[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f_pmmiuQKRG7j1cRK1_rJYpRFrnfg0Xs2s_7oP0KAE84":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":4,"state":15,"author":16,"authorId":17,"datePublication":21,"dateCreation":22,"dateUpdate":22,"mainCategory":23,"categories":38,"metaDatas":86,"imageUrl":94,"imageThumbUrls":95,"id":103},true,"La CNIL a mis à jour le 17 octobre 2022 sa recommandation sur les mots de passe un an après l'ANSSI et 5 ans après sa première recommandation.\r\n\r\n## Une évolution nécessaire\r\n\r\nDans un contexte de multiplication des compromissions de bases de mots de passe, cette nouvelle [**recommandation**](https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite) permet ainsi aux organismes de garantir un niveau de sécurité adéquat. En effet, D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. Par ailleurs, en France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe. \r\n\r\nQuatre **facteurs de risque** sont ainsi identifiés par la [**CNIL**](https://www.dastra.eu/fr/category/cnil/9) : \r\n* la **simplicité** du mot de passe ;\r\n* l’**écoute sur le réseau** afin de collecter les mots de passe transmis ;\r\n* la **conservation en clair** du mot de passe ;\r\n* la **faiblesse des modalités de renouvellement** du mot de passe en cas d’oubli (cas des questions « secrètes »).\r\n\r\n## Une obligation du RGPD\r\n\r\nUn an après [**l'avoir annoncé**](https://www.dastra.eu/fr/article/cybermois-la-cnil-va-mettre-a-jour-ses-recommandations-sur-les-mots-de-passe/37558), la CNIL actualise sa recommandation et redéfinit les [**mesures de sécurité**](https://www.dastra.eu/fr/article/security/446) de bases qui devraient constituer le **socle minimal applicable à l’ensemble des organismes**. En parallèle, il est important de souligner que d’autres mesures de sécurité peuvent être mises en œuvre comme [**l'authentification**](https://www.dastra.eu/fr/article/authentification/38562) à double facteur ou les certificats électroniques, offrant, par ailleurs, davantage de sécurité que le mot de passe. En tout état de cause, les acteurs doivent être en capacité de démontrer que les mesures adoptées garantissent un niveau de sécurité au moins équivalent à celles prévues dans la recommandation. \r\n\r\nLa CNIL rappelle également que si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un [**sous-traitant**](https://www.dastra.eu/fr/article/sous-traitant/388), il est nécessaire de s’assurer du **respect des conditions posées à l’article 28 du RGPD**. En outre, si les simples éditeurs de logiciels ne sont pas directement [**responsables de traitement**](https://www.dastra.eu/fr/article/responsable-de-traitement/392) de données mis en oeuvre par leurs clients, les utilisateurs doivent se mettre en conformité. Ainsi, il doivent proposer des mesures permettant de répondre à ces obligations de sécurité et en particulier la possibilité de configurer les exigences relatives aux mots de passe. \r\n\r\nEn pratique, la CNIL propose des **mesures concrètes** liées aux mots de passe. Pour cela, elle rappelle qu’il n’existe pas de définition universelle mais qu’il doit être avant tout difficile à deviner. Pour cela, il est recommandé de prendre en compte sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (force brute).\r\n\r\n## Une refonte de la recommandation\r\n\r\nL’une des premières recommandations actualisées vise le **degré de complexité du mot de passe (l’entropie)** afin d’ajuster la recommandation de 2017 qui définissait des seuils en termes de nombre de caractères et de complexité de chaque mot de passe, jugée in fine peu flexible. Ce nouveau caractère d’entropie, qui peut être défini dans ce contexte comme la quantité de hasard, permet quant à lui de comparer la robustesse de différentes politiques de mots de passe. Ainsi, il devrait **idéalement être généré aléatoirement**. Par ailleurs, si la CNIL insiste sur la « devinabilité » des mots de passe, consistant à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné, elle souligne aussi l’absence d’outils à disposition des utilisateurs francophones à l’heure actuelle.  \r\n\r\nEnsuite, la CNIL recommande le **retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité** sur le mot de passe (cas 3 de la recommandation de 2017).