En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 19/09/2017
    Paris Retail Week 2017

    La 3ème édition du salon Paris Retail Week, l’événement professionnel européen dédié au commerce 360°, se…

    en détail En détail...
  • 03/10/2017
    Microsoft Experiences’17

    Les 3 et 4 octobre 2017 : voici deux jours dédiés à l'intelligence numérique pour le…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour une boutique de déstockage
    <480 €
    > En savoir plus
  • Site internet de réservation pour la location d'un château
    < 6 000 €
    > En savoir plus
  • Designer pour la réalisation de dossiers techniques
    < 1 500 €
    > En savoir plus
kaspersky_attaques ciblees_leaderboard

Juridique – Mots de passe: quelles recommandations de la CNIL ?

kaspersky_attaques ciblees_pave

La délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) portant adoption d’une recommandation relative aux mots de passe a été publiée au Journal officiel vendredi 27 janvier. Garance Mathias, Avocat à la Cours, fait le point.

La recommandation de la CNIL énonce plusieurs règles d’ordre général à prendre en compte dès lors qu’une authentification par mot de passe est envisagée par le responsable du traitement. La CNIL définit ensuite quatre hypothèses pour lesquelles des règles spécifiques sont précisées.

Mots de passe et obligation de sécurité

Il appartient au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (Article 34 de la loi n°78-17 du 6 janvier 1978 modifiée).

Cette obligation n’est pas remise en cause par le Règlement Général sur la Protection des Données (RGPD). En effet, l’article 32 du RGPD impose non seulement au responsable du traitement mais aussi au sous-traitant de mettre en œuvre « (…) les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). ».

Dans ce contexte, l’utilisation d’un mot de passe associé à un identifiant permet le contrôle de l’accès à des données à caractère personnel. Cette mesure compte parmi celles que le responsable du traitement doit mettre en oeuvre.

Quel rôle pour le responsable du traitement dans la définition du mot de passe ?

Le responsable du traitement doit prendre l’initiative notamment des mesures suivantes :

la taille et la complexité du mot de passe à définir par la personne concernée doivent être imposées par le responsable du traitement ;

la personne concernée doit être informée des règles applicables à la définition du mot de passe (taille et complexité, par exemple au moyen d’une jauge) ;

le mot de passe ne doit pas être communiqué à la personne concernée en clair notamment par courrier électronique ;

le responsable du traitement doit imposer à la personne concernée le renouvellement de son mot de passe selon une périodicité qu’il définit ;

le responsable du traitement doit prévoir la possibilité pour la personne concernée de pouvoir modifier son mot de passe en conformité avec les règles de création de mot de passe.

Notons que le responsable du traitement doit également prévoir une procédure de renouvellement du mot de passe à la demande de la personne concernée. Est notamment visée la procédure dite du « mot de passe oublié ». A ce titre, le responsable du traitement doit d’abord déterminer si le renouvellement suppose l’intervention d’un administrateur ou s’il est effectué de manière automatisée.

En effet, la recommandation de la CNIL précise qu’en cas d’intervention d’un administrateur, le mot de passe attribué à la personne concernée devra être temporaire. Ainsi, le responsable du traitement devra imposer à la personne concernée de le modifier à la première connexion. En revanche, si le renouvellement est automatisé, la personne concernée devra notamment être dirigée vers une page lui permettant de saisir un nouveau mot de passe.

Quelles caractéristiques pour les mots de passe ?

La CNIL définit quatre situations de création d’un mot de passe en précisant pour chacune, des exigences propres.

Situation Caractéristiques du mot de passe
Authentification de la personne concernée par un identifiant et un mot de passe uniquement Taille du mot de passe : 12 caractères minimumComplexité du mot de passe : majuscules, minuscules, chiffres et caractères spéciaux
Authentification de la personne concernée par un identifiant, un mot de passe et des restrictions d’accès au compte sont prévues Taille du mot de passe : 8 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Restrictions d’accès : temporisation d’accès au compte après plusieurs échecs (après 5 échecs, une nouvelle tentative ne peut intervenir qu’après un laps de temps supérieur à une minute ; limitation du nombre de tentative à 25 par 24 heures), blocage du compte après 10 échecs consécutifs au plus, etc.

Authentification de la personne concernée par un mot de passe et une information complémentaire Taille du mot de passe : 5 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)

Restrictions d’accès : blocage des tentatives multiples d’authentification (temporisation d’accès, blocage du compte après 5 échecs consécutifs au plus, etc.)

Information complémentaire communiquée soit par la personne concernée soit par le responsable du traitement (7 caractères) ou tout paramètre technique à certaines conditions

Authentification de la personne concernée s’appuyant sur un matériel qu’elle détient Taille du mot de passe : 4 chiffres minimumPersonne concernée détenant le matériel nécessaire tel qu’une carte à puce

Restrictions d’accès : une mesure de blocage doit être mise en œuvre après 3 échecs d’authentification consécutifs

 

Dans ce contexte, tout responsable du traitement va devoir s’interroger sur la conformité des règles relatives aux mots de passe qu’il met en œuvre et définir un plan des actions correctrices à réaliser.

 

Juridique – Mots de passe: quelles recommandations de la CNIL ?
Notez cet article

Laisser un commentaire

Pénurie de compétences IT ?

Anticipez en formant vos équipes. Trois conseils aux responsables informatiques pour garder une longueur d'avance

Lire le livre blanc Vodeclic

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Déréférencement mondial de pages : Google attaque une décision du Canada

    Google a demandé à la justice américaine de bloquer une décision de la Cour suprême…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - SD-WAN : comment éviter les problèmes de déploiements en dix points clés 

    Une migration SD-WAN sans couture à l’heure du tout connecté ? Alexandre Chichkovsky, Global Network Evangelist…

    > En savoir plus...
Etudes/Enquêtes
  • Pour 82% des décideurs RH, le digital améliore l'engagement des collaborateurs

    82% des décideurs RH estiment que le digital permet d'améliorer l'engagement des collaborateurs, selon Markess…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
TSystems_Cybercrime_skycrapper
Agenda
livres blancs
Les Livres
Blancs
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
  • Surveillance de réseau : un élément indispensable de la sécurité informatique

    > Voir le livre
TSystems_Cybercrime_skycrapper