CNIL, Délibération du 20 mars 2025, n° 2025-019

CNIL 20 mars 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité aux obligations de sécurité des données
La CNIL a jugé que l'authentification multifacteur, en tant que mesure de sécurité, répond aux exigences du RGPD et contribue à la protection des données personnelles.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a adopté une recommandation sur l'authentification multifacteur pour renforcer la sécurité des données personnelles face aux menaces cyber. Les questions juridiques posées concernent la conformité des solutions de sécurité, notamment celles reposant sur des traitements de données, avec le règlement général sur la protection des données (RGPD). La CNIL a mené une consultation publique pour recueillir des retours sur le projet de recommandation, qui ont été pris en compte dans la version finale. La décision finale de la CNIL est l'adoption de cette recommandation, qui sera publiée au Journal officiel.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n° 2025-019 du 20 mars 2025 portant adoption d’une recommandation relative à l’authentification multifacteur (MFA)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, délib. n° 2025-019, 20 mars 2025
Numéro :	2025-019
Nature de la délibération :	Recommandation/Lignes directrices
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000051390242

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-2°-b) ;

Après avoir entendu le rapport de M. Fabien Tarissan, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement

Formule les observations suivantes :

La numérisation croissante de l’activité économique s’accompagne d’une nette augmentation des menaces cyber, qui se professionnalisent. Les solutions pour y faire face ont évolué pour une sécurité en profondeur basée sur des technologies mêlant intelligence artificielle, mutualisation et utilisation d’informations diverses, prise de décision automatisée, ou encore analyse du comportement des utilisateurs pour les plus avancées.

Ces solutions, comme l’authentification multifacteur, peuvent permettre de répondre à l’obligation de sécurité des données notamment (article 32 du règlement général sur la protection des données ou RGPD). Cependant, elles reposent elles-mêmes sur des traitements de données dont la conformité au RGPD doit aussi être assurée.

Afin d’accompagner les acteurs, la CNIL a élaboré une recommandation sur l’authentification multifacteur. Un projet de recommandation a été mis en consultation publique du 28 mars 2024 au 31 mai 2024 afin de recueillir les retours de l’écosystème. Ceux-ci ont été analysés et le cas échéant pris en compte lors de l’édition de la version finale de la recommandation.

La CNIL adopte par conséquent la présente recommandation.

Décide :

Article 1er : La recommandation figurant en annexe est adoptée.

Article 2 : La présente délibération sera publiée au Journal officiel de la République française.La présidente

M.-L. Denis

Annexe

Vous pouvez consulter l’intégralité du texte à l’adresse suivante : https://www.cnil.fr/fr/recommandation-mfa