Répondre aux exigences de conformité du règlement GDPR avec FIDO

Sarah Van De Vyver, décembre 12, 2018

Le GDPR est en vigueur depuis six mois maintenant et en tant que citoyen de l'UE, j'ai remarqué les exigences de conformité GDPR en action. J'ai été bombardé de courriels et de formulaires de consentement demandant la permission de partager mes données personnelles, pour tout, des entreprises en ligne que je commande, aux écoles de mes enfants.

Grâce à un cadre législatif de l'UE, le GDPR a des conséquences profondes dans le monde entier. Toute organisation exploitant, stockant ou traitant les données des citoyens de l'UE est soumise aux exigences du GDPR. Cela ne signifie pas que toutes les organisations touchées sont prêtes et conformes. Ceux qui ne sont pas toujours craintifs des amendes et des pénalités sévères associées à la non-conformité, allant jusqu'à poster des messages en ligne tels que: Nous remarquons que vous visitez ce site Web de l'extérieur des États-Unis. et ne peut doncpas afficher ces informations .

Jusqu'à présent, aucune amende n'a été émise, car les différentes autorités de protection des données adoptent une attitude plus indulgente et donnent aux entreprises le temps de s'adapter aux nouvelles règles. Toutefois, les premiers cas de pénalité sont attendus sous peu. Ce qui pose la question, comment pouvez-vous mettre en œuvre les solutions appropriées pour s'assurer que vous avez satisfait aux exigences de conformité GDPR? Et, comment éviterez-vous de transmettre le fardeau de conformité à vos clients?

La réponse est simple : FIDO. FIDO remplit les exigences de conformité GDPR par la conception. Il s'agit d'un cadre d'authentification basé sur des normes approuvé par d'innombrables experts de l'industrie. La volonté de FIDO de rendre l'authentification plus forte et plus simple (en mettant l'accent sur la vie privée) garantit également que l'expérience utilisateur est exempte de frictions inutiles.

Pour expliquer pourquoi l'authentification FIDO est un bon match pour atteindre la conformité GDPR, nous allons examiner de plus près certaines des exigences clés: la protection des données, la capture du consentement, et l'authentification biométrique.

Exigences de conformité du GDPR pour la protection des données

Il y a plusieurs articles dans la législation GDPR se référant à la sécurité des données, chacun traitant différents aspects tels que la minimisation des données, l'intégrité, la confidentialité et la notification des atteintes aux données. Tous ces principes constituent le cœur de ce que nous pouvons décrire comme la protection des données. Il s'agit du fait que les entreprises sont tenues de mettre en œuvre des mesures de protection des données. La façon la plus simple d'y parvenir est de mettre en œuvre une authentification multifacteur (MFA).

Une simple combinaison de nom d'utilisateur et de mot de passe ne suffit plus puisque les mots de passe peuvent facilement être volés ou exploités. L'Agence de l'Union européenne pour la sécurité des réseaux et de l'information (ENISA), qui conseille les États membres et les organisations du secteur privé sur la mise en œuvre de la législation de l'UE, recommande fortement d'utiliser l'authentification à deux facteurs (2FA) pour protéger les données personnelles. Un exemple de deuxième facteur serait un mot de passe unique (OTP) généré par un jeton matériel ou par l'authentification logicielle sur un appareil mobile. L'authentification à deux facteurs offre une couche secondaire de sécurité qui rend plus difficile pour les pirates d'accéder aux appareils et comptes en ligne d'un utilisateur.

Certaines formes d'AMF sont plus sûres que d'autres. L'authentification PAR SMS est considérée comme une forme d'authentification plus faible puisque le BdP peut être intercepté. Par conséquent, le National Institute of Standards and Technology a indiqué que l'authentification des SGS était « restreinte » dans ses dernières lignes directrices. Pour améliorer véritablement la sécurité des comptes, FIDO offre une authentification solide et basée sur des normes en tirant parti de la cryptographie à clé publique (ICP) où une paire de clés privées et publiques est générée pour chaque compte ou service sur qui se connecte le client.

AUTHENTIFICATION FIDO

AUTHENTIFICATION FIDO

Solutions basées sur la norme FIDO pour une authentification plus simple et plus forte à l'aide d'une approche ouverte, évolutive et interopérable

En savoir plus

Données personnelles

En vertu du GDPR, les organisations doivent saisir le consentement pour les données personnelles qu'elles recueillent et doivent être en mesure de prouver qu'elles ont reçu ce consentement. De plus, toute personne a le droit de rectifier ses données personnelles ainsi que le droit d'être retiré de la base de données d'une organisation. La transparence est un élément clé. En ce qui concerne les droits individuels et le consentement aux données, encore une fois l'authentification FIDO fournit une réponse. Pour que les personnes fassent des demandes au sujet de leurs données personnelles, il est nécessaire qu'une entreprise vérifie l'identité de la personne qui fait cette demande pour s'assurer que la demande est authentique.

En outre, toute organisation évaluant les mécanismes de consentement pour se conformer au GDPR devrait examiner les signatures électroniques, en particulier lorsqu'il s'agit de traiter des données à haut risque, telles que des renseignements financiers personnels. Les signatures électronique offrent un moyen vérifiable et facile à utiliser de saisir le consentement, de se conformer à l'exigence active d'opt-in et de démontrer les détails de la façon dont le consentement a été obtenu, y compris ce qui a été consenti, quand et par qui. Le service de signature électronique OneSpan Sign, par exemple, s'intègre aux systèmes d'authentification certifiés FIDO de OneSpan et peut les connecter à ceux-ci.

Biométrie

L'authentification biométrique gagne rapidement du terrain. D'une part, il est très pratique de se connecter à n'importe quel service à l'aide d'une empreinte digitale ou d'un balayage du visage. Deuxièmement, il est facile de tirer parti des appareils de tous les jours pour Touch ID et Face ID, par exemple. GDPR considère les données biométriques comme des informations sensibles, et les organisations doivent sécuriser et gérer correctement ces données.

FIDO est très axé sur la biométrie car il représente parfaitement la notion d'authentification rendue simple et pratique. Le protocole FIDO est mis en place de telle sorte qu'il n'y ait pas de secrets côté serveur; par conséquent, les données biométriques ne sont jamais stockées dans une base de données. Les données biométriques sont stockées localement et ne quittent jamais l'appareil. En mettant en œuvre FIDO, les entreprises évitent de collecter, de traiter et de gérer les données elles-mêmes.

Commodité de l'utilisateur

Jusqu'à présent, nous nous sommes concentrés sur les questions législatives, mais qu'en est-il de l'expérience utilisateur? L'expérience client est un différenciateur concurrentiel clair et a un fort impact sur la fidélité de la clientèle.

FIDO a été créé avec l'utilisateur à l'esprit, tout en éliminant le maillon le plus faible de la chaîne de sécurité: les utilisateurs eux-mêmes. L'authentification sans mot de passe facilite l'authentification, que ce soit par la biométrie sur les appareils mobiles ou un jeton FIDO2 matériel. FIDO améliore et simplifie l'expérience client en minimisant les inconvénients tout en maximisant la sécurité.

Visitez notre page d'authentification FIDO pour en savoir plus sur FIDO pour la connexion sans mot de passe et l'utilisation de FIDO pour répondre aux exigences de conformité GDPR.

Sarah est product Marketing Manager chez OneSpan et responsable des solutions FIDO, matériel et serveur de OneSpan. Elle a plus de 15 ans d'expérience dans le domaine des TIC et des Communications et a occupé des postes antérieurs au sein du département Communications d'entreprise de OneSpan.