Aux termes de l’article 32, paragraphe 1, du RGPD :

 » Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; »

Sur les mots de passe d’accès aux comptes clients :

Le rapporteur, pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article 32 du RGPD, se fonde d’abord sur le fait que le mot de passe généré aléatoirement par la société lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe, est d’une longueur de huit caractères et peut comporter uniquement un même type de caractères. Ensuite, le rapporteur relève que l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société était stocké en clair dans la base de données des abonnés de la société […]. Enfin, le rapporteur relève que la délégation a été informée que le mot de passe qui est généré lors de la création d’un compte utilisateur sur le site web de la société est transmis par courrier électronique ou postal à l’utilisateur et indiqué en clair dans le corps du message. De même, le rapporteur relève qu’il ressort de trois saisines émanant de Messieurs […] (plainte n° 19018181), […] (plainte n° 18023964) et […] (plainte n° 19013170) que le mot de passe qui est associé au compte de messagerie électronique  » […].fr  » est transmis par courrier électronique ou postal à l’utilisateur et indiqué en clair dans le corps du message.

En défense, la société fait valoir qu’en tant que responsable de traitement, elle est libre de choisir les mesures de sécurité à mettre en place. Elle soutient en ce sens que les recommandations de la CNIL ou de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) citées dans le rapport n’ont aucun caractère impératif. Dès lors, la société considère qu’aucun manquement ne peut être retenu en l’absence d’une  » violation de données ayant affecté l’accès à l’espace abonné « .

La société fait ensuite notamment valoir qu’à l’époque des opérations de contrôle, les abonnés étaient incités à modifier leur mot de passe sur leur espace abonné. Elle indique, en outre, que le mot de passe initial qu’elle a attribué présente un niveau de robustesse élevé et que l’espace abonné permet uniquement d’accéder à des informations  » basiques  » et non à des informations sensibles. Enfin, la société a annoncé avoir pris plusieurs mesures pour se mettre en conformité avec les obligations découlant de l’article 32 du RGPD s’agissant de la sécurité relative aux mots de passe via le renforcement de la robustesse des mots de passe générés ou créés par la société et le renouvellement obligatoire des mots de passe lors d’une procédure de récupération ou dès la première connexion. La société indique également avoir cessé de stocker en clair des mots de passe au sein de la base de données et d’avoir cessé de communiquer des mots de passe en clair (notamment, via l’arrêt de la transmission des mots de passe des nouveaux abonnés en clair par courriel, la création, par les nouveaux abonnés, de leur mot de passe, qui devra être conforme aux préconisations de la CNIL en la matière et la suppression des formulaires au format papier devant être remplis puis adressés par voie postale pour obtenir la suppression d’un compte  » […] accès gratuit  » dans lequel la communication du mot de passe en clair était préalablement requise).

La formation restreinte considère qu’en l’espèce, la procédure d’authentification ainsi que les modalités de stockage et de transmission des mots de passe mises en œuvre par la société ne sont pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers.

Il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s’apprécie, d’une part, au regard des caractéristiques du traitement et des risques qu’il induit, d’autre part, en tenant compte de l’état de connaissances et du coût des mesures. La mise en place d’une politique d’authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l’article 32 du RGPD. Malgré le caractère non impératif de la délibération n° 2017-012 du 19 janvier 2017 ayant pour objet d’apporter des recommandations relatives aux mots de passe, du guide de la CNIL relatif à la sécurité des données à caractère personnel et de la note technique de l’ANSSI relative aux mots de passe cités dans le rapport, ces derniers exposent des précautions élémentaires de sécurité correspondant à l’état de l’art et constituent ainsi un éclairage pertinent pour apprécier la suffisance des mesures mises en place par un responsable de traitement.

En l’espèce, s’agissant de la procédure d’authentification, la formation restreinte considère que l’utilisation d’un mot de passe court ou simple sans imposer de catégories spécifiques de caractères et sans mesure de sécurité complémentaire, peut conduire à des attaques par des tiers non autorisés telles que des attaques par  » force brute  » ou  » par dictionnaire « , qui consistent à tester successivement et de façon systématique de nombreux mots de passe et conduisent, ainsi, à une compromission des comptes associés et des données à caractère personnel qu’ils contiennent. Les mesures de blocage ont pour objectif de limiter ces types d’attaques.

