Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 421

doctrine

Données personnelles
Mots de passe
et exigences de la Cnil
Dans une délibération du 5 novembre 2015 prononçant
une sanction pécuniaire de 50 000 € à l'encontre d'Optical
Center, pour manquement à l'obligation de sécurité, la
Cnil vient de préciser ses attentes pour une gestion de
mots de passe en conformité avec la loi Informatique et
libertés.

L

e principe général n'est pas
nouveau : tout responsable
de traitement doit prendre
les mesures adéquates afin
de préserver la sécurité des données
qu'il traite. Derrière cette disposition
résumée en quatre lignes par l'article
34 de la loi relative à l'informatique,
aux fichiers et aux libertés1, se cachent
en réalité de multiples principes, plus
ou moins implicites, devant être mis
en œuvre par les responsables de
traitements. A défaut, ces derniers
sont susceptibles d'encourir des sanctions. Ainsi par sa délibération du
5 novembre dernier2, la Cnil est venue
prononcer une sanction pécuniaire à
l'encontre d' « Optical center », célèbre
lunetier, notamment en raison d'un
manquement à l'obligation d'assurer
la sécurité et la confidentialité des
données.
Au cœur de ces enjeux de sécurité,
l'un d'entre eux est récurrent : celui des
mécanismes d'authentification et des
règles de mots de passe. Son contour
n'est pour autant pas clairement défini
par les textes en vigueur. Décryptage
des bonnes pratiques à adopter.

OBLIGATIONS LÉGALES
EN MATIÈRE DE GESTION
DES MOTS DE PASSE
Paradoxalement, les règles pratiques
de gestion de mot de passe ne se
trouvent pas au sein des textes législatifs. Seuls des principes généraux,
sans précision pratique, peuvent s'y
trouver à l'instar de l'article 34 suscité

ou encore de l'article 17 de la directive
européenne Informatique et libertés
de 19953 disposant :
« Les États membres prévoient que le
responsable du traitement doit mettre
en œuvre les mesures techniques
et d'organisation appropriées pour
protéger les données à caractère
personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque
le traitement comporte des transmissions de données dans un réseau,
ainsi que contre toute autre forme
de traitement illicite. Ces mesures
doivent assurer, compte tenu de l'état
de l'art et des coûts liés à leur mise en
œuvre, un niveau de sécurité approprié au regard des risques présentés
par le traitement et de la nature des
données à protéger. [...] »
Nous y retiendrons tout de même que
la sécurisation doit être proportionnée à la nature des données traitées
ainsi qu'aux risques du traitement,
ce qui laisse une place toute singulière à une éventuelle appréciation
subjective.
Pour mettre la main sur des éléments
pratiques, il convient de parcourir des
textes autres que législatifs ou règlementaires, tels que le « Guide sécurité des données personnelles » publié
par la Cnil en 20104, les recommandations de sécurité relatives aux mots de
passe de l'Anssi5, ou encore les bonnes
pratiques utilisées par les professionnels spécialisés et notamment

EXPERTISES DÉCEMBRE 2015

les RSSI (Responsable de la sécurité
des systèmes d'information).
Si ces recommandations et bonnes
pratiques relèvent de la soft law, il n'en
reste pas moins que leur respect et
leur mise en œuvre sont pourtant, en
pratique, contrôlés par la Cnil. Elles
ne constituent pas le fondement juridique des délibérations et sanctions
(c'est impossible), mais servent d'arguments pour invoquer et motiver le
non-respect aux obligations générales
de sécurisation.
Egalement, certaines recommandations peuvent se retrouver au sein
de normes simplifiées émises par la
Cnil. Ces normes sont destinées à
faciliter les formalités administratives
de déclaration de traitements tout
en permettant d'établir des cadres
types de traitements par finalités et/ou
domaines d'activités. C'est ainsi qu'il
est notamment possible de retrouver
au sein de la norme simplifiée n°486,
l'obligation pour les responsables de
traitement se référant à cette norme
de prévoir « une authentification des
personnes accédant aux données, au
moyen par exemple d'un code d'accès
et d'un mot de passe individuels, suffisamment robustes et régulièrement
renouvelés [...] ».
Il convient donc de s'intéresser à la
conformité des règles de l'art mais
également aux précédentes délibérations de la Cnil en matière de gestion
des mots de passe afin de déterminer
les attentes pratiques de l'autorité et
ainsi éviter toute sanction.

421



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408

Couverture
Sommaire
MAGAZINE - COOKIES FACEBOOK INTERDIT DE TRACER LES BELGES NON-MEMBRES
INTERVIEW - DOMINIQUE CARDON : PRIVATISER LA VIE PRIVÉE
DOCTRINE
JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - MAGAZINE - COOKIES FACEBOOK INTERDIT DE TRACER LES BELGES NON-MEMBRES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 410
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 411
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 412
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 413
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 414
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - INTERVIEW - DOMINIQUE CARDON : PRIVATISER LA VIE PRIVÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 416
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 417
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 418
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 419
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 420
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - DOCTRINE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 422
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 423
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 424
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 425
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 426
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 427
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 428
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 429
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 430
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 431
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 432
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 433
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 434
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 435
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 436
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 437
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 438
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 439
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 441
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 442
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 443
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 444
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 445
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com