En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Appels d'offres en cours
  • Prestation de maintenance informatique pour une fondation créée en 1930
    A déterminer €
    > En savoir plus
  • Implémentation d'une GED pour une collectivité territoriale
    Non Communiqué €
    > En savoir plus
  • Création d'un site de réservation dans l'événementiel
    < 2000 €
    > En savoir plus
elo_processus pointe_leaderboard

Juridique – Mots de passe: quelles recommandations de la CNIL ?

elo_processus pointe_pave

La délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) portant adoption d’une recommandation relative aux mots de passe a été publiée au Journal officiel vendredi 27 janvier. Garance Mathias, Avocat à la Cours, fait le point.

La recommandation de la CNIL énonce plusieurs règles d’ordre général à prendre en compte dès lors qu’une authentification par mot de passe est envisagée par le responsable du traitement. La CNIL définit ensuite quatre hypothèses pour lesquelles des règles spécifiques sont précisées.

Mots de passe et obligation de sécurité

Il appartient au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (Article 34 de la loi n°78-17 du 6 janvier 1978 modifiée).

Cette obligation n’est pas remise en cause par le Règlement Général sur la Protection des Données (RGPD). En effet, l’article 32 du RGPD impose non seulement au responsable du traitement mais aussi au sous-traitant de mettre en œuvre « (…) les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). ».

Dans ce contexte, l’utilisation d’un mot de passe associé à un identifiant permet le contrôle de l’accès à des données à caractère personnel. Cette mesure compte parmi celles que le responsable du traitement doit mettre en oeuvre.

Quel rôle pour le responsable du traitement dans la définition du mot de passe ?

Le responsable du traitement doit prendre l’initiative notamment des mesures suivantes :

la taille et la complexité du mot de passe à définir par la personne concernée doivent être imposées par le responsable du traitement ;

la personne concernée doit être informée des règles applicables à la définition du mot de passe (taille et complexité, par exemple au moyen d’une jauge) ;

le mot de passe ne doit pas être communiqué à la personne concernée en clair notamment par courrier électronique ;

le responsable du traitement doit imposer à la personne concernée le renouvellement de son mot de passe selon une périodicité qu’il définit ;

le responsable du traitement doit prévoir la possibilité pour la personne concernée de pouvoir modifier son mot de passe en conformité avec les règles de création de mot de passe.

Notons que le responsable du traitement doit également prévoir une procédure de renouvellement du mot de passe à la demande de la personne concernée. Est notamment visée la procédure dite du « mot de passe oublié ». A ce titre, le responsable du traitement doit d’abord déterminer si le renouvellement suppose l’intervention d’un administrateur ou s’il est effectué de manière automatisée.

En effet, la recommandation de la CNIL précise qu’en cas d’intervention d’un administrateur, le mot de passe attribué à la personne concernée devra être temporaire. Ainsi, le responsable du traitement devra imposer à la personne concernée de le modifier à la première connexion. En revanche, si le renouvellement est automatisé, la personne concernée devra notamment être dirigée vers une page lui permettant de saisir un nouveau mot de passe.

Quelles caractéristiques pour les mots de passe ?

La CNIL définit quatre situations de création d’un mot de passe en précisant pour chacune, des exigences propres.

Situation Caractéristiques du mot de passe
Authentification de la personne concernée par un identifiant et un mot de passe uniquement Taille du mot de passe : 12 caractères minimumComplexité du mot de passe : majuscules, minuscules, chiffres et caractères spéciaux
Authentification de la personne concernée par un identifiant, un mot de passe et des restrictions d’accès au compte sont prévues Taille du mot de passe : 8 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Restrictions d’accès : temporisation d’accès au compte après plusieurs échecs (après 5 échecs, une nouvelle tentative ne peut intervenir qu’après un laps de temps supérieur à une minute ; limitation du nombre de tentative à 25 par 24 heures), blocage du compte après 10 échecs consécutifs au plus, etc.

Authentification de la personne concernée par un mot de passe et une information complémentaire Taille du mot de passe : 5 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Restrictions d’accès : blocage des tentatives multiples d’authentification (temporisation d’accès, blocage du compte après 5 échecs consécutifs au plus, etc.)

Information complémentaire communiquée soit par la personne concernée soit par le responsable du traitement (7 caractères) ou tout paramètre technique à certaines conditions

Authentification de la personne concernée s’appuyant sur un matériel qu’elle détient Taille du mot de passe : 4 chiffres minimumPersonne concernée détenant le matériel nécessaire tel qu’une carte à puce

Restrictions d’accès : une mesure de blocage doit être mise en œuvre après 3 échecs d’authentification consécutifs

 

Dans ce contexte, tout responsable du traitement va devoir s’interroger sur la conformité des règles relatives aux mots de passe qu’il met en œuvre et définir un plan des actions correctrices à réaliser.

 

Juridique – Mots de passe: quelles recommandations de la CNIL ?
Notez cet article

Laisser un commentaire

Réinventer les processus à l’heure de la transformation numérique

Comment mettre en place une approche BPM -Collaboration IT / métier efficace –Retour d’expériences. Webinaire : mardi 28 novembre de 11h00 à 11h45, avec CXP Group.

Infos et inscription

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Les imprimantes sont-elles frappées d’obsolescence programmée ?

    Le 18 septembre dernier, l'association HOP (Halte à l'Obsolescence Programmée) a déposé une plainte contre…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Faille WAP2 : Krack ou l'hypocrisie mondiale des maîtres du monde

    Pour Frans Imbert-Vier, PDG d'UBCOM (société spécialisée sur le digital et la cybersécurité), si la…

    > En savoir plus...
Etudes/Enquêtes
  • Salesforce pourrait créer 108 923 emplois indirects en France d'ici 2022

    Salesforce aime à dire régulièrement combien d'emplois il génère, et combien il rapporte aux économies…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
elo_processus pointe_skyscraper