Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés et abrogeant la délibération n° 2017-012 du 19 janvier 2017
JO du 16 octobre 2022
A travers ce texte, la Commission nationale de l’informatique et des libertés (CNIL) adopte une recommandation définissant les nouvelles exigences techniques et organisationnelles minimales pour les authentifications par mot de passe ou par tout autre secret non partagé (à l’exception des clés et secrets cryptographiques) mis en œuvre dans le cadre de traitements de données à caractère personnel.
Ces dispositions, qui n’ont pas un caractère normatif, correspondent à l’état de l’art auquel tout responsable de traitement devrait se conformer pour satisfaire aux obligations du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mots de passe pour protéger un traitement. Les acteurs peuvent mettre en œuvre d’autres mesures de sécurité s’ils peuvent démontrer qu’elles garantissent un niveau de sécurité au moins équivalent.
Le texte présente successivement :
* les recommandations générales en matière de sécurité des mots de passe (longueur et complexité suffisantes, dispositions permettant de préserver la sécurité du mot de passe tout au long de son cycle de vie) ;
* la gouvernance ;
* les modalités opérationnelles de l’utilisation de mots de passe :
* les définitions et recommandations ;
* les modalités de l’authentification par mot de passe :
* cas n° 1 : mot de passe seul ;
* cas n° 2 : mot de passe et restriction d’accès au compte ;
* cas n° 3 : code de déverrouillage ;
* les modalités de conservation des mots de passe ;
* les modalités de changement du mot de passe et d’information des personnes, en particulier :
* le renouvellement périodique du mot de passe, avec une périodicité pertinente et raisonnable sera à définir en fonction des risques ;
* le renouvellement du mot de passe sur demande de l’utilisateur ;
* le renouvellement des mots de passe et l’information des usagers en cas de compromission ;
* la journalisation.
Il abroge la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe. Le cas d’usage n° 3 qui y était prévu, correspondant à une information secrète de 7 caractères et un mot de passe d’au moins 5 caractères, n’étant plus recommandé par la CNIL, il y a lieu pour les responsables de traitement de faire évoluer leur politique de mots de passe vers un autre cas.
Actualités
La Fédération Française des Métiers de l’Incendie (FFMI) annonce la réélection de Régis Cousin à sa présidence. Les adhérents de…
La rédaction a reçu cette tribune en faveur de la modernisation de la sécurité civile, centrée sur l’accès à…
La décision du 22 avril 2026 porte approbations d'un cahier des charges fixant les modalités du contrôle mentionné au…
La loi n° 2026-381 du 19 mai 2026 comporte diverses mesures destinées à soutenir les collectivités territoriales dans la prévention…
L'entreprise KOROYD, et le matériau qui porte son nom, sont issus d’un projet de recherche aéronautique britannique lancé dans…
Missionné par le Gouvernement pour formuler des propositions pour la sécurisation des établissements culturels à la suite du vol…
À lire également




