Accès à des données personnelles non publiques - Utilisation de compte partagés – 1) Cas général – Manquement en principe – 2) Cas des administrateurs – Manquement grave en principe

1) Au titre des mesures élémentaires de sécurité, il est en principe nécessaire que l'accès à un système d'information contenant des données à caractère personnel qui n'ont pas vocation à être publiées se fasse à travers un compte individuel, auquel l'utilisateur se connecte par un identifiant et un facteur d'authentification propres. En effet, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système. Les comptes partagés rendent beaucoup plus difficile l'imputabilité d'une action et compliquent le travail d'investigation en cas d'incident de sécurité ou de violation de données.

Par ailleurs, s'agissant des mots de passe, conformément aux règles élémentaires relatives à la sécurité des systèmes d'information, un mot de passe doit, pour être efficace, demeurer secret et individuel. Or, lorsqu'un compte est partagé entre plusieurs personnes, cette règle n'est plus respectée.

2) Cette exigence d'individualisation des comptes présente une acuité particulière s'agissant des administrateurs, qui disposent de droits plus étendus sur les données à caractère personnel traitées par le système, ce qui en fait des cibles d'attaque informatique et rend nécessaire de pouvoir détecter rapidement et efficacement une violation de données réalisée par l'un d'entre eux. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d'administration, des mesures complémentaires doivent être mises en œuvre pour assurer l'imputabilité des actions (ex.: bastion, main courante…) et assurer la protection du secret.

L'absence de telles mesures et/ou d'individualisation des comptes est susceptible de constituer un manquement à l'article 32 du RGPD.