À titre personnel ou professionnel, il est nécessaire de mettre en place des solutions d’authentification forte et pour les données les plus sensibles de privilégier l’authentification à plusieurs facteurs.
La CNIL contrôle et sanctionne régulièrement les entités sur la mauvaise gestion des mots de passe ; il s’agit de manquements aux obligations qui découlent de l’article 32 du RGPD.
Les pratiques régulièrement sanctionnées en matière de mots de passe :
- Ne pas imposer l’utilisation d’un mot de passe robuste à la création d’un compte sur son site web
- Utiliser un mot de passe court ou simple sans imposer de catégories spécifiques de caractères et sans mesure de sécurité complémentaire
- Transmettre en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes
- Conserver en clair les mots de passe
- Conserver en clair les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs
POUR EN SAVOIR PLUS
- ANSSI (2021), Recommandations relatives à l’authentification multifacteur et aux mots de passe
- CNIL, Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés, et abrogeant la délibération n°2017-012 du 19 janvier 2017
- CNIL, webinaire sur les mots de passe
- Cybermalveillance, choisir un bon mot de passe
- Délibération SAN-2022-018 du 8 septembre 2022
- Délibération SAN-2022-020 du 10 novembre 2022
- Délibération SAN-2022-022 du 30 novembre 2022
AUTEUR
Pour toute question relative au droit de la cybersécurité, pour notifier une violation de données à la CNIL, pour une mise en conformité RGPD ou un support à votre DPO, contactez Me Marine de la Clergerie, avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel (contact@mdc-avocat.fr – 0673539644).