La CNIL impose des mots de passe de 12 caractères minimum

La CNIL rehausse ses exigences en matière de gestion des mots de passe par les organisations gérant des données personnelles. Et impose des modalités techniques précises, comme une longueur minimale de 12 caractères, détaille l’avocat François Coupez.

A l’occasion de la journée de la protection des données, la CNIL a communiqué tous azimuts sur la nécessaire sécurisation des mots de passe, via la mise à disposition d’un générateur, d’une page thématique… ainsi que d’une délibération publiée le même jour au journal officiel (Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe).

Cela change-t-il quelque chose par rapport à la situation actuelle ? Quelles sont les conséquences pour les entreprises ?

Auparavant, des préconisations impératives mais floues

Le 11 mars 2014, la CNIL a publié sur son site une page où elle rappelait les règles de base sur la sécurisation des mots de passe, comme la nécessité que ceux-ci aient une longueur minimale de huit caractères.

Elle a eu l’occasion de faire appliquer sévèrement cette doctrine : sur le fondement de l’article 34 de la loi du 6 janvier 1978 imposant la sécurisation des traitements de données à caractère personnel, elle a sanctionné à plusieurs reprises(1) des entreprises qui, parmi d’autres comportements reprochés :

– conservaient pour certaines les mots de passe relatifs aux comptes clients en clair ;

– pour d’autres, n’avaient pas changé de mots de passe depuis deux ans, alors que ces mots de passe étaient d’une complexité insuffisante malgré un nombre de caractères (douze) jugé satisfaisant. La CNIL a ainsi rappelé la nécessité qu’un mot de passe comporte trois types de caractères à choisir parmi les majuscules, les minuscules, les chiffres et les caractères spéciaux ;

– disposaient de mots de passe insuffisamment robustes, ainsi que d’une gestion insuffisante de la délivrance d’habilitations et de droits d’accès ;

– ou n’avaient aucune politique de gestion des mots de passe. Par conséquent les mots de passe des clients n’étaient pas sécurisés, le renouvellement des mots de passe internes n’était pas imposé, l’accès au back office du site se faisait sans authentification forte et les sessions des ordinateurs des salariés ne disposaient pas de verrouillage automatique.

Dans cette dernière espèce d’ailleurs, la CNIL a sanctionné l’interprétation qu’avait faite l’entreprise du niveau de sécurité nécessaire pour protéger son système d’information. La société estimait qu’une authentification forte n’était pas nécessaire si l’accès ne pouvait se faire que via des bureaux à l’accès restreint ; alors que pour la CNIL, « la sécurisation globale du système d’information ne peut reposer uniquement sur la sécurité physique des locaux, en particulier dans les circonstances de l’espèce où le verrouillage automatique de l’ensemble des postes informatiques des salariés n’était pas assuré ».

Aujourd’hui, des préconisations strictes et impératives

Revenons à la délibération du 19 janvier 2017 qui revêt une importance toute particulière : la recommandation qu’elle édicte décrit en effet en détails les modalités techniques à mettre en œuvre. Elle est surtout impérative, avec des risques de sanction en cas de manquement.

En effet, la faiblesse de la gestion des mots de passe était déjà, comme on l’a vu ci-dessus, objet de sanction par la CNIL.

Lire aussi : RGPD : la CNIL face aux spécificités des IA

Par ailleurs, la commission a déjà eu l’occasion de sanctionner une entreprise qui ne respectait pas une « simple » recommandation (en l’occurrence celle sur la sécurité des moyens de paiement).

Surtout, l’article 11 2°b) de la loi du 6 janvier 1978 donne expressément le pouvoir à la CNIL « [d’édicter], le cas échéant, des règlements types en vue d’assurer la sécurité des systèmes ». Il ne fait donc pas de doute que la CNIL peut parfaitement s’appuyer sur la recommandation qu’elle publie aujourd’hui pour sanctionner à l’avenir les entreprises et les autres entités qui ne la respecteraient pas.

Elle ne dit pas autre chose quand elle énonce : « (…) il apparaît nécessaire que la commission définisse les modalités techniques de cette méthode d’authentification, à même de garantir un niveau de sécurité adapté, et édicte des recommandations relatives aux mesures à mettre en œuvre, ainsi que les règles à respecter, quant à son utilisation ».

