...
Faut-il déclarer la mise en place de la MFA sur CAS dans le registre des traitements RGPD ?
Oui, dans la plupart des cas, il est recommandé d'actualiser le registre des traitements lorsque la MFA est activée sur CAS, car elle modifie le processus d'authentification et peut impliquer de nouvelles données personnelles.
La connexion via CAS ne se limite pas à l'authentification : elle transmet aussi des informations personnelles (nom, prénom, mail, etc.) aux services tiers. Ce transfert constitue un traitement soumis au RGPD.
- Si la MFA repose sur un facteur interne et discret (ex. : application OTP sans collecte de données personnelles, carte multiservice, clé USB FIDO2), une simple mention dans les mesures de sécurité du traitement existant peut suffire.
- Si le second facteur implique des données personnelles nouvelles, comme un numéro de téléphone pour OTP par SMS ou un mail personnel, une mise à jour du registre est fortement recommandée.
Comment connaître les stats d'usage de ESUP-OTP ?
Depuis esup-otp-manager 2.0, l'administrateur dispose d'un onglet "Statistiques" qui fournit des indicateurs sur les méthodes activées par les utilisateurs.
- On peut sortir des informations en faisant des requêtes sur la base MongoDB
Stats méthodes activées
| Bloc de code | ||
|---|---|---|
| ||
db.UserPreferences.find().map(e => Object.keys(e).filter(method => e[method].active).sort().join(" ")).sort().toArray().reduce((h, actives) => { h[actives] = (h[actives] || 0) + 1; return h }, {}) |
- Brancher les logs ESUP-OTP sur Agimus-NG
Pour avoir des statistiques enrichies avec les profils des utilisateurs, vous pouvez traiter les logs ESUP-OTP par Agimus-NG.
Vous pouvez ainsi avoir des visualisations et des tableaux de bord mis à jour en temps réel.
