La Cnil sanctionne les faiblesses des mots de passe

La Cnil sanctionne plus durement les entreprises qui ne protègent pas assez les données personnelles des internautes et n’hésite plus à infliger des avertissements publics(4 février 2016 contre Facebook), voire des amendes lourdes lorsque les manquements sont particulièrement graves (5 novembre 2015 contre Optical center). Il est de plus en plus important de se mettre en conformité avec la loi. Dans cet article, je m’intéresse uniquement aux politiques de mots de passe qui font régulièrement l’objet d’avertissement de la part de la CNIL.

Un bon mot de passe

La CNIL définit le mot de passe idéal comme faisant au moins 8 caractères et composé au moins de 3 types différents parmi les 4 types de caractères existants (majuscules, minuscules chiffres et caractères spéciaux). En outre, il ne doit pas avoir de lien avec son détenteur (nom, date de naissance, adresse..).

Le mot de passe doit avoir une durée de vie fixe et un renouvellement impératif devrait être prévu.

Une politique de sécurité des mots de passe

L’article 34 de la loi Informatique et liberté dispose que

 Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Cet article implique plusieurs points qu’il est nécessaire de prendre en compte lors de l’élaboration d’un site internet qui va utiliser des données personnelles

  • la vérification de la robustesse des mots de passe client
  • la non conservation de ces mots de passe « en clair »
  • le refus de communication du mot de passe « en clair » par mail ou par téléphone
  • l’obligation de renouvellement du mot de passe passé un certain délai (délibération Optical Center)

 

Il est clair que nous sommes dans une logique de renforcement de la législation concernant la protection des données. Avec la future loi de l’Union Européenne, la CNIL va voir ses prérogatives renforcées. N’attendez pas d’être sanctionné. N’hésitez pas à me contacter pour plus d’informations ou pour auditer votre site internet.