Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés et abrogeant la délibération n° 2017-012 du 19 janvier 2017

JO du 16 octobre 2022

A travers ce texte, la Commission nationale de l’informatique et des libertés (CNIL) adopte une recommandation définissant les nouvelles exigences techniques et organisationnelles minimales pour les authentifications par mot de passe ou par tout autre secret non partagé (à l’exception des clés et secrets cryptographiques) mis en œuvre dans le cadre de traitements de données à caractère personnel.

Ces dispositions, qui n’ont pas un caractère normatif, correspondent à l’état de l’art auquel tout responsable de traitement devrait se conformer pour satisfaire aux obligations du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mots de passe pour protéger un traitement. Les acteurs peuvent mettre en œuvre d’autres mesures de sécurité s’ils peuvent démontrer qu’elles garantissent un niveau de sécurité au moins équivalent.

Le texte présente successivement :

* les recommandations générales en matière de sécurité des mots de passe (longueur et complexité suffisantes, dispositions permettant de préserver la sécurité du mot de passe tout au long de son cycle de vie) ;
* la gouvernance ;
* les modalités opérationnelles de l’utilisation de mots de passe :
* les définitions et recommandations ;
* les modalités de l’authentification par mot de passe :
* cas n° 1 : mot de passe seul ;
* cas n° 2 : mot de passe et restriction d’accès au compte ;
* cas n° 3 : code de déverrouillage ;
* les modalités de conservation des mots de passe ;
* les modalités de changement du mot de passe et d’information des personnes, en particulier :
* le renouvellement périodique du mot de passe, avec une périodicité pertinente et raisonnable sera à définir en fonction des risques ;
* le renouvellement du mot de passe sur demande de l’utilisateur ;
* le renouvellement des mots de passe et l’information des usagers en cas de compromission ;
* la journalisation.

Il abroge la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe. Le cas d’usage n° 3 qui y était prévu, correspondant à une information secrète de 7 caractères et un mot de passe d’au moins 5 caractères, n’étant plus recommandé par la CNIL, il y a lieu pour les responsables de traitement de faire évoluer leur politique de mots de passe vers un autre cas.