Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés et abrogeant la délibération n° 2017-012 du 19 janvier 2017
JO du 16 octobre 2022
A travers ce texte, la Commission nationale de l’informatique et des libertés (CNIL) adopte une recommandation définissant les nouvelles exigences techniques et organisationnelles minimales pour les authentifications par mot de passe ou par tout autre secret non partagé (à l’exception des clés et secrets cryptographiques) mis en œuvre dans le cadre de traitements de données à caractère personnel.
Ces dispositions, qui n’ont pas un caractère normatif, correspondent à l’état de l’art auquel tout responsable de traitement devrait se conformer pour satisfaire aux obligations du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mots de passe pour protéger un traitement. Les acteurs peuvent mettre en œuvre d’autres mesures de sécurité s’ils peuvent démontrer qu’elles garantissent un niveau de sécurité au moins équivalent.
Le texte présente successivement :
* les recommandations générales en matière de sécurité des mots de passe (longueur et complexité suffisantes, dispositions permettant de préserver la sécurité du mot de passe tout au long de son cycle de vie) ;
* la gouvernance ;
* les modalités opérationnelles de l’utilisation de mots de passe :
* les définitions et recommandations ;
* les modalités de l’authentification par mot de passe :
* cas n° 1 : mot de passe seul ;
* cas n° 2 : mot de passe et restriction d’accès au compte ;
* cas n° 3 : code de déverrouillage ;
* les modalités de conservation des mots de passe ;
* les modalités de changement du mot de passe et d’information des personnes, en particulier :
* le renouvellement périodique du mot de passe, avec une périodicité pertinente et raisonnable sera à définir en fonction des risques ;
* le renouvellement du mot de passe sur demande de l’utilisateur ;
* le renouvellement des mots de passe et l’information des usagers en cas de compromission ;
* la journalisation.
Il abroge la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe. Le cas d’usage n° 3 qui y était prévu, correspondant à une information secrète de 7 caractères et un mot de passe d’au moins 5 caractères, n’étant plus recommandé par la CNIL, il y a lieu pour les responsables de traitement de faire évoluer leur politique de mots de passe vers un autre cas.
Les plus lus…
L'entreprise Blue Solutions, filiale du groupe Bolloré, a répondu aux accusations de l'entreprise Highway France Logistics 8, propriétaire de…
Deux décrets ainsi qu’un arrêté, tous trois en date du 11 juin 2025, portent sur les règles de sécurité incendie…
Ce numéro 608 du magazine Face au Risque (juillet - août 2025) consacre un dossier spécial à la vidéosurveillance…
Un décret publié au Journal officiel le 27 juin 2025 et entré en vigueur le 1er juillet élargit les zones…
L’AFCDP (Association française des correspondants à la protection des données) annonce la publication du livrable du groupe de travail…
Les ambitions du monde de la sûreté finiront-elles par faire bouger les lignes du cadre législatif dans les cinq…
À lire également