La fuite FICOBA a été rendue possible par le mot de passe d'un seul fonctionnaire. La fuite France Travail, par des identifiants de conseillers CAP EMPLOI usurpés par ingénierie sociale. La fuite Free Mobile, par l'absence de MFA sur un VPN interne. Trois incidents, un point commun : un deuxième facteur d'authentification aurait tout arrêté.
La CNIL l'a compris avant tout le monde. Dès mars 2025, elle publiait sa recommandation relative à l'authentification multifacteur, adoptée par délibération n°2025-019. Un texte technique, précis, et assorti d'un message sans ambiguïté : à partir de 2026, les contrôles seraient renforcés, et l'absence de MFA sur les accès sensibles pourrait "justifier que soit initiée une procédure de sanction". Pas une menace vague. Un calendrier.
Depuis janvier 2026, ce calendrier est actif. Les violations massives qui se succèdent depuis le début de l'année en France donnent à ces contrôles une urgence particulière. La CNIL l'affirme elle-même : "la mise en place d'une authentification multifacteur était déjà jugée en principe nécessaire au titre du RGPD" pour les données sensibles. Ce n'est pas une nouveauté réglementaire. C'est la fin de la tolérance pour ceux qui ne l'avaient pas encore déployée.
Pourquoi 2026 est l'année du basculement
Pour comprendre la décision de la CNIL, il faut regarder ce qui s'est passé en 2024 et en 2025 sur les violations de données. Le bilan est sévère : 80 % des violations analysées par la CNIL résultaient de la compromission de comptes protégés uniquement par un mot de passe. Ingénierie sociale, hameçonnage, credential stuffing (test automatique de millions de couples identifiant/mot de passe issus d'autres fuites) : toutes ces attaques deviennent inefficaces dès lors qu'un second facteur est en place.
Free Mobile : 24 millions de contrats, dont des IBAN
Un attaquant accède au VPN interne de Free faute d'authentification multifacteur sur cet accès distant. La CNIL prononce en janvier 2026 une amende de 42 millions d'euros, citant explicitement "la méconnaissance de principes essentiels en matière de sécurité".
France Travail : 43 millions de personnes
Des attaquants usurpent les identifiants de conseillers CAP EMPLOI par ingénierie sociale, sans que le système ne détecte l'anomalie ni n'exige de second facteur. Sanction de 5 millions d'euros prononcée en janvier 2026.
FICOBA : 1,2 million d'IBAN avec coordonnées complètes
Un usurpateur se fait passer pour un fonctionnaire de Bercy. Un seul compte, sans MFA, donne accès au fichier national des comptes bancaires. La chaîne de confiance s'effondre au premier maillon faible.
ANTS (France Titres) : 11,7 millions de comptes
Faille IDOR sur l'API, pas directement liée au MFA, mais révélatrice du même état d'esprit : la sécurité des accès n'a pas été pensée comme une priorité sur un portail gérant les titres d'identité de millions de Français.
Ce que dit exactement la recommandation CNIL
La recommandation du 20 mars 2025 n'est pas une loi. Elle ne crée pas d'obligation absolue de MFA pour toutes les organisations. Elle fait quelque chose de plus précis : elle définit les situations dans lesquelles l'absence de MFA sera considérée comme un manquement à l'article 32 du RGPD lors d'un contrôle. C'est une ligne rouge, tracée noir sur blanc.
Attention : la CNIL précise que les articles 5.1.f et 32 du RGPD "ne constituent pas à eux seuls une obligation légale explicite de MFA". Ce n'est pas une loi qui dit "activez le MFA". C'est l'analyse de votre niveau de risque qui détermine si la CNIL l'attend de vous. Mais si votre risque est élevé et que vous n'avez pas de MFA, vous êtes en manquement caractérisé.
La recommandation définit les trois facteurs d'authentification reconnus, et précise qu'un MFA doit combiner au moins deux catégories différentes parmi :
Facteur de connaissance
Ce que l'utilisateur sait : mot de passe, phrase de passe (passphrase), code PIN. C'est le facteur historique. Seul, il n'est plus suffisant pour les accès sensibles.
Facteur de possession
Ce que l'utilisateur a : une clé physique (FIDO2/WebAuthn), une application TOTP (code tournant toutes les 30 secondes), ou un SMS. La CNIL recommande le facteur de possession de niveau R39 de l'ANSSI pour les grandes bases.
Facteur d'inhérence
Ce que l'utilisateur est : empreinte digitale, reconnaissance faciale, veineuse. La CNIL attire l'attention sur les points spécifiques de conformité au RGPD liés à la biométrie, qui sont des données particulièrement sensibles.
Qui est vraiment concerné ?
