...
Faut-il déclarer la mise en place de la MFA sur CAS dans le registre des traitements RGPD ?
Oui, dans la plupart des cas, il est recommandé d'actualiser le registre des traitements lorsque la MFA est activée sur CAS, car elle modifie le processus d'authentification et peut impliquer de nouvelles données personnelles.
La connexion via CAS ne se limite pas à l'authentification : elle transmet aussi des informations personnelles (nom, prénom, mail, etc.) aux services tiers. Ce transfert constitue un traitement soumis au RGPD.
- Si la MFA repose sur un facteur interne et discret (ex. : application OTP sans collecte de données personnelles, carte multiservice, clé USB FIDO2), une simple mention dans les mesures de sécurité du traitement existant peut suffire.
- Si le second facteur implique des données personnelles nouvelles, comme un numéro de téléphone pour OTP par SMS ou un mail personnel, une mise à jour du registre est fortement recommandée.
Comment connaître les stats d'usage de ESUP-OTP ?
Actuellement, ESUP-OTP ne fournit pas de statistiques d'usage (nombre de personnes ayant activé la MFA, le type de méthode activée...). Il est prévu de fournir une page de statistique via le manager mais les développements ne sont pas encore planifiés.
On peut sortir des informations en faisant des requêtes sur la base MongoDB
personnes ayant activé le MFA
| Bloc de code | ||
|---|---|---|
| ||
db.UserPreferences.find({ $or: [ "push", "bypass", "totp", "random_code", "random_code_mail", "webauthn" ].map(name => ({ [name+".active"]: true })) }).map(e => e.uid) |