En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 28/09/2017
    Journée de la Transition Numérique 2017

    La seconde Journée de la Transition Numérique eFutura se tiendra le jeudi 28 septembre 2017 à Paris.…

    en détail En détail...
  • 19/09/2017
    Paris Retail Week 2017

    La 3ème édition du salon Paris Retail Week, l’événement professionnel européen dédié au commerce 360°, se…

    en détail En détail...
Appels d'offres en cours
  • Migration d'un site Vitrine vers un site E-Commerce pour un fleuriste
    A déterminer €
    > En savoir plus
  • Création d'un site vitrine pour une société de conseil aux entreprises
    <900 €
    > En savoir plus
  • Site de mise en relation dans la prestation de services
    < 5 000 €
    > En savoir plus
Comexposium_AssisesSécurité2017_leaderboard

Juridique – Mots de passe: quelles recommandations de la CNIL ?

Paessler_Restez-au-top-Securite_Pave

La délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) portant adoption d’une recommandation relative aux mots de passe a été publiée au Journal officiel vendredi 27 janvier. Garance Mathias, Avocat à la Cours, fait le point.

La recommandation de la CNIL énonce plusieurs règles d’ordre général à prendre en compte dès lors qu’une authentification par mot de passe est envisagée par le responsable du traitement. La CNIL définit ensuite quatre hypothèses pour lesquelles des règles spécifiques sont précisées.

Mots de passe et obligation de sécurité

Il appartient au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (Article 34 de la loi n°78-17 du 6 janvier 1978 modifiée).

Cette obligation n’est pas remise en cause par le Règlement Général sur la Protection des Données (RGPD). En effet, l’article 32 du RGPD impose non seulement au responsable du traitement mais aussi au sous-traitant de mettre en œuvre « (…) les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). ».

Dans ce contexte, l’utilisation d’un mot de passe associé à un identifiant permet le contrôle de l’accès à des données à caractère personnel. Cette mesure compte parmi celles que le responsable du traitement doit mettre en oeuvre.

Quel rôle pour le responsable du traitement dans la définition du mot de passe ?

Le responsable du traitement doit prendre l’initiative notamment des mesures suivantes :

la taille et la complexité du mot de passe à définir par la personne concernée doivent être imposées par le responsable du traitement ;

la personne concernée doit être informée des règles applicables à la définition du mot de passe (taille et complexité, par exemple au moyen d’une jauge) ;

le mot de passe ne doit pas être communiqué à la personne concernée en clair notamment par courrier électronique ;

le responsable du traitement doit imposer à la personne concernée le renouvellement de son mot de passe selon une périodicité qu’il définit ;

le responsable du traitement doit prévoir la possibilité pour la personne concernée de pouvoir modifier son mot de passe en conformité avec les règles de création de mot de passe.

Notons que le responsable du traitement doit également prévoir une procédure de renouvellement du mot de passe à la demande de la personne concernée. Est notamment visée la procédure dite du « mot de passe oublié ». A ce titre, le responsable du traitement doit d’abord déterminer si le renouvellement suppose l’intervention d’un administrateur ou s’il est effectué de manière automatisée.

En effet, la recommandation de la CNIL précise qu’en cas d’intervention d’un administrateur, le mot de passe attribué à la personne concernée devra être temporaire. Ainsi, le responsable du traitement devra imposer à la personne concernée de le modifier à la première connexion. En revanche, si le renouvellement est automatisé, la personne concernée devra notamment être dirigée vers une page lui permettant de saisir un nouveau mot de passe.

Quelles caractéristiques pour les mots de passe ?

La CNIL définit quatre situations de création d’un mot de passe en précisant pour chacune, des exigences propres.

Situation Caractéristiques du mot de passe
Authentification de la personne concernée par un identifiant et un mot de passe uniquement Taille du mot de passe : 12 caractères minimumComplexité du mot de passe : majuscules, minuscules, chiffres et caractères spéciaux
Authentification de la personne concernée par un identifiant, un mot de passe et des restrictions d’accès au compte sont prévues Taille du mot de passe : 8 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Restrictions d’accès : temporisation d’accès au compte après plusieurs échecs (après 5 échecs, une nouvelle tentative ne peut intervenir qu’après un laps de temps supérieur à une minute ; limitation du nombre de tentative à 25 par 24 heures), blocage du compte après 10 échecs consécutifs au plus, etc.

Authentification de la personne concernée par un mot de passe et une information complémentaire Taille du mot de passe : 5 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Restrictions d’accès : blocage des tentatives multiples d’authentification (temporisation d’accès, blocage du compte après 5 échecs consécutifs au plus, etc.)

Information complémentaire communiquée soit par la personne concernée soit par le responsable du traitement (7 caractères) ou tout paramètre technique à certaines conditions

Authentification de la personne concernée s’appuyant sur un matériel qu’elle détient Taille du mot de passe : 4 chiffres minimumPersonne concernée détenant le matériel nécessaire tel qu’une carte à puce

Restrictions d’accès : une mesure de blocage doit être mise en œuvre après 3 échecs d’authentification consécutifs

 

Dans ce contexte, tout responsable du traitement va devoir s’interroger sur la conformité des règles relatives aux mots de passe qu’il met en œuvre et définir un plan des actions correctrices à réaliser.

 

Notez cet article

Laisser un commentaire

Sécuriser le Cloud public et le cloud hybride

Protéger votre cloud : Transport chiffré – VPN, Protection du périmètre, des applications etc.

Lire le Livre blanc Fortinet

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Google n'aura pas à payer 1,1 milliard d'euros d'impôts

    Le tribunal administratif de Paris a donné raison mercredi au géant américain Google qui contestait…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Fichiers dans le Cloud : 5 étapes pour les sécuriser

    5 éléments indispensables pour obtenir une sécurité totale des fichiers dans le Cloud, selon David…

    > En savoir plus...
Etudes/Enquêtes
  • Ventes de PC : HP numéro 1

    Les ventes mondiales de PC baissent pour le 11ème trimestre consécutifs, selon Gartner. De 4,3…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
BlueMind_Nouvelle version_skycraper