Est paru au Journal officiel de ce 27 janvier 2017 une délibération de la CNIL, en date du 19 janvier 2017, portant adoption d’une recommandation relative aux mots de passe (n° 2017-012).
Prise pour préciser les articles 34 et 35 – respectivement relatifs à l’obligation de sécurité et au cadre de la sous-traitance – de la loi Informatique et Libertés, cette délibération entend également tirer les conséquences des récentes compromissions de bases de données de mot de passe (LinkedIn, Yahoo, etc.).
Une recommandation… totalement obligatoire !
Le titre de la délibération est trompeur : « Recommandation relative aux mots de passe ». Concrètement, il faut évidemment la prendre comme une norme juridique opposable, et ce principalement pour deux raisons :
- Des condamnations pénales pour manquement à l’obligation de sécurité ont d’ores et déjà été prononcées sur la base de recommandations de la CNIL ;
- Lors de l’instruction de demandes d’autorisation, les services de la Commission veilleront très certainement à ce que les moyens d’authentification soient conformes à cette recommandation.
Partant, les responsables de traitement sont désormais tenus de mettre en place des politiques de mot de passe conformes à cette recommandation.
Champ d’application de la recommandation
Tout traitement de données reposant sur l’utilisation de mots de passe est concerné. Seuls sont exclus ceux pour lesquels des dispositions législatives ou réglementaires spécifiques ont prévu des prescriptions techniques particulières.
Ceci étant, il faut évidemment considérer que cette recommandation constitue un minimum. En matière de données sensibles, la CNIL recommande en effet par principe l’utilisation de dispositifs d’authentification forte, lesquels sont particulièrement réglementés concernant les professionnels de santé.
Contenu de la recommandation
La CNIL fixe ici les lignes directrices pour une politique de mot de passe. Outre les caractéristiques de ceux-ci, sont définies des règles de base relatives à la création du mot de passe et à la gestion du compte associé, à l’authentification, à la conservation, au changement et au renouvellement du mot de passe, et à la notification de violations de données à la personne. Pour mémoire, la notification des violations n’est légalement obligatoire que pour les opérateurs de télécommunication, mais la CNIL a manifestement décidé d’anticiper l’entrée en vigueur du Règlement Général relatif à la Protection des Données (RGPD), opposable à compter du 25 mai 2018, en imposant dès à présent une notification sous 72h.
La CNIL rappelle par ailleurs que des règles spécifiques doivent parfois être élaborées, notamment pour la gestion des mots de passe des administrateurs informatiques ou le traitement de données sensibles.
Le tableau ci-dessous reprend les mesures de sécurité minimales et complémentaires ainsi que les conditions de conservation et de renouvellement imposées en fonction du type de mot de passe :
Entrée en vigueur et conséquences
A la rubrique « Dispositions transitoires et finales », aucune date d’opposabilité n’est prévue, de sorte qu’il faut considérer que la recommandation du 19 janvier 2017 relative aux mots de passe sera opposable dès demain, 28 janvier 2017.
Les responsables de traitement concernés vont donc rapidement devoir se mettre en conformité, avec l’appui, le cas échéant, de leurs prestataires dont l’intervention sera vraisemblablement nécessaire pour la fourniture d’outils permettant de veiller à la conformité des mots de passe aux guidelines définies par la CNIL.
Profitez bien de votre week-end. La semaine prochaine pourrait être chargée!