Par Anne-Laure Villedieu, avocat associé, CMS Bureau Francis Lefebvre

L’association d’un identifiant à un mot de passe secret est le moyen d’authentification le plus répandu dans le cadre du contrôle d’accès à une ressource numérique, bien qu’elle n’offre pas un niveau de sécurité équivalent à celui de l’authentification à double facteur ou des certificats électroniques. Or, les internautes ont tendance à utiliser le même mot de passe pour se connecter à divers services, ce qui rend encore plus cruciale la question de la sécurité de ces mots de passe.

En effet, la loi Informatique et libertés impose au responsable de traitement de prendre toutes mesures utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher qu’elles ne soient déformées ou endommagées ou que des tiers non autorisés y aient accès. La CNIL a donc établi un référentiel technique définissant un niveau de sécurité minimal en matière de gestion des mots de passe, qu’elle propose aux professionnels.

Ce référentiel vaut pour tout traitement de données personnelles mis en œuvre par des personnes publiques ou privées ayant recours à l’authentification par mot de passe, à l’exception de ceux soumis à des prescriptions techniques particulières. Cependant, il ne constitue qu’un standard minimal, des mesures plus rigoureuses devant être mises en œuvre lorsque le traitement lui-même ou les données traitées présentent des risques spécifiques.

1. Création du mot de passe

La CNIL considère que la taille minimale et la complexité d’un mot de passe doivent être imposées par le responsable de traitement. Celui-ci devra donc contraindre l’utilisateur dans le choix d’un mot de passe de taille et de complexité suffisantes.