Le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018, impactant les organismes présents dans l’Union Européenne (UE), mais également dans le monde entier. Quelle que soit sa taille, chaque entité qui traite des données personnelles au sein de l’UE, ou bien dont l’activité est en lien direct avec des résidents européens, est en effet concernée par ce règlement. Les entreprises ont ainsi désormais l’obligation de s’y conformer, sous peine de sanction.

Dans ce contexte, quels sont les trois points fondamentaux que les organisations doivent savoir lorsqu’il est question d’authentification.

Le RGPD exige que les entreprises mettent en place des mesures de protection des données. Une authentification multi-facteur (AMF) forte est un élément essentiel de la cybersécurité. L’année dernière, 81 % des violations de données personnelles étaient dues à des attaques exploitant des mots de passe faibles ou volés. Cela signifie que toute approche de sécurisation qui n’inclut pas l’utilisation de l’AMF comporte des risques. De plus, il est important que les organisations considèrent les tous derniers procédés mis au point en matière d’authentification forte, car ils sont bien plus performants que les technologies de première génération, que les cybercriminels ont depuis longtemps appris à déjouer.

En outre, le règlement oblige les entreprises à répondre aux demandes des individus qui souhaitent voir, modifier, effacer ou transférer leurs données. Elles doivent également être en mesure de prouver qu’elles ont obtenu leur accord concernant l’utilisation de leurs informations, et plus précisément leur consentement explicite, si ces données sont jugées sensibles. L’un des éléments clés pour être conforme est de s’assurer que l’identité des personnes qui émettent ces demandes ou donnent leur accord est authentifiée, car les organisations doivent démontrer qu’un individu a réellement consenti ou exigé la modification de ses informations.

Enfin, la biométrie est l’une des technologies les plus prometteuses pour fournir une authentification forte. En effet, elle renforce non seulement la sécurité mais offre également une meilleure expérience utilisateur. Toutefois, le RGPD définit les données biométriques comme une catégorie « sensible » d’informations personnelles justifiant une protection solide et établissant des restrictions qui leur sont propres. Ainsi, toute entité qui déploie un système d’authentification biométrique doit s’assurer que son utilisation ne va pas à l’encontre du règlement. Elle préfèrera, en particulier, un stockage et une vérification locaux de ses données biométriques, dans un dispositif de l’utilisateur, plutôt qu’un stockage centralisé qui sera davantage sensible aux cyberattaques.

___________
Alain Martin est VP Strategic Partnerships, chez Gemalto, également Directeur au Board de l’Alliance FIDO et Co-Président du Groupe de Travail Européen FIDO