Présent sur la Forum InCyber à Lille, la CNIL en a profité pour lancé une consultation sur un sujet tendance : le MFA. L’authentification à plusieurs facteurs (par SMS, biométrie,…) est devenu en quelques années un outil incontournable pour éléver la sécurisation des comptes. Mais cette solution a un revers pour le régulateur « elle repose en elle-même sur des traitements de données dont la conformité au RGPD doit être assurée ».

Dans l’appel à commentaires, la Cnil s’attache à plusieurs sujets. Tout d’abord, elle regarde si le MFA découle d’une obligation légale ou pas. Sur ce dernier cas, les questions de l’intérêt légitime, du consentement et du responsable du traitement des données personnelles se posent. De même, des interrogations portent sur les solutions en elles-mêmes en vérifiant qu’elle « ne collecte aucune information supplémentaire, contribuant à relier le compte à une autre identité de la personne ».

Une attention appuyée devra être portée sur la biométrie avec la mise en place de mesures particulières pour éviter l’usurpation d’identité. « A cet égard, l’utilisation de données biométriques ne laissant pas de traces (comme le réseau veineux des doigts ou de la main plutôt que l’empreinte digitale) ou la qualification de la performance des capteurs utilisés contre certaines attaques par présentation (détection de vivant, etc.) sont nécessaires », peut-on lire dans le projet de recommandation. Les entreprises et les personnes concernées (DPO et RSSI) par ce projet ont jusqu’au 31 mai 2024 pour répondre à la consultation.