\r\n\r\nÉgalement, la CNIL **préconise l’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques** (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus). En effet, forcer l’utilisateur à changer son mot de passe à une fréquence régulière, serait inefficace voire dommageable puisque celui-ci utiliserait une version légèrement modifiée de leur mot de passe précédent, abaissant ainsi le niveau de sécurité effectif. Cette position est également celle de l’ANSSI, telle qu’indiquée en 2021 dans son guide « [**Recommandations relatives à l’authentification multifacteur et aux mots de passe**](https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf) ». \r\n\r\n## L'obligation de notifier la CNIL en cas de compromission\r\n\r\nPar ailleurs, il est rappelé qu’en cas de compromission du mot de passe, le responsable de traitement doit [notifier la CNIL de la violation de données](https://www.dastra.eu/fr/guide/replay-webinar-les-violations-de-donnees/52012) **dans un délai n’excédant pas 72 heures**. Il doit en outre imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion et lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.\r\n\r\n## Des sanctions réelles\r\n\r\nPour finir, il est important de souligner les risques engendrés pour l’organisme dans l’hypothèse où le niveau de sécurité des données serait inadéquat. Bien qu’il s’agisse d’une **obligation de moyen, apprécié in concreto**, si des manquements graves aux principes de sécurité sont constatées par la CNIL lors d’un contrôle, elle peut ensuite mobiliser l’ensemble de sa chaîne répressive et **prononcer des sanctions jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 €**. \r\n\r\n[**Le GIE Infogreffe a récemment été sanctionné par la CNIL**](https://www.dastra.eu/fr/article/infogreffe-sanction-de-250-000-euros-par-la-cnil/52722) à hauteur de 250 000 € d’amende pour mauvaise gestion des mots de passe des utilisateurs du site infogreffe.fr. La CNIL a rappelé dans cette décision de sanction qu’il n’est pas nécessaire qu’une violation de données ait été commise pour que le manquement soit sanctionné. \r\n\r\n \r\n\r\n","\u003Cp>La CNIL a mis à jour le 17 octobre 2022 sa recommandation sur les mots de passe un an après l'ANSSI et 5 ans après sa première recommandation.\u003C/p>\r\n\u003Ch2 id=\"une-evolution-necessaire\">Une évolution nécessaire\u003C/h2>\r\n\u003Cp>Dans un contexte de multiplication des compromissions de bases de mots de passe, cette nouvelle \u003Ca href=\"https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite\" rel=\"nofollow\">\u003Cstrong>recommandation\u003C/strong>\u003C/a> permet ainsi aux organismes de garantir un niveau de sécurité adéquat. En effet, D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. Par ailleurs, en France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.\u003C/p>\r\n\u003Cp>Quatre \u003Cstrong>facteurs de risque\u003C/strong> sont ainsi identifiés par la \u003Ca href=\"https://www.dastra.eu/fr/category/cnil/9\">\u003Cstrong>CNIL\u003C/strong>\u003C/a> :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>la \u003Cstrong>simplicité\u003C/strong> du mot de passe ;\u003C/li>\r\n\u003Cli>l’\u003Cstrong>écoute sur le réseau\u003C/strong> afin de collecter les mots de passe transmis ;\u003C/li>\r\n\u003Cli>la \u003Cstrong>conservation en clair\u003C/strong> du mot de passe ;\u003C/li>\r\n\u003Cli>la \u003Cstrong>faiblesse des modalités de renouvellement\u003C/strong> du mot de passe en cas d’oubli (cas des questions « secrètes »).\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"une-obligation-du-rgpd\">Une obligation du RGPD\u003C/h2>\r\n\u003Cp>Un an après \u003Ca href=\"https://www.dastra.eu/fr/article/cybermois-la-cnil-va-mettre-a-jour-ses-recommandations-sur-les-mots-de-passe/37558\">\u003Cstrong>l'avoir annoncé\u003C/strong>\u003C/a>, la CNIL actualise sa recommandation et redéfinit les \u003Ca href=\"https://www.dastra.eu/fr/article/security/446\">\u003Cstrong>mesures de sécurité\u003C/strong>\u003C/a> de bases qui devraient constituer le \u003Cstrong>socle minimal applicable à l’ensemble des organismes\u003C/strong>. En parallèle, il est important de souligner que d’autres mesures de sécurité peuvent être mises en œuvre comme \u003Ca href=\"https://www.dastra.eu/fr/article/authentification/38562\">\u003Cstrong>l'authentification\u003C/strong>\u003C/a> à double facteur ou les certificats électroniques, offrant, par ailleurs, davantage de sécurité que le mot de passe. En tout état de cause, les acteurs doivent être en capacité de démontrer que les mesures adoptées garantissent un niveau de sécurité au moins équivalent à celles prévues dans la recommandation.