Mots de passe des internautes : la Cnil sanctionne

La CNIL sanctionne les entreprises qui n'assurent pas la sécurité et la confidentialité des données à caractère personnel des internautes au titre de l'article 34 de la Loi informatique et Libertés.

       Dans un article consacré à la configuration d’un mot de passe par l’internaute, la CNIL considère qu’un mot de passe sûr « doit être suffisamment long, et faire au moins huit caractères (…), doit être composé d’au moins trois types de caractères différents parmi les quatre types de caractères existants (majuscules, minuscules, chiffres et caractères spéciaux), et ne doit pas avoir de lien avec son détenteur ».[1]D’autre part, la CNIL recommande de « renouveler » le mot de passe tous les six mois, et que celui-ci soit différent des mots de passe précédents.

À cet égard, la CNIL sanctionne les entreprises n'assurant pas la sécurité des mots de passe des internautes.

L’article 34 de la Loi Informatique et Libertés dispose que:

 « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (...)».[2]

 En effet, l’entreprise, et plus exactement le responsable des traitements au regard de l’article 3 I de la Loi,[3] doit garantir la confidentialité des données personnelles des utilisateurs. Ce devoir d’assurer la sécurité des mots de passe se reflète de différentes façons, à savoir notamment : l’établissement d’une politique de "robustesse" des mots de passe des clients, l’absence de conservation de leurs mots de passe, la non-communication par l’entreprise des mots de passe des internautes via le téléphone par exemple, ou encore l’obligation pour l'entreprise de renouveler le mot de passe de ses clients tous les six mois.

 La CNIL a prononcé des avertissements ou des mises en demeure, voir a sanctionné différentes entreprises qui avaient manqué à leur obligation d’assurer la sécurité et la confidentialité des données à caractère personnel des internautes, et ce conformément à l’article 34 de la Loi informatique et Libertés.[4]

 Les sanctions prononcées à l’encontre de la société OPTICAL CENTER[5] et de la société LOC CAR DREAM,[6] l’avertissement de la société REGIME COACH[7] ou encore plus récemment la mise en demeure de FACEBOOK,[8] illustrent parfaitement la fermeté de la CNIL en matière de manquement à cette obligation de sécurité et de confidentialité des données. 

 Dans l’affaire OPTICAL CENTER, après une mise en demeure, la CNIL avait prononcé une sanction pécuniaire d’un montant de 50.000 euros à l’encontre de la société. Outre les autres manquements reprochés, la CNIL avait constaté l’absence d’amélioration de la « robustesse » des mots de passe des clients de la société, et l’absence de renouvellement de leurs mots de passe.[9]

La Commission a également prononcé une sanction pécuniaire d’un montant de 5000 euros à l’encontre de la société LOC CAR DREAM. La CNIL a ici constaté « la sécurité du dispositif d’authentification mis en place par la société n’est pas en conformité avec les exigences de la Commission relatives à la politique qui doit être adoptée et mise en œuvre par les responsables de traitement concernant la gestion des mots de passe. En effet, si le mot de passe utilisé pour l’accès au logiciel de géolocalisation comporte un nombre satisfaisant de caractères alphanumériques, il n’a cependant jamais été changé en plus de deux ans alors qu’il doit être renouvelé régulièrement et n’a, par ailleurs, pas été conçu avec une complexité suffisante, c’est-à-dire en comportant au moins trois des quatre caractères suivants : alphabétiques majuscules, minuscules, numériques et spéciaux ».[10]

Dans une autre affaire REGIME COACH, la CNIL a établi que la société conservait les mots de passe de ses clients dans ses bases de données et a alors prononcé un avertissement à l’encontre de celle-ci.[11]

Enfin, plus récemment, la CNIL a mis en demeure le réseau social Facebook de se mettre en conformité avec la loi Informatique et Libertés. Parmi les neufs manquements reprochés, la CNIL a relevé un manquement à l’obligation d’assurer la sécurité des données. En effet, la Commission constate que Facebook propose seulement à ses membres de choisir un mot de passe comprenant plus de six caractères, qui soit unique et difficile à deviner. D'autre part, la CNIL relève qu’il est possible pour un internaute d’inscrire comme mot de passe « 1234567a ».[12]

