Editeurs, proposez un module Authentification RGPD pour une gestion de mots de passe conforme aux recommandations Cnil.
Les éditeurs de logiciel doivent concilier la position de la Cnil sur les modes d’authentification et les obligations du RGPD.
A la suite de nos articles « Editeurs, proposez un module d’habilitation RGPD compliant » et « Editeurs, proposez un module de monitoring des zones libres », nous poursuivons notre exploration des modules et fonctionnalités qui devraient être intégrés par les éditeurs dans leurs produits pour permettre à leurs clients de faciliter leur compliance informatique et libertés.
Dans cette série, notre présent article aborde les modules d’accès et d’authentification.
Les modules accès et authentification RGPD : une zone de risque de compliance
Le règlement (Règl. (UE) 2016/679 du 27-4-2016) à l’instar de la loi informatique et libertés fait peser sur les responsables de traitement une obligation de sécurité, qui est fonction des finalités du traitement et des risques qui pèsent sur les droits et libertés des personnes.
Le responsable de traitement doit mettre en œuvre des mesures techniques et opérationnelles « pour garantir un niveau de sécurité adapté au risque ». Ces mesures peuvent prendre des formes distinctes. Ainsi, la pseudonymisation et le chiffrement sont des mesures de sécurité mentionnées dans le texte. Mais avant tout il y a lieu pour le responsable de s’assurer que l’accès aux bases de données et aux logiciels qu’il utilise sont conforme à l’état de l’art et lui permette de répondre à son obligation de sécuriser les accès.
Recommandation de la Cnil sur les mots de passe
En matière d’accès et d’authentification, la Cnil estime que si le couple « identifiant-mot de passe » est le plus répandu, il n’est pas pour autant le plus sûr.
La Cnil fixe des modalités techniques minimales en ce qui concerne la création des mots de passe (Délib. Cnil 2017-012 du 19-1-2017). Quatre cas d’authentification sont à distinguer, en fonction desquels les règles de création des mots de passe sont plus ou moins contraignantes.
Le mot de passe pour l’accès à une messagerie électronique ou à un compte d’entreprise devra contenir au minimum 8 caractères avec au moins trois des quatre types de signes différents (minuscule, majuscule, chiffre, caractère spécial) ; l’éditeur devra rendre techniquement possible des mesures de restriction d’accès au compte telles que la temporisation d’accès au compte après plusieurs échecs, le verrouillage du compte après dix échecs ou bien l’insertion d’un captcha.
Module accès et authentification RGPD
Les éditeurs doivent adopter une démarche de protection des données dès la conception : ils doivent donc penser dès la conception d’un produit à intégrer des modules et fonctionnalités pour un accès et une authentification RGPD permettant aux responsables de traitement de respecter leurs obligations informatique et libertés.
Indépendamment de ces outils et fonctionnalités, il appartient au responsable de traitement de former, sensibiliser ses utilisateurs aux règles élémentaires de sécurité notamment en se dotant d’une charte des moyens informatiques et d’une charte administrateurs.
Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique
1) Règl. (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4-5-2016, p. 1-88).
2) Délib. Cnil n° 2017-012 du 19-1-2017 portant adoption d’une recommandation relative aux mots de passe (JORF du 27-1-2017).