Cette recommandation est donc strictement impérative et doit absolument être suivie par les entreprises et entités qui traitent des données à caractère personnel, même à la marge. Fruit de discussions avec les régulateurs européens en la matière, les préconisations développées dans cette recommandation forment un « référentiel technique apportant un niveau de sécurité minimal, cohérent avec les bonnes pratiques de sécurité et concrètement applicable ». On peut donc espérer qu’une entreprise de taille européenne puisse construire une politique cohérente en la matière sans avoir à craindre des interprétations locales divergentes, dans l’esprit de cohérence apporté par le RGPD (règlement européen sur la protection des données).

Rappelons qu’en application des apports de la loi République numérique, la CNIL a dorénavant un pouvoir de sanction administrative pouvant aller jusqu’à 3 millions d’euros et peut obliger l’entité fautive à informer les personnes concernées de sa condamnation, en plus de la sanction pénale (cette dernière restant très rare en pratique).

Les points notables de la recommandation

Compte tenu de ces éléments, on ne peut donc que recommander aux entreprises, aux associations ou encore aux entités de droit public d’étudier avec attention le contenu de cette recommandation, qui porte tant sur la création du mot de passe, son renouvellement, que sur les modalités de l’authentification.

Quelques points sont toutefois particulièrement à souligner ici :

– ces règles concernent toutes les personnes publiques ou privées ayant recours à l’authentification par mot de passe (pour gérer des données personnelles), à l’exception de ceux pour lesquels des dispositions législatives ou réglementaires spécifiques fixent des prescriptions techniques particulières. Cela vise donc les entreprises en interne, les acteurs du commerce électronique, les banques, les fournisseurs d’accès à Internet, etc. ;

– « Le mot de passe ne doit jamais être communiqué à l’utilisateur en clair, notamment par courrier électronique ». De même, il ne doit pas être conservé en clair mais haché au minimum, ce qui devrait inciter nombre de sites internet à revoir leurs pratiques ;

– le mot de passe standard doit désormais faire douze caractères et utiliser non plus trois mais quatre types de caractères (majuscules, minuscules, chiffres et caractère spéciaux). Sur ce point, il est intéressant de voir que ce positionnement se rapproche de celui exprimé par l’ANSSI en 2012 [2], sans être toutefois identique (le point de vue de l’ANSSI n’a pas varié a priori dans sa nouvelle version du guide de l’hygiène informatique publiée à l’occasion du FIC 2017) ;

– Ces exigences de longueur de mot de passe peuvent être moins fortes, du fait de l’existence « de mesures compensatrices visant à assurer un niveau de sécurité équivalent », que peuvent être :

Lire aussi : La CNIL épingle des établissements de santé

Des restrictions d’accès au compte (temporisation, blocage, CAPTCHA) ;
la connaissance d’informations complémentaires (information et/ou terminal de confiance ET restrictions d’accès) ;
ou encore la nécessité d’un matériel détenu par l’utilisateur (avec blocage si trois codes erronés).

– enfin, anticipant sur le RGPD qui prévoit une notification des violations de données, la CNIL impose par cette recommandation une nouvelle obligation de notification quand le mot de passe ou les données liées à son renouvellement ont été violées. Plus précise que l’obligation de notification prévue dans le RGPD, celle-ci prévoit une notification dans les 72 heures directement à la personne concernée de cette violation, sans passer par l’étape de la notification préalable de la CNIL. Le responsable de traitement doit alors imposer « le changement du mot de passe à la personne concernée lors de sa prochaine connexion », et recommander « à la personne de veiller à changer ses mots de passe d’autres services dans l’hypothèse où elle aurait utilisé le même mot de passe pour ceux-ci ».

Autant d’exigences que l’on retrouve dans les pratiques de certains acteurs économiques mais qui sont surtout l’occasion pour la grande majorité d’entre eux, en pleine réflexion sur la mise en conformité du RGPD, d’ajouter un chantier à leur plan de travail…

Par François Coupez, Avocat à la Cour, Associé du cabinet ATIPIC Avocat et titulaire du certificat de spécialisation en droit des nouvelles technologies.

[1] cf. les décisions du 26 juin 2014, 22 juillet 2014, 5 novembre 2015, 21 décembre 2015.

[2] « Certaines recommandations préconisent le choix de mots de passe de 12 caractères alphanumériques, d’autres de 16 lettres, etc. En réalité, il n’existe pas de règle universelle. La robustesse d’un mot de passe dépend en pratique (…) », l’ANSSI listant cinq éléments qui ne sont pas tous repris dans les mesures compensatrices proposées par la CNIL.

Données personnelles : l’Afai, le Cigref et Tech in France planchent sur le règlement de l’UE

Hacker éthique : la législation française enfin claire ?

Lire aussi : Santé, edtech, IA : où en sont les « bacs à sable » de la CNIL ?