En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
Appels d'offres en cours
  • Mise en place d'une solution logiciel sur serveurs Linux au Maroc
    A déterminer €
    > En savoir plus
  • Plateforme de formation en ligne pour une fonderie
    < 10 000 €
    > En savoir plus
  • Création d'un site eCommerce pour la vente d'articles de modes féminin
    < 1 500 €
    > En savoir plus
GlobalK_GDPR _leaderboard

Juridique – Mots de passe: quelles recommandations de la CNIL ?

GlobalK_GDPR _pave

La délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) portant adoption d’une recommandation relative aux mots de passe a été publiée au Journal officiel vendredi 27 janvier. Garance Mathias, Avocat à la Cours, fait le point.

La recommandation de la CNIL énonce plusieurs règles d’ordre général à prendre en compte dès lors qu’une authentification par mot de passe est envisagée par le responsable du traitement. La CNIL définit ensuite quatre hypothèses pour lesquelles des règles spécifiques sont précisées.

Mots de passe et obligation de sécurité

Il appartient au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (Article 34 de la loi n°78-17 du 6 janvier 1978 modifiée).

Cette obligation n’est pas remise en cause par le Règlement Général sur la Protection des Données (RGPD). En effet, l’article 32 du RGPD impose non seulement au responsable du traitement mais aussi au sous-traitant de mettre en œuvre « (…) les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). ».

Dans ce contexte, l’utilisation d’un mot de passe associé à un identifiant permet le contrôle de l’accès à des données à caractère personnel. Cette mesure compte parmi celles que le responsable du traitement doit mettre en oeuvre.

Quel rôle pour le responsable du traitement dans la définition du mot de passe ?

Le responsable du traitement doit prendre l’initiative notamment des mesures suivantes :

la taille et la complexité du mot de passe à définir par la personne concernée doivent être imposées par le responsable du traitement ;

la personne concernée doit être informée des règles applicables à la définition du mot de passe (taille et complexité, par exemple au moyen d’une jauge) ;

le mot de passe ne doit pas être communiqué à la personne concernée en clair notamment par courrier électronique ;

le responsable du traitement doit imposer à la personne concernée le renouvellement de son mot de passe selon une périodicité qu’il définit ;

le responsable du traitement doit prévoir la possibilité pour la personne concernée de pouvoir modifier son mot de passe en conformité avec les règles de création de mot de passe.

Notons que le responsable du traitement doit également prévoir une procédure de renouvellement du mot de passe à la demande de la personne concernée. Est notamment visée la procédure dite du « mot de passe oublié ». A ce titre, le responsable du traitement doit d’abord déterminer si le renouvellement suppose l’intervention d’un administrateur ou s’il est effectué de manière automatisée.

En effet, la recommandation de la CNIL précise qu’en cas d’intervention d’un administrateur, le mot de passe attribué à la personne concernée devra être temporaire. Ainsi, le responsable du traitement devra imposer à la personne concernée de le modifier à la première connexion. En revanche, si le renouvellement est automatisé, la personne concernée devra notamment être dirigée vers une page lui permettant de saisir un nouveau mot de passe.

Quelles caractéristiques pour les mots de passe ?

La CNIL définit quatre situations de création d’un mot de passe en précisant pour chacune, des exigences propres.

Situation Caractéristiques du mot de passe
Authentification de la personne concernée par un identifiant et un mot de passe uniquement Taille du mot de passe : 12 caractères minimumComplexité du mot de passe : majuscules, minuscules, chiffres et caractères spéciaux
Authentification de la personne concernée par un identifiant, un mot de passe et des restrictions d’accès au compte sont prévues Taille du mot de passe : 8 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Restrictions d’accès : temporisation d’accès au compte après plusieurs échecs (après 5 échecs, une nouvelle tentative ne peut intervenir qu’après un laps de temps supérieur à une minute ; limitation du nombre de tentative à 25 par 24 heures), blocage du compte après 10 échecs consécutifs au plus, etc.

Authentification de la personne concernée par un mot de passe et une information complémentaire Taille du mot de passe : 5 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Restrictions d’accès : blocage des tentatives multiples d’authentification (temporisation d’accès, blocage du compte après 5 échecs consécutifs au plus, etc.)

Information complémentaire communiquée soit par la personne concernée soit par le responsable du traitement (7 caractères) ou tout paramètre technique à certaines conditions

Authentification de la personne concernée s’appuyant sur un matériel qu’elle détient Taille du mot de passe : 4 chiffres minimumPersonne concernée détenant le matériel nécessaire tel qu’une carte à puce

Restrictions d’accès : une mesure de blocage doit être mise en œuvre après 3 échecs d’authentification consécutifs

 

Dans ce contexte, tout responsable du traitement va devoir s’interroger sur la conformité des règles relatives aux mots de passe qu’il met en œuvre et définir un plan des actions correctrices à réaliser.

 

Juridique – Mots de passe: quelles recommandations de la CNIL ?
Notez cet article

Laisser un commentaire

L’e-paiement, à l’heure de la convergence

Le nouveau livre blanc de la rédaction de Solutions-Numériques (40 pages). Dans un contexte réglementaire évolutif, le foisonnement des innovations s'accroit: paiement instantané, blockchain, dématérialisation, transformation de l’écosystème des paiements avec son ouverture à de nouveaux acteurs...

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Un adolescent britannique poursuivi pour avoir piraté le compte d'un ex-chef de la CIA

    Un adolescent britannique ayant réussi à pirater les comptes de plusieurs responsables américains du Renseignement…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Sur site ou dans le Cloud : 5 conseils pour protéger les environnements Office 365 et hybrides

    Christophe Badot, directeur général France Varonis, fait le consultant pour les lecteurs de Solutions Numériques…

    > En savoir plus...
Etudes/Enquêtes
  • Ransomware : la France paie un lourd tribut,175 000 € en moyenne

    Avec un coût médian de 175 000 €, la France est le deuxième pays le…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_GDPR _skycraper
Agenda
livres blancs
Les Livres
Blancs
Ixia_RGPD_skycraper