La formation restreinte relève que la Commission recommande dans sa délibération n° 2017-012 du 19 janvier 2017 – qui n’a certes pas un caractère impératif mais qui fournit un éclairage pertinent sur les mesures qu’il convient de prendre en matière de sécurité – que, pour satisfaire aux exigences de robustesse des mots de passe et assurer un niveau de sécurité suffisant, lorsque l’authentification repose, comme en l’espèce, sur un identifiant et un mot de passe, sans mise en place d’une mesure de sécurité complémentaire, le mot de passe doit comporter au minimum douze caractères et contenir au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. Lorsque le mot de passe comporte huit caractères, contenant trois des quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux), il doit s’accompagner d’une mesure de sécurité complémentaire afin d’assurer un niveau de sécurité et de confidentialité suffisant.

La formation restreinte relève que la nécessité d’un mot de passe fort est également soulignée par l’ANSSI, qui précise qu’ » un bon mot de passe est avant tout un mot de passe fort, c’est à dire difficile à retrouver même à l’aide d’outils automatisés. La force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant. En effet, un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules « .

Par conséquent, en l’espèce, la formation restreinte considère qu’eu égard au volume et à la nature des données à caractère personnel pouvant être contenues dans les millions de comptes d’abonnés (notamment les nom, prénom, numéro de ligne fixe, numéro de téléphone mobile, adresse électronique et factures), l’imposition par cette dernière de mots de passe de connexion aux comptes des clients, composés uniquement de huit caractères, pouvant être d’une seule catégorie de caractères, sans mesure de sécurité complémentaire, ainsi que l’acceptation de leur renouvellement selon ces mêmes modalités, ne permet pas d’assurer la sécurité des données à caractère personnel traitées par la société ni d’empêcher que des tiers non autorisés aient accès aux données à caractère personnel des clients.

S’agissant de la procédure de stockage en clair des mots de passe, la formation restreinte constate que toute personne ayant accès à la base de données des clients de la société […] – qu’il s’agisse des administrateurs des systèmes d’information au sein de la société ou d’un attaquant en cas de compromission de celle-ci – pouvait directement collecter les identifiants et mots de passe en clair de chacun des abonnés et ainsi accéder aux informations contenues dans leurs comptes, puis éventuellement les modifier, tenter d’accéder à d’autres comptes de services au moyen de ces identifiants (les mêmes identifiants et mots de passe étant souvent utilisés sur plusieurs services) ou, encore, revendre ces derniers à d’autres attaquants.

S’agissant de la transmission du mot de passe en clair, le fait que ces éléments soient transmis en clair via un simple courrier électronique ou postal, les rend aisément et immédiatement utilisables par un tiers qui les intercepterait ou aurait un accès indu à la messagerie électronique de l’utilisateur, dès lors que ces mots de passe n’ont pas une durée limitée ou que leur modification n’est pas exigée lors de la première utilisation. Ce tiers pourrait alors, non seulement accéder à toutes les données à caractère personnel présentes dans le compte utilisateur […] de la personne concernée (nom, prénom, numéro de téléphone […], adresse postale et adresse électronique) mais également télécharger ses factures et le relevé de ses consommations, procéder à la modification du mot de passe, de l’adresse de messagerie électronique ou encore des options du compte. Compte tenu de ces conséquences potentielles pour la protection des données à caractère personnel et de la vie privée des personnes, la formation restreinte considère que les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes.

La formation restreinte retient que des manquements aux obligations qui découlent de l’article 32 du RGPD sont ainsi constitués en raison de l’insuffisante robustesse des mots de passe ainsi que de leur stockage et transmission en clair aux abonnés de la société.

Elle relève que, dans le cadre de la présente procédure, la société a justifié avoir pris des mesures pour se mettre en conformité avec les obligations découlant de l’article 32 du RGPD.

(CNIL, Délibération SAN-2022-022 du 30 novembre 2022, N 50-63 ; texte disponible ici https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046693390?init=true&page=1&query=san-2022-022&searchField=ALL&tab_selection=all)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)