Cela fait maintenant un an que le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur et a ainsi marqué le début d’une nouvelle ère dans la législation pour la gestion des données ; non seulement pour les entreprises au sein de l’Union Européenne, mais également dans le monde entier. Toute organisation en relation avec des citoyens européens doit en effet mettre en œuvre des pratiques de sécurité plus strictes et respecter leur droit à la vie privée.
Alain Martin, Head of Consulting and Industry Relations, chez Thales, et Président du Groupe de Travail Européen de l’Alliance FIDO, explique quel est l’impact du RGPD sur l’authentification des consommateurs et le rôle majeur d’un écosystème de normes ouvertes :
« Naturellement, l’entrée en vigueur du RGPD a un impact sur l’authentification puisque la protection des données personnelles commence par l’identification correcte des utilisateurs qui y ont un droit d’accès. Toutes les méthodes ne se valent cependant pas, et l’usage du mot de passe pour protéger l’accès aux données sensibles telles que définies par le RGPD (comme les données médicales), peut se révéler problématique. En effet, les mots de passe sont susceptibles d’être volés par des techniques de phishing ou par des attaques sur les bases de données où ils sont stockés. Une autre pratique à évaluer avec prudence consiste en l’utilisation de données biométriques stockées dans des bases de données centrales. Elles sont en effet également définies par le RGPD comme des informations sensibles qui nécessitent des protections renforcées, potentiellement couteuses et à risque. Au regard des pénalités extrêmement élevées en cas de manquement, les prestataires de service ont donc tout intérêt à reconsidérer leur pratique d’authentification.
Heureusement, au cours des dix dernières années, les normes internationales ont évolué en matière d’authentification, en accord avec les nouvelles exigences règlementaires, tout en contribuant au développement des technologies innovantes. De nouvelles solutions qui visent à simplifier et renforcer l’authentification pour les entreprises et les utilisateurs ont ainsi vu le jour, réduisant le recours aux mots de passe. L’Alliance FIDO, qui compte entre autres de nombreux leaders et acteurs du secteur des technologies, a notamment proposé des solutions qui respectent les réglementations liées à l’authentification, y compris celles relatives à la sécurité des données, au consentement et aux droits individuels, ainsi qu’à la biométrie.
Par ailleurs, la notion de consentement de la personne est au cœur du RGPD. Le règlement requiert en outre à ce qu’elle soit explicite pour le traitement des données sensibles. Dans ce contexte, l’approche de type “case à cocher” avec une authentification à minima peut se révéler insuffisante, d’autant plus que le règlement exige d’un prestataire qu’il puisse démontrer qu’il a bien obtenu cet accord. On voit que l’authentification joue un rôle fondamental dans le recueil du consentement et que le mot de passe, à nouveau, peut se révéler perfectible.
La communauté internationale de normalisation a travaillé avec diligence ces dernières années pour mettre en place un mécanisme d’authentification permettant de renforcer la sécurité tout en améliorant l’expérience client, sans exiger des fournisseurs de services en ligne qu’ils investissent ou proposent des logiciels ou équipements spéciaux à leurs utilisateurs. Les nouvelles normes d’authentification publiées par le World Wide Web Consortium (W3C) sont supportées par les navigateurs les plus populaires. De leur côté, les fabricants de tokens de sécurité, d’ordinateurs ou encore de téléphones mobiles, implémentent des dispositifs d’authentification interopérables avec ces navigateurs web. Ce nouvel écosystème de normes ouvertes, complété par des programmes de certification tiers avec une validation indépendante, est bien placé pour réduire les risques et les coûts liés à la conformité au RGPD dans le monde entier. »