Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 423

criticité des traitements n'était pas liée
à un tel critère.

Cryptage des mots
de passe contenus
en base de données
A l'origine de la plainte ayant entrainé
un contrôle auprès d'Optical Center,
la plaignante dénonçait la communication de son mot de passe par téléphone ce qui laissait présumer un
affichage en clair des mots de passe
clients au sein des bases de données
du lunetier.
Cette pratique est à proscrire
puisqu'elle ne garantit aucune confidentialité des accès. La Cnil avait
d'ailleurs pu prononcer un avertissement public en 2014 en raison de ce
type d'absence de cryptage à l'encontre de la société Régime coach(10).
Il convient cependant d'être vigilant
sur les modes de cryptage utilisés
puisque tous ne se valent pas. Ainsi,
à titre d'exemple, un hachage cryptographique MD5 ne sera pas infaillible puisqu'il existe des techniques de
bruteforce (tests de toutes les combinaisons possibles) ou l'utilisation de
rainbow table (bases de données
de MD5 et leurs équivalents en clair)
qui permettront potentiellement de
décrypter les mots de passe hashés
contenus en base.

Imposer le renouvellement
des mots de passe tous les
90 jours
Ce renouvellement doit être imposé
automatiquement grâce à une configuration adaptée du système informatique. Il est très souvent mis en place
sur les accès Windows (car sa configuration est particulière aisée et nativement intégrée(11)). Il reste plus rare
sur les accès logiciels des salariés,
car bien souvent non configurable. Il
est donc essentiel de prévoir ce type
de spécifications, dès la conception
d'un progiciel ou dès l'acquisition de
licences logiciel.
La Cnil considère ce critère comme
important. Elle eut notamment l'occasion de le rappeler en énumérant
des critères de non-conformité ayant

conduit à prononcer une sanction
pécuniaire à l'encontre de la société
Loc car deam(12). Cette société imposait l'usage de mots de passe de 12
critères alphanumériques pour l'accès à l'un de ses logiciels mais n'avait
prévu aucun mécanisme de renouvellement depuis sa conception.
Le renouvellement des mots de passe
doit impérativement être couplé avec
une historisation système des mots
de passe utilisés afin d'empêcher le
salarié concerné de réutiliser un mot
de passe utilisé sur une période glissante d'au moins une année. Sans
cette mesure, imposer un renouvellement de mot de passe peut s'avérer en
pratique totalement inutile.

Mise en place d'une
procédure de génération
et de renouvellement des
mots de passe garantissant
leur confidentialité
Dans le cadre de la délibération ayant
abouti au prononcé d'une sanction
pécuniaire à l'encontre d'Optical
center, il est notamment constaté par
la Cnil que l'administrateur procédait
lui-même aux renouvellements de mot
de passe, en les communicant aux
salariés concernés. Ce mode de fonctionnement ne permet pas de garantir la confidentialité et traçabilité des
accès, et in fine l'imputabilité des
actions réalisées sur ces comptes.
Afin de pallier à ces défauts de sécurité, il est recommandé :
■ dans le cadre de la communication du mot de passe par un tiers
ou par un système automatisé (cas
typiques lorsqu'un nouveau compte
est généré), d'obliger le salarié à
immédiatement modifier le mot de
passe communiqué. Cette obligation
doit être de préférence imposée par le
système informatique ;
■ de permettre au salarié de
pouvoir modifier directement son mot
de passe ;
■ de mettre par écrit la procédure
appliquée au sein de la structure.
La mise en place de l'ensemble de ces
règles de bonnes pratiques semble
aujourd'hui indispensable. A défaut, il

EXPERTISES DÉCEMBRE 2015

pourra être reproché au responsable
de traitement un manque de sécurisation compromettant la confidentialité
et l'intégrité des données à caractère
personnel, et ce, même en l'absence
de fuite de données ou d'accès non
autorisé.
Il est conseillé de faire figurer l'ensemble de ces règles au sein d'une
politique de gestion de mots de passe.
Celle-ci peut être insérée au sein
d'une charte interne d'utilisation des
ressources informatiques. Mais plus
important, il est surtout vivement
recommandé de faire appliquer en
pratique ces règles et de former les
collaborateurs aux problématiques de
sécurité informatique.
Il est également utile de rappeler
que ces règles de mots de passe ne
peuvent avoir de sens que si elles
s'inscrivent dans une politique globale
de sécurisation. Ainsi, un logiciel et/
ou un poste inactif doit se verrouiller
automatiquement passé un certain
délai et cela, même si le poste est situé
dans un bureau individualisé pouvant
être fermé à clé.
Dans l'affaire Optical center, la Cnil
a en effet considéré que les seules
mesures de sécurité physique sont
insuffisantes ; elles doivent impérativement être couplées à des mesures
de sécurité logique.

Règles de sécurisation des
mots de passe des comptes
clients et prospects
Le principe de précaution devrait
inciter à mettre en œuvre de règles
de sécurité identiques à celles des
salariés pour l'accès aux comptes de
clients et/ou prospects. Cependant,
ces accès sont généralement bien
moins sensibles que ceux des salariés
(hors cas spécifiques type banque en
ligne, etc.), compte tenu du nombre
limité de données accessibles depuis
ces comptes. Le principe de proportionnalité doit donc trouver à s'appliquer, d'autant qu'il reste à ce jour délicat, voire contreproductif, d'imposer
des règles aussi contraignantes que
celles appliquées aux salariés auprès
du grand public.

423



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408

Couverture
Sommaire
MAGAZINE - COOKIES FACEBOOK INTERDIT DE TRACER LES BELGES NON-MEMBRES
INTERVIEW - DOMINIQUE CARDON : PRIVATISER LA VIE PRIVÉE
DOCTRINE
JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - MAGAZINE - COOKIES FACEBOOK INTERDIT DE TRACER LES BELGES NON-MEMBRES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 410
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 411
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 412
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 413
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 414
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - INTERVIEW - DOMINIQUE CARDON : PRIVATISER LA VIE PRIVÉE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 416
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 417
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 418
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 419
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 420
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - DOCTRINE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 422
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 423
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 424
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 425
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 426
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 427
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 428
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 429
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 430
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 431
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 432
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 433
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 434
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 435
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 436
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 437
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 438
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 439
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 441
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 442
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 443
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 444
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 445
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Décembre 2015 - n°408 - 446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com