accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Mots de passe et autres secrets partagés : adoption par la CNIL d'une nouvelle recommandation

AAI
Délib. CNIL n° 2022-100, 21 juill. 2022 : JO 16 oct. 2022
[17.10.2022]

La CNIL a adopté une nouvelle recommandation ayant pour objectif de définir les exigences techniques et organisationnelles minimales pour les authentifications par mot de passe ou par tout autre secret non partagé (à l'exception des clés et secrets cryptographiques) mis en œuvre dans le cadre de traitements de données à caractère personnel. Celle-ci constitue une mise à jour de son référentiel technique destiné à apporter un niveau de sécurité minimal, en cohérence avec les bonnes pratiques de sécurité et concrètement applicable.
Les dispositions de cette recommandation, qui n'ont pas un caractère normatif, correspondent à l'état de l'art auquel tout responsable de traitement devrait se conformer, a minima, pour satisfaire aux obligations de l'article 32 du RGPD lorsqu'il utilise une authentification par mots de passe pour protéger un traitement.
Les acteurs peuvent mettre en œuvre d'autres mesures de sécurité que celles décrites dans cette recommandation s'ils sont en capacité de montrer qu'elles garantissent un niveau de sécurité au moins équivalent. La Commission a notamment toujours considéré que d'autres moyens d'authentification, comme par exemple l'authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le seul mot de passe.
Pour aller plus loin et, notamment, déterminer les mesures nécessaires à mettre en œuvre dans le cas où le niveau minimal décrit est insuffisant, cette recommandation sera utilement complétée par le guide de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) intitulé « Recommandations relatives à l'authentification multifacteur et aux mots de passe ».

• Pour obtenir davantage de précisions sur cette nouvelle recommandation de la CNIL, cliquez ici.