Suite à des manquements déjà fréquemment constatés, vous devez faire attention au mot de passe RGPD. La CNIL peut contrôler, sur la base d’une plainte reçue ou de sa propre initiative, tout responsable de traitement, que ce soit à distance, en ligne, sur pièces ou dans les locaux de l’organisme concerné. En cas de manquements graves aux principes de sécurité, elle peut ensuite mobiliser l’ensemble de sa chaîne répressive et prononcer des sanctions allant jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 €.
La CNIL rappelle que les manquements relatifs aux politiques de mots de passe faisaient partie de ceux les plus souvent constatés lors de ses contrôles en 2021 ; ces manquements pouvaient mener à des violations de données aux conséquences parfois importantes pour les personnes.
Comment se passe un contrôle de la CNIL ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité française chargée de veiller à la protection des données personnelles des citoyens. Elle peut mener des contrôles pour vérifier le respect de la loi en matière de protection des données. Voici comment se déroule un contrôle de la part de la CNIL :
- La CNIL envoie une notification de contrôle à l’entreprise concernée. Cette notification précise la date et l’objet du contrôle, ainsi que les éléments à fournir pour préparer la visite.
- L’entreprise concernée doit se préparer au contrôle en organisant ses documents et en mettant en place les mesures nécessaires pour accueillir les contrôleurs de la CNIL.
- Les contrôleurs de la CNIL se rendent sur place pour effectuer le contrôle. Ils examinent les documents et les installations de l’entreprise, et peuvent également interroger les employés et les responsables de l’entreprise sur les pratiques en matière de protection des données.
- À la fin de la procédure, les contrôleurs de la CNIL établissent un rapport de contrôle dans lequel ils exposent les éléments pertinents et les éventuelles infractions constatées. Si des infractions sont constatées, la CNIL peut imposer des sanctions à l’entreprise concernée.
Le risque d’un contrôle de la part de la CNIL est que des infractions ou des manquements en matière de protection des données personnelles puissent être découverts. Cela peut entraîner des sanctions pour l’entreprise concernée, telles que des amendes ou des injonctions de mise en conformité.
Un contrôle de la part de la CNIL peut être déclenché pour plusieurs raisons. Par exemple, il peut être initié suite à une plainte déposée par un citoyen concernant une atteinte à ses droits en matière de protection des données. Un contrôle peut également être effectué de façon aléatoire, afin de vérifier le respect de la loi sur un échantillon d’entreprises. Enfin, un contrôle peut être déclenché suite à des événements particuliers, telles qu’une fuite de données ou la mise en place de nouvelles technologies de traitement de données.
L’employeur est-il responsable du Mot de passe RGPD ?
La CNIL (Commission Nationale de l’Informatique et des Libertés) a confirmé que d’autres moyens d’authentification, tels que l’authentification à double facteur ou les certificats électroniques, sont plus sécurisés que le mot de passe. Si le niveau de sécurité minimal décrit est insuffisant, cette recommandation peut être utilement complétée par le guide de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) intitulé « Recommandations relatives à l’authentification multifacteur et aux mots de passe ».
Lorsque cela est le cas, il est important de veiller à ce que les opérations liées à la gestion des mots de passe soient confiées à un sous-traitant en respectant les conditions énoncées dans l’article 28 du RGPD. Les rôles et responsabilités doivent alors être clairement définis et formalisés, ainsi que le niveau de sécurité requis et les objectifs de sécurité assignés au sous-traitant. Il est particulièrement important de formaliser la répartition de la mise en œuvre des différents éléments de la recommandation.
Si les éditeurs de logiciels ne sont pas soumis à la législation sur la protection des données, les utilisateurs doivent respecter ces règles. Pour cela, la documentation des logiciels doit contenir des instructions précises sur la façon de générer, stocker et transmettre les mots de passe de manière sécurisée.
Il existe trois politique de mots de passe : Mot de passe RGPD
La CNIL a identifié trois cas d’usage différents à l’état de l’art pour l’utilisation des mots de passe qui sont associés à des niveaux minimaux différents d’entropies :
- l’authentification par mot de passe « simple » ;
- le cas où des mesures limitant les risques d’attaque en ligne sont mises en œuvre ;
- et enfin, le cas du code de déverrouillage d’un matériel.
