation d’une salle de réunion), pourrait être contre-productif, en créant une « lassitude » et un risque de contournement par les utilisateurs. 

Pour guider les entreprises, la recommandation invite à mener une analyse de risques tenant compte de la nature des données, des finalités du traitement, et des impacts potentiels pour les personnes concernées. 

Le choix d’une base légale adaptée 

La CNIL distingue deux types de situations pour guider le responsable de traitement dans le choix d’une base légale :  

• Dans le cas où la MFA est une mesure de sécurité, au sens de l’article 32 du RGPD, rattachée au traitement principal, la fonction d’authentification multifacteur suit la base légale du traitement principal. 
• Dans le cas où la MFA est une « brique de sécurité transversale et commune » à l’ensemble de son système d’information, le responsable de traitement devra la considérer comme un traitement en propre avec une « finalité de sécurisation des systèmes d’information ».  

Quelle que soit l’analyse retenue, la base légale pourra être une des suivantes : 

• Obligation légale : dans le cas où une disposition impose une authentification multifacteur. Sur ce point la CNIL souligne que les articles 5.1.f et 32 du RGPD qui prévoient une obligation de sécurité ne constituent pas à eux-seuls une obligation légale de mise en place d’une MFA. 
• Intérêt légitime du responsable de traitement : celui-ci vise principalement à garantir la sécurité des systèmes d’information. La CNIL attire l’attention sur la nécessité pour le responsable de traitement de mettre en balance cet intérêt avec les libertés et droits fondamentaux des personnes. 
• Consentement :  dans le cas où le responsable de traitement prévoit une possibilité de refus de l’utilisateur et évalue les implications de cette base légale pour la vie privée des personnes. A noter que cette dernière ne pourra pas en principe être utilisée dans le cadre d’une relation employeur-employé. 

Le choix des facteurs : arbitrer entre sécurité et intrusivité 

La CNIL recommande de privilégier les combinaisons « connaissance + possession », qui offrent un bon équilibre entre robustesse et respect de la vie privée. Le recours à la biométrie — facteur dit d’inhérence — est considéré comme plus intrusif et donc plus encadré : son usage suppose un consentement explicite ou une base juridique spécifique. Dans le cas d’une relation professionnelle, il sera possible de s’appuyer sur l’obligation légale prévue par le règlement type relatif à l’accès par authentification biométrique sur les lieux de travail. 

La CNIL attire l’attention sur une pratique fréquente consistant, souvent pour des raisons budgétaires, à exploiter l’équipement personnel des salariés (exemple : téléphone personnel avec application TOTP¹). Bien que cette solution soit tolérée, la CNIL recommande de privilégier le recours à la fourniture d’un terminal professionnel dédié à l’authentification, ou le choix d’une application TOTP ne collectant pas le numéro de téléphone du salarié. 

L’encadrement contractuel et la sous-traitance : la vigilance s’impose 

Le recours à un prestataire externe (notamment en mode SaaS) n’exonère pas le responsable de traitement de ses obligations. En effet, le fournisseur de la solution sera en principe qualifié de sous-traitant et l’organisme qui décide de recourir à ce fournisseur devra s’assurer, en tant que responsable de traitement, de la conformité de l’accord sur le traitement de données à l’article 28 du RGPD. Cela supposera notamment de vérifier la robustesse des mesures de sécurité, les modalités de journalisation, les transferts éventuels de données hors UE, ainsi que la chaîne de sous-traitance. 

La conservation des données et la sécurisation : trouver le bon équilibre 

La conservation des données d’authentification doit être limitée à ce qui est nécessaire et pour une durée appropriée au regard des risques. La CNIL recommande notamment aux responsables de traitement de se référer à la recommandation « mots de passe » pour la conservation des données liées aux facteurs de connaissance et au règlement type relatif à l’accès par authentification biométrique sur les lieux de travail pour la conservation des données relatives à la biométrie dans le cadre professionnel.  

Par ailleurs, la CNIL rappelle que les logs doivent exclure toute information secrète (mot de passe) et être conservés selon des durées proportionnées (entre 6 et 12 mois). Si des données biométriques sont utilisées, celles-ci doivent être stockées sur le terminal de l’utilisateur, sous son contrôle exclusif, et ne doivent jamais être transmises au responsable de traitement. 

L’expérience utilisateur et la sécurité : éviter la fatigue MFA 

La recommandation souligne un risque peu documenté mais bien réel : la « fatigue MFA ». Celle-ci survient lorsque des notifications d’authentification répétées finissent par être acceptées par l’utilisateur sans vérification, notamment par automatisme. Pour contrer ce phénomène, la CNIL recommande plusieurs mesures : affichage d’informations contextuelles (lieu, terminal, heure), limitation du nombre de tentatives, ou validation renforcée par correspondance de chiffres. 

La mise en œuvre de l’authentification multifacteur ne peut plus être une simple décision technique. Elle implique un arbitrage entre exigences de sécurité, impératifs réglementaires, respect des droits des personnes et efficacité opérationnelle. La recommandation de la CNIL fournit aux entreprises un cadre clair pour concilier ces objectifs. 

 ¹ Mot de passe à usage unique basé sur le temps

Article paru dans Option finance le 10 juin 2025