La délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) portant adoption d’une recommandation relative aux mots de passe a été publiée au Journal officiel vendredi 27 janvier. Garance Mathias, Avocat à la Cours, fait le point.
La recommandation de la CNIL énonce plusieurs règles d’ordre général à prendre en compte dès lors qu’une authentification par mot de passe est envisagée par le responsable du traitement. La CNIL définit ensuite quatre hypothèses pour lesquelles des règles spécifiques sont précisées.
Mots de passe et obligation de sécurité
Il appartient au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (Article 34 de la loi n°78-17 du 6 janvier 1978 modifiée).
Cette obligation n’est pas remise en cause par le Règlement Général sur la Protection des Données (RGPD). En effet, l’article 32 du RGPD impose non seulement au responsable du traitement mais aussi au sous-traitant de mettre en œuvre « (…) les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). ».
Dans ce contexte, l’utilisation d’un mot de passe associé à un identifiant permet le contrôle de l’accès à des données à caractère personnel. Cette mesure compte parmi celles que le responsable du traitement doit mettre en oeuvre.
Quel rôle pour le responsable du traitement dans la définition du mot de passe ?
Le responsable du traitement doit prendre l’initiative notamment des mesures suivantes :
la taille et la complexité du mot de passe à définir par la personne concernée doivent être imposées par le responsable du traitement ;
la personne concernée doit être informée des règles applicables à la définition du mot de passe (taille et complexité, par exemple au moyen d’une jauge) ;
le mot de passe ne doit pas être communiqué à la personne concernée en clair notamment par courrier électronique ;
le responsable du traitement doit imposer à la personne concernée le renouvellement de son mot de passe selon une périodicité qu’il définit ;
le responsable du traitement doit prévoir la possibilité pour la personne concernée de pouvoir modifier son mot de passe en conformité avec les règles de création de mot de passe.
Notons que le responsable du traitement doit également prévoir une procédure de renouvellement du mot de passe à la demande de la personne concernée. Est notamment visée la procédure dite du « mot de passe oublié ». A ce titre, le responsable du traitement doit d’abord déterminer si le renouvellement suppose l’intervention d’un administrateur ou s’il est effectué de manière automatisée.
En effet, la recommandation de la CNIL précise qu’en cas d’intervention d’un administrateur, le mot de passe attribué à la personne concernée devra être temporaire. Ainsi, le responsable du traitement devra imposer à la personne concernée de le modifier à la première connexion. En revanche, si le renouvellement est automatisé, la personne concernée devra notamment être dirigée vers une page lui permettant de saisir un nouveau mot de passe.
Quelles caractéristiques pour les mots de passe ?
La CNIL définit quatre situations de création d’un mot de passe en précisant pour chacune, des exigences propres.
Situation | Caractéristiques du mot de passe |
Authentification de la personne concernée par un identifiant et un mot de passe uniquement | Taille du mot de passe : 12 caractères minimumComplexité du mot de passe : majuscules, minuscules, chiffres et caractères spéciaux |
Authentification de la personne concernée par un identifiant, un mot de passe et des restrictions d’accès au compte sont prévues | Taille du mot de passe : 8 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)
Restrictions d’accès : temporisation d’accès au compte après plusieurs échecs (après 5 échecs, une nouvelle tentative ne peut intervenir qu’après un laps de temps supérieur à une minute ; limitation du nombre de tentative à 25 par 24 heures), blocage du compte après 10 échecs consécutifs au plus, etc. |
Authentification de la personne concernée par un mot de passe et une information complémentaire | Taille du mot de passe : 5 caractères minimumComplexité du mot de passe : au moins trois des quatre types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)
Restrictions d’accès : blocage des tentatives multiples d’authentification (temporisation d’accès, blocage du compte après 5 échecs consécutifs au plus, etc.) Information complémentaire communiquée soit par la personne concernée soit par le responsable du traitement (7 caractères) ou tout paramètre technique à certaines conditions |
Authentification de la personne concernée s’appuyant sur un matériel qu’elle détient | Taille du mot de passe : 4 chiffres minimumPersonne concernée détenant le matériel nécessaire tel qu’une carte à puce
Restrictions d’accès : une mesure de blocage doit être mise en œuvre après 3 échecs d’authentification consécutifs |
Dans ce contexte, tout responsable du traitement va devoir s’interroger sur la conformité des règles relatives aux mots de passe qu’il met en œuvre et définir un plan des actions correctrices à réaliser.