\u003C/p>\r\n\u003Cp>La CNIL rappelle également que si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un \u003Ca href=\"https://www.dastra.eu/fr/article/sous-traitant/388\">\u003Cstrong>sous-traitant\u003C/strong>\u003C/a>, il est nécessaire de s’assurer du \u003Cstrong>respect des conditions posées à l’article 28 du RGPD\u003C/strong>. En outre, si les simples éditeurs de logiciels ne sont pas directement \u003Ca href=\"https://www.dastra.eu/fr/article/responsable-de-traitement/392\">\u003Cstrong>responsables de traitement\u003C/strong>\u003C/a> de données mis en oeuvre par leurs clients, les utilisateurs doivent se mettre en conformité. Ainsi, il doivent proposer des mesures permettant de répondre à ces obligations de sécurité et en particulier la possibilité de configurer les exigences relatives aux mots de passe.\u003C/p>\r\n\u003Cp>En pratique, la CNIL propose des \u003Cstrong>mesures concrètes\u003C/strong> liées aux mots de passe. Pour cela, elle rappelle qu’il n’existe pas de définition universelle mais qu’il doit être avant tout difficile à deviner. Pour cela, il est recommandé de prendre en compte sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (force brute).\u003C/p>\r\n\u003Ch2 id=\"une-refonte-de-la-recommandation\">Une refonte de la recommandation\u003C/h2>\r\n\u003Cp>L’une des premières recommandations actualisées vise le \u003Cstrong>degré de complexité du mot de passe (l’entropie)\u003C/strong> afin d’ajuster la recommandation de 2017 qui définissait des seuils en termes de nombre de caractères et de complexité de chaque mot de passe, jugée in fine peu flexible. Ce nouveau caractère d’entropie, qui peut être défini dans ce contexte comme la quantité de hasard, permet quant à lui de comparer la robustesse de différentes politiques de mots de passe. Ainsi, il devrait \u003Cstrong>idéalement être généré aléatoirement\u003C/strong>. Par ailleurs, si la CNIL insiste sur la « devinabilité » des mots de passe, consistant à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné, elle souligne aussi l’absence d’outils à disposition des utilisateurs francophones à l’heure actuelle.\u003C/p>\r\n\u003Cp>Ensuite, la CNIL recommande le \u003Cstrong>retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité\u003C/strong> sur le mot de passe (cas 3 de la recommandation de 2017).\u003C/p>\r\n\u003Cp>Également, la CNIL \u003Cstrong>préconise l’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques\u003C/strong> (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus). En effet, forcer l’utilisateur à changer son mot de passe à une fréquence régulière, serait inefficace voire dommageable puisque celui-ci utiliserait une version légèrement modifiée de leur mot de passe précédent, abaissant ainsi le niveau de sécurité effectif. Cette position est également celle de l’ANSSI, telle qu’indiquée en 2021 dans son guide « \u003Ca href=\"https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf\" rel=\"nofollow\">\u003Cstrong>Recommandations relatives à l’authentification multifacteur et aux mots de passe\u003C/strong>\u003C/a> ».\u003C/p>\r\n\u003Ch2 id=\"lobligation-de-notifier-la-cnil-en-cas-de-compromission\">L'obligation de notifier la CNIL en cas de compromission\u003C/h2>\r\n\u003Cp>Par ailleurs, il est rappelé qu’en cas de compromission du mot de passe, le responsable de traitement doit \u003Ca href=\"https://www.dastra.eu/fr/guide/replay-webinar-les-violations-de-donnees/52012\">notifier la CNIL de la violation de données\u003C/a> \u003Cstrong>dans un délai n’excédant pas 72 heures\u003C/strong>. Il doit en outre imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion et lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.\u003C/p>\r\n\u003Ch2 id=\"des-sanctions-reelles\">Des sanctions réelles\u003C/h2>\r\n\u003Cp>Pour finir, il est important de souligner les risques engendrés pour l’organisme dans l’hypothèse où le niveau de sécurité des données serait inadéquat. Bien qu’il s’agisse d’une \u003Cstrong>obligation de moyen, apprécié in concreto\u003C/strong>, si des manquements graves aux principes de sécurité sont constatées par la CNIL lors d’un contrôle, elle peut ensuite mobiliser l’ensemble de sa chaîne répressive et \u003Cstrong>prononcer des sanctions jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 €\u003C/strong>.