La CNIL est explicite : le MFA "ne doit pas être considéré comme une mesure de sécurité générale et systématique". Une plateforme de réservation de terrain de tennis n'a pas les mêmes obligations qu'un hébergeur de données de santé. Voici les critères concrets qui déterminent si vous êtes dans le périmètre des contrôles.
Bon à savoir : si vous êtes une agence web ou un éditeur SaaS, vous êtes doublement concerné. D'abord pour vos propres accès internes (hébergeur, backoffice client, outils de déploiement). Ensuite en tant que sous-traitant de vos clients : l'article 28 du RGPD vous impose des mesures de sécurité adaptées sur les données que vous traitez pour leur compte.
Ce que le MFA n'est pas : les erreurs fréquentes
La recommandation CNIL apporte une précision importante qui surprend beaucoup d'organisations : toutes les "vérifications en deux étapes" ne sont pas du MFA au sens réglementaire. Cette distinction peut faire la différence lors d'un contrôle.
Vérification en deux étapes
- Mot de passe + code reçu par email (deux facteurs de connaissance, même catégorie)
- Localisation géographique ou adresse IP comme second facteur (information contextuelle, pas un facteur d'authentification)
- Question secrète en plus du mot de passe (deux facteurs de connaissance)
- Mot de passe + code reçu par SMS (valide mais considéré insuffisant pour les grandes bases selon l'ANSSI)
Authentification multifacteur
- Mot de passe + application TOTP (Google Authenticator, Aegis, Authy) : connaissance + possession
- Mot de passe + clé physique FIDO2/WebAuthn (YubiKey) : connaissance + possession physique certifiée
- Mot de passe + empreinte digitale ou Face ID : connaissance + inhérence (avec précautions RGPD sur la biométrie)
- Code PIN + clé physique : connaissance + possession (sans mot de passe)
Attention à la lassitude MFA : certaines solutions reposent sur des notifications push qu'un utilisateur doit accepter. Des attaques dites de "MFA fatigue" consistent à envoyer des dizaines de notifications jusqu'à ce que l'utilisateur cède par lassitude. La CNIL recommande de limiter la fréquence des push, d'afficher des informations contextuelles (localisation, heure de la tentative), et de préférer les solutions TOTP ou FIDO2 qui ne dépendent pas d'une simple pression.
Votre politique de confidentialité mentionne-t-elle vos mesures de sécurité ?
L'article 32 du RGPD impose de mettre en oeuvre des mesures adaptées. Votre politique doit en faire état. RGPDKit génère des documents conformes intégrant les clauses de sécurité adaptées à votre activité.
Comment se mettre en conformité, étape par étape
La mise en place du MFA ne se résume pas à activer un réglage dans un outil. La CNIL attend une démarche documentée, proportionnée aux risques identifiés, et inscrite dans une politique globale de gestion des identités et des accès.
- Cartographiez vos accès : listez tous les points d'entrée à vos systèmes contenant des données personnelles. Backoffice, hébergeur, CRM, outil d'emailing, espace client, interface d'administration WordPress ou autre CMS, accès SSH, VPN. C'est la base de votre analyse de risques.
- Qualifiez le risque de chaque accès : volume de données accessible, nature des données (sensibles ou non), type d'utilisateur (employé interne, prestataire externe, client final), possibilité d'agir sur les données d'un tiers. Plus le risque est élevé, plus la méthode de MFA doit être robuste.
- Choisissez la méthode adaptée : pour les accès internes critiques, privilégiez les applications TOTP (gratuites, robustes, indépendantes d'un opérateur télécom) ou les clés FIDO2 pour les accès les plus sensibles. Évitez les notifications push seules sur les accès à fort volume de données.
- Couvrez aussi vos prestataires et sous-traitants : la CNIL précise explicitement que le MFA doit couvrir "les employés, partenaires, sous-traitants et autres intervenants accédant à distance à la base". Vérifiez que vos prestataires hébergeurs, agences et développeurs externes passent eux aussi par un second facteur.
- Prévoyez la gestion de la perte d'accès : un utilisateur qui perd son téléphone ou sa clé physique doit pouvoir récupérer son accès sans contourner le MFA. Documentez cette procédure de récupération et assurez-vous qu'elle ne crée pas elle-même une faille.
- Documentez dans votre registre des traitements : l'analyse de risques ayant conduit au choix de la solution, les accès couverts, la méthode retenue, la date de déploiement, et les guides remis aux utilisateurs. Cette documentation est ce que la CNIL demande lors d'un contrôle.
- Mettez à jour votre politique de confidentialité : l'article 32 du RGPD impose de mettre en oeuvre des mesures de sécurité appropriées. Votre politique de confidentialité doit mentionner, sans entrer dans les détails techniques, que des mesures de contrôle d'accès renforcées sont en place.
Ce que ça change concrètement pour les PME et les agences
Pour les PME et e-commercants
Vous gérez une boutique en ligne, un espace client, ou une base de contacts. Voici les accès à sécuriser en priorité.
