- La décision: Délibération SAN-2022-018 du 8 septembre 2022
- Type de sanction: Sanction financière de 250 000 €
- Origine(s) du contrôle: Plainte d’une personne indiquant que le site web » infogreffe.fr » conserve les mots de passe des utilisateurs en clair et qu’elle a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique.
- Type de contrôle: Contrôle en ligne
- Textes visés: Article 5, paragraphe 1, e) du RGPD (durée de conservation), article 32 du RGPD (sécurité)
Bonnes pratiques à retenir :
Sur les durées de conservation (Article 5, paragraphe 1, e) du RGPD):
- Respecter les durées de conservation indiquées dans la politique de confidentialité et/ou sa politique interne de conservation ;
- Identifier les finalités et les durées de conservation correspondantes dans sa politique de confidentialité ;
- Vérifier qu’une fois la finalité du traitement atteinte, les données pertinentes sont placées en archivage intermédiaire ou séparées de la base active pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses ;
- Purger les comptes inactifs.
Sur la sécurité des données à caractère personnel (article 32 RGPD) :
- Mettre en place une politique de gestion des mots de passe conforme à l’état de l’art (cf. délibérations et sanctions CNIL, recommandation ANSII)
- Ne pas transmettre les mots de passe par mail
- Ne pas conserver en clair dans sa base de données les mots de passe ni les questions et réponses secrètes utilisés lors de la procédure de réinitialisation des mots de passe par les utilisateurs
- Confirmer à l’utilisateur la modification de son mot de passe
Références :
- Délibération SAN-2022-018 du 8 septembre 2022
- RGPD
Ressources :
- CNIL, 21.11.2018, https://www.cnil.fr/fr/mot-de-passe
- ANSSI, https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/