Aux termes de l’article 32 du RGPD,  » compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : […]

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; […]

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement « .

La rapporteure a relevé que, lors de la création d’un compte sur D., un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté. La rapporteure a considéré que de tels mots de passe, sans critère de complexité suffisant et n’étant associés à aucune mesure de sécurité complémentaire, ne permettent pas d’assurer la sécurité des données à caractère personnel traitées par la société et d’empêcher que des tiers non autorisés aient accès à ces données.

En défense, la société conteste l’analyse de la rapporteure et considère avoir mis en place des mesures permettant de garantir un niveau élevé de sécurité pour l’accès de ses utilisateurs à son système, y compris des mesures afin d’empêcher les attaques par force brute : limitation des tentatives de connexion à une par seconde ; vérification par courriel ou SMS pour valider l’identifiant lorsque la société reçoit une demande de connexion provenant d’une adresse IP située en dehors de la zone de l’adresse IP de connexion précédente ; rejet des mots de passe couramment utilisés et compromis et implémentation d’un  » captcha  » pour les connexions à partir de nouvelles plages d’adresses IP.

La société a par ailleurs apporté des modifications à ses processus de sécurité des mots de passe dans le cadre de la procédure de sanction :

– elle exige désormais des utilisateurs français qu’ils définissent des mots de passe d’une longueur minimale de huit caractères, dont au moins trois de ces caractères sont des lettres minuscules, des lettres majuscules, des chiffres ou des caractères spéciaux ;

– après dix tentatives de connexion infructueuses, la société exige la résolution d’un  » captcha « .

La formation restreinte considère que la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci. Elle relève à cet égard que la nécessité d’un mot de passe fort est également soulignée par l’Agence nationale de sécurité des systèmes d’information.

À titre d’éclairage, la formation restreinte rappelle que pour assurer un niveau de sécurité suffisant et satisfaire aux exigences de robustesse des mots de passe, si l’authentification prévoit une restriction de l’accès au compte, la CNIL recommande, dans sa délibération n° 2017-012 du 19 janvier 2017, que le mot de passe comporte au minimum huit caractères, contenant au moins trois des quatre catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) et que l’authentification fasse intervenir une restriction de l’accès au compte comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (comme un  » captcha « ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses.

En l’espèce, la formation restreinte relève qu’un un mot de passe composé de six caractères incluant des lettres et des chiffres était accepté au moment du contrôle en ligne. La formation restreinte estime qu’au regard des règles peu exigeantes encadrant leur composition, ainsi que du volume de données personnelles à protéger, la robustesse des mots de passe admis par la société était trop faible, conduisant à un risque de compromission des comptes associés et des données à caractère personnel qu’ils contiennent, et ce malgré les mesures de sécurité complémentaires mises en place avant la procédure de sanction.

Dans ces conditions, eu égard aux risques encourus par les personnes, la formation restreinte considère que les faits précités constituent un manquement à l’article 32 du RGPD, dès lors que la politique de gestion des mots de passe de la société n’était pas suffisamment robuste et contraignante pour garantir la sécurité des données, au sens de cet article.

(CNIL, délibération de la formation restreinte no SAN-2022-020 du 10 novembre 2022 concernant la société D. INC., Nos 65-73)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)