La délibération n° 2017-012 de la Commission nationale de l’informatique et des libertés (Cnil) du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe a été publiée au Journal officiel du 27 janvier 2017.
Cette recommandation concerne l’ensemble des traitements de données à caractère personnel mis en uvre par des personnes publiques ou privées ayant recours à l’authentification par mot de passe, à l’exception de ceux pour lesquels des dispositions législatives ou réglementaires spécifiques fixent des prescriptions techniques particulières.
Elle fixe des modalités techniques minimales relatives à une authentification basée sur des mots de passe. En particulier, elle précise les modalités relatives à la création du mot de passe et à la gestion du compte associé, à l’authentification, à la conservation, au changement et au renouvellement du mot de passe, et à la notification de violations de données à la personne.
Les risques spécifiques qu’un traitement de données à caractère personnel peut faire peser sur la vie privée des personnes concernées peuvent exiger des mesures plus rigoureuses pour préserver la sécurité des données, telles celles concernant la gestion des mots de passe des administrateurs informatiques ou le traitement de données sensibles.