\u003C/p>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/article/infogreffe-sanction-de-250-000-euros-par-la-cnil/52722\">\u003Cstrong>Le GIE Infogreffe a récemment été sanctionné par la CNIL\u003C/strong>\u003C/a> à hauteur de 250 000 € d’amende pour mauvaise gestion des mots de passe des utilisateurs du site infogreffe.fr. La CNIL a rappelé dans cette décision de sanction qu’il n’est pas nécessaire qu’une violation de données ait été commise pour que le manquement soit sanctionné.\u003C/p>\r\n",null,1060,6,"Des nouvelles règles pour les mots de passe",0,"fr","des-nouvelles-regles-pour-les-mots-de-passe","La CNIL met à jour sa recommandation de 2017 sur les mots de passe afin de tenir compte de l’évolution des connaissances en la matière.","Published",{"id":17,"displayName":18,"avatarUrl":19,"bio":7,"blogUrl":7,"color":7,"userId":17,"creationDate":20},3235,"Margaux Morel","https://static.dastra.eu/tenant-3/avatar/3235/margaux-2-150.jpg","2022-10-03T12:31:46","2022-10-18T07:37:00","2022-10-18T07:37:06.7657123",{"id":24,"name":25,"description":26,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":29},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[30,32,35],{"lang":12,"name":25,"description":31},"Une liste d'articles rédigés par la communauté",{"lang":33,"name":25,"description":34},"es","Una lista de artículos escritos por la comunidad",{"lang":36,"name":25,"description":37},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[39,44,65],{"id":24,"name":25,"description":26,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":40},[41,42,43],{"lang":12,"name":25,"description":31},{"lang":33,"name":25,"description":34},{"lang":36,"name":25,"description":37},{"id":45,"name":46,"description":47,"url":48,"color":49,"parentId":24,"count":7,"imageUrl":7,"parent":50,"order":11,"translations":55},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":24,"name":25,"description":26,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":51},[52,53,54],{"lang":12,"name":25,"description":31},{"lang":33,"name":25,"description":34},{"lang":36,"name":25,"description":37},[56,59,62],{"lang":12,"name":57,"description":58},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":33,"name":60,"description":61},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":36,"name":63,"description":64},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",{"id":66,"name":67,"description":68,"url":69,"color":70,"parentId":24,"count":7,"imageUrl":7,"parent":71,"order":76,"translations":77},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":24,"name":25,"description":26,"url":27,"color":28,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":72},[73,74,75],{"lang":12,"name":25,"description":31},{"lang":33,"name":25,"description":34},{"lang":36,"name":25,"description":37},5,[78,80,83],{"lang":12,"name":67,"description":79},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":36,"name":81,"description":82},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":33,"name":84,"description":85},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[87,90],{"typeMetaDataId":24,"value":88,"id":89},"https://www.cnil.fr/sites/default/files/atoms/files/deliberation-2022-100-du-21-juillet-2022_recommandation-aux-mots-de-passe.pdf\t",105084,{"typeMetaDataId":91,"value":92,"id":93},3,"Lien vers la recommandation",105085,"https://static.dastra.eu/content/dbb8b30f-3584-4948-9664-68f8dc4bf442/cnil-1000.jpg",[96,97,98,99,100,101,102],"https://static.dastra.eu/content/dbb8b30f-3584-4948-9664-68f8dc4bf442/cnil-1000.webp","https://static.dastra.eu/content/dbb8b30f-3584-4948-9664-68f8dc4bf442/cnil.webp","https://static.dastra.eu/content/dbb8b30f-3584-4948-9664-68f8dc4bf442/cnil-1500.webp","https://static.dastra.eu/content/dbb8b30f-3584-4948-9664-68f8dc4bf442/cnil-800.webp","https://static.dastra.eu/content/dbb8b30f-3584-4948-9664-68f8dc4bf442/cnil-600.webp","https://static.dastra.eu/content/dbb8b30f-3584-4948-9664-68f8dc4bf442/cnil-300.webp","https://static.dastra.eu/content/dbb8b30f-3584-4948-9664-68f8dc4bf442/cnil-100.webp",52851]