Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

2 décisions

gestion des mots de passe

Juridiction
Toutes les juridictions

CE26 avril 2022CE, 10 chambre, 26 avril 2022, Optical Center, n° 449284, Inédit., point 5(source)

Absence de contrôle régular des mesures techniques et organisationnelles prises par le sous-traitant Insuffisante robustesse de la politique de mots de passe – Manquements à l'article 32 RGPD

L'absence de contrôle régulier par un responsable du traitement d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web a pour conséquence directe la vulnérabilité du système informatique, à l'origine de la violation des données de près de 200 000 clients européens. Le manque de robustesse de la politique de mots de passe de la société, eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients, accroît l'exposition du système à un risque d'attaque informatique. Ces faits sont de nature à caractériser un manquement aux dispositions de l’article 32 du RGPD.

CNIL30 novembre 2022CNIL, FR, 30 novembre 2022, Sanction, Société X, n° SAN-2022-022, publié, points 55, 57(source)

Caractère suffisant des mesures de sécurité 1) Critères d'appréciation – 2) Exigences de robustesse des mots de passe – Mesure de sécurité complémentaire

1) Il résulte des dispositions de l'article 32 du RGPD que le responsable de traitement est tenu de s'assurer que le traitement automatisé de données qu'il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s'apprécie, d'une part, au regard des caractéristiques du traitement et des risques qu'il induit ; d'autre part, en tenant compte de l'état des connaissances et du coût des mesures. La mise en place d'une politique d'authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l'article 32 du RGPD.

2) La Commission recommande que, pour satisfaire aux exigences de robustesse des mots de passe et