- L'interface d'administration de votre CMS (WordPress, Prestashop, Shopify) : activez le MFA via une extension TOTP
- Votre hébergeur et votre panneau de contrôle (cPanel, Plesk, interface cloud) : MFA disponible nativement sur la quasi-totalité des hébergeurs
- Votre outil d'emailing (Mailchimp, Brevo, Klaviyo) : vos listes de contacts sont des données personnelles, protégez l'accès
- Votre CRM si vous gérez des profils clients : double authentification sur tous les comptes utilisateurs
Pour les agences web et SaaS
Vous accédez aux backoffices de vos clients, à leurs bases de données, à leurs serveurs. Votre propre sécurité est leur sécurité.
- Activez le MFA sur tous vos accès SSH, FTP, et interfaces de déploiement
- Imposez le MFA à tous vos collaborateurs ayant accès aux environnements clients, y compris les freelances et prestataires
- Vérifiez que votre contrat de sous-traitance (article 28) mentionne vos obligations de sécurité, y compris le MFA sur les accès distants
- Conseillez à vos clients d'activer le MFA sur leurs propres backoffices et documentez cette recommandation par écrit
Questions fréquentes
Le MFA est-il obligatoire pour toutes les entreprises en 2026 ?
Non. La CNIL ne rend pas le MFA universel. L'obligation s'apprécie au cas par cas selon les risques portés par chaque traitement. Elle s'applique prioritairement aux organismes traitant plus de 2 millions de personnes, aux bases contenant des données sensibles (santé, bancaires, numéro de Sécurité sociale), et à tout accès distant permettant d'agir sur les données personnelles d'un tiers. Une petite boutique en ligne sans espace client n'est pas concernée de la même façon qu'un éditeur SaaS gérant des milliers de comptes et de données de paiement.
Un code reçu par SMS est-il considéré comme du MFA par la CNIL ?
Partiellement. Un code SMS est techniquement un facteur de possession (votre téléphone), ce qui en fait un second facteur valide. Mais la CNIL et l'ANSSI considèrent cette méthode comme moins robuste qu'une application TOTP ou une clé physique FIDO2, notamment parce qu'elle peut être contournée par des attaques de type SIM swapping. Pour les grandes bases de données sensibles, l'ANSSI recommande un facteur de possession de niveau R39 minimum, ce que le SMS seul n'atteint pas. En revanche, un code email n'est pas du MFA : email et mot de passe appartiennent à la même catégorie (facteur de connaissance).
Sur quels textes la CNIL s'appuie-t-elle pour imposer le MFA ?
La CNIL s'appuie sur les articles 5.1.f et 32 du RGPD, qui imposent aux responsables de traitement des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Sa recommandation du 20 mars 2025 (délibération n°2025-019) formalise ce cadre en définissant les situations dans lesquelles l'absence de MFA constitue un manquement à cette obligation. Elle précise toutefois que ces articles ne créent pas à eux seuls une obligation légale explicite de MFA : c'est l'analyse de risques propre à chaque traitement qui détermine si le MFA est attendu.
Qu'est-ce que la lassitude MFA et comment s'en protéger ?
La lassitude MFA (MFA fatigue) est une technique d'attaque consistant à envoyer des dizaines de notifications push à un utilisateur jusqu'à ce qu'il accepte par erreur, par lassitude ou par distraction. Pour s'en protéger : limitez le nombre de notifications push autorisées par session, affichez des informations contextuelles à chaque tentative (heure, localisation approximative), et préférez les solutions TOTP ou FIDO2 qui nécessitent une action active de l'utilisateur plutôt qu'une simple approbation.
Comment documenter la mise en place du MFA pour un contrôle CNIL ?
Documentez dans votre registre des traitements : l'analyse de risques ayant conduit au choix de la solution MFA, les accès couverts (employés, prestataires, sous-traitants, accès distants), la méthode retenue et sa justification technique, et la date de déploiement. Conservez également les guides de prise en main remis aux utilisateurs et la procédure de gestion de la perte d'accès. La CNIL tient compte, en cas de contrôle post-violation, de l'existence de mesures préalablement documentées pour moduler sa sanction.
Mon agence est sous-traitante : dois-je déployer le MFA sur mes propres accès ou aussi chez mes clients ?
Les deux. En tant que sous-traitant au sens de l'article 28 du RGPD, vous devez protéger vos propres accès aux données de vos clients par une authentification robuste. Et dans votre rôle de conseil, vous devez alerter vos clients responsables de traitement lorsque leurs systèmes ne disposent pas d'un niveau de sécurité adapté à leur volume et à la nature de leurs données. Documenter cette recommandation par écrit vous protège si la CNIL contrôle l'un de vos clients et remonte la chaîne de sous-traitance jusqu'à vous.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.