Ainsi, les entreprises offrant un service au public se doivent d’adopter des politiques internes de sécurité des mots de passe conformes aux exigences de la CNIL afin de ne pas faillir à l’obligation de sécurité prévue par l’article 34 de la Loi.[13]

À cet égard, il est fort à penser que la CNIL façonne, modifie une nouvelle fois ses recommandations en matière de mot de passe afin de s’adapter au contexte actuel : des cyberattaques de plus en plus nombreuses. Or les conséquences de celles-ci sur la vie privée des utilisateurs n’est pas sans risques : l’affaire Ashley Madison est un exemple parmi beaucoup d’autres (malheureusement) …

       

[1] Commission Nationale de l’Informatique et des Libertés (CNIL), Construire un mot de passe sûr et gérer la liste de ses codes d’accès, 11 mars 2014,

< https://www.cnil.fr/fr/construire-un-mot-de-passe-sur-et-gerer-la-liste-de-ses-codes-dacces > (consulté en ligne le 29 février 2016).

[2] Loi Informatique et Libertés de 1978, art. 34.

[3] Loi Informatique et Libertés de 1978, art. 3 I.

[4] Loi Informatique et Libertés de 1978, art. 34.

[5] Commission Nationale de l’Informatique et des Libertés (CNIL), délibération de la formation restreinten°2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER, en ligne :

< https://www.cnil.fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf >, (consulté le 2 mars 2016)

[6] Commission Nationale de l’Informatique et des Libertés (CNIL), délibération de la formation restreinte n°2014-294 du 22 juillet 2014 prononçant une sanction pécuniaire publique à l’encontre de la société LOC CAR DREAM, en ligne :

< https://www.cnil.fr/sites/default/files/typo/document/D_2014-293-sanction_LOC_CAR_DREAM.pdf >, (consulté en ligne le 2 mars 2016).

[7] Commission Nationale de l’Informatique et des Libertés (CNIL), délibération de la formation restreinte n°2014-261 du 26 juin 2014 prononçant un avertissement rendu public à l’encontre de la société REGIME COACH, en ligne :

< https://www.cnil.fr/sites/default/files/typo/document/20140711_deliberation_regimecoache.pdf >, (consulté en ligne le 2 mars 2016).

[8] Commission Nationale de l’Informatique et des Libertés (CNIL), décision n°2016-007 du 26 janvier 2016 mettant en demeure les sociétés Facebook INC. Et Facebook Ireland, en ligne :

<http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Bureau/D2016-007_MED_FACEBOOK-INC.-FACEBOOK-IRELAND.pdf >, (consulté en ligne le 11 février 2016), p.14.

[9] Commission Nationale de l’Informatique et des Libertés (CNIL), délibération de la formation restreinten°2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER, en ligne :

< https://www.cnil.fr/sites/default/files/typo/document/2015-379_sanction_OPTICALCENTER.pdf >, (consulté le 2 mars 2016)

[10] Commission Nationale de l’Informatique et des Libertés (CNIL), délibération de la formation restreinte n°2014-294 du 22 juillet 2014 prononçant une sanction pécuniaire publique à l’encontre de la société LOC CAR DREAM, en ligne :

< https://www.cnil.fr/sites/default/files/typo/document/D_2014-293-sanction_LOC_CAR_DREAM.pdf >, (consulté en ligne le 2 mars 2016).

[11] Commission Nationale de l’Informatique et des Libertés (CNIL), délibération de la formation restreinte n°2014-261 du 26 juin 2014 prononçant un avertissement rendu public à l’encontre de la société REGIME COACH, en ligne :

< https://www.cnil.fr/sites/default/files/typo/document/20140711_deliberation_regimecoache.pdf >, (consulté en ligne le 2 mars 2016).

[12] Commission Nationale de l’Informatique et des Libertés (CNIL), décision n°2016-007 du 26 janvier 2016 mettant en demeure les sociétés Facebook INC. Et Facebook Ireland, en ligne :

<http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Bureau/D2016-007_MED_FACEBOOK-INC.-FACEBOOK-IRELAND.pdf >, (consulté en ligne le 11 février 2016), p.14.

[13] Loi Informatique et Libertés de 1978, art. 34.

Cnil