Le contrôle d’accès devra reposer sur des règles plus robustes selon les risques auxquels le système est exposé.
| EXEMPLE D’UTILISATION | ENTROPIE MINIMUM | MESURES COMPLÉMENTAIRES | |
|---|---|---|---|
| Mot de passe seul | FORUM, BLOG | 80 | Conseiller l’utilisateur sur un bon mot de passe |
| Avec restriction d’accès (le plus répandu) | SITES DE E-COMMERCE, COMPTE D’ENTREPRISE, WEBMAIL | 50 | Mécanisme de restriction d’accès au compte : (exemples : Temporisation d’accès au compte après plusieurs échecs ; Nombre maximal de tentatives autorisées dans un délai donné ; « Captcha » ; Blocage du compte après 10 échecs assorti d’un mécanisme de déblocage choisi en fonction des risques d’usurpation d’identité et d’attaque ciblée par déni de service. |
| Avec matériel détenu par la personne | CARTE BANCAIRE OU TÉLÉPHONE | 13 | Matériel détenu en propre par la personne (ex : carte SIM, carte bancaire, certificat) + Blocage au bout de 3 tentatives échouées |
La CNIL se met en conformité avec l’usage en proposant l’arrêt du renouvellement périodique des mots de passe
De plus en plus d’études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure réellement efficace. Les stratégies utilisées par les utilisateurs pour s’adapter aux politiques d’expiration de mots de passe sont généralement prévisibles et abaissent le niveau de sécurité effectif. En effet, la majorité des participants utilise une version légèrement modifiée de leur mot de passe précédent, par exemple en ajoutant un chiffre à la fin. Les bénéfices en termes de sécurité sont ainsi mineurs et largement contrebalancés par l’expérience utilisateur négative.
Ainsi, de plus en plus d’agences de cybersécurité nationales changent leurs préconisations en la matière en arrêtant de recommander une modification périodique des mots de passe pour les utilisateurs standards, voire conseillent de s’abstenir de demander un tel changement. En particulier, l’ANSSI a adopté cette nouvelle position en 2021 dans son guide « Recommandations relatives à l’authentification multifacteur et aux mots de passe » que la CNIL a cosigné.
La recommandation suit donc ce changement en préconisant de ne plus demander une telle modification périodique qu’aux comptes d’administration. Notons que les risques liés à un accès à un compte à privilège nécessiteront souvent une authentification plus robuste qu’une simple authentification par mot de passe.
Suite à ces modifications la CNIL donne un délai pour vous mettre en conformité
A la suite de la consultation publique menée sur le projet de recommandation, la CNIL a décidé de supprimer un des cas qui était recommandé en 2017 à savoir le mot de passe renforcé par une information complémentaire, qui n’est donc plus conseillé par la CNIL, afin de suivre l’avis de la majorité des répondants à la consultation. En effet, de nombreux professionnels ont considéré que ce cas d’usage ne permettait pas un niveau de sécurité équivalent aux autres cas recommandés.
La CNIL appelle donc les responsables de traitement qui ont recours à cette modalité d’authentification à faire évoluer leur politique de mots de passe, et tiendra compte du délai nécessaire pour mettre en œuvre ces changements.
Concevoir un mot de passe efficace : Mot de passe RGPD
Il est important de choisir un mot de passe fort et sécurisé pour protéger vos comptes et vos données. Voici quelques conseils pour concevoir le meilleur des mots de passe :
Utilisez une combinaison de lettres, de chiffres et de caractères spéciaux. Un mot de passe qui contient une combinaison de différents types de caractères est plus difficile à deviner ou à casser.
Evitez d’utiliser des mots courants ou des informations personnelles. Les mots de passe faciles à deviner, comme les noms de famille ou les dates de naissance, sont vulnérables aux attaques de piratage.
Utilisez une phrase secrète ou un acronyme. Vous pouvez créer un mot de passe mémorable en utilisant une phrase ou un acronyme que vous seul connaissez. Par exemple, vous pouvez utiliser une phrase comme « Je suis le meilleur danseur de breakdance du monde » et en faire un acronyme comme « Jslmbddmdw ».
Changez régulièrement votre mot de passe. Il est recommandé de changer votre mot de passe tous les 3 à 6 mois pour éviter que quelqu’un ne puisse le deviner ou le craquer.
En suivant ces conseils, vous pouvez concevoir un mot de passe fort et sécurisé qui protégera vos comptes et vos données. N’hésitez pas à utiliser un générateur de mots de passe pour vous aider à créer un mot de passe unique et difficile à deviner.
Rappel sur les risques pour le responsable de traitements
Un responsable de traitement est une personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel. En d’autres termes, c’est la personne ou l’entreprise qui décide pourquoi et comment des données personnelles sont collectées et utilisées.
Les responsables de traitement sont soumis à des obligations légales en matière de protection des données personnelles. Ils doivent notamment s’assurer que les données sont collectées et traitées de manière légale, licite et transparente, qu’elles sont adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées, et qu’elles sont exactes et mises à jour si nécessaire.
Si un responsable de traitement ne respecte pas ces obligations, il peut être tenu responsable de tout préjudice causé aux personnes dont les données ont été collectées et traitées. Il peut également être soumis à des sanctions administratives et pénales, telles que des amendes ou des injonctions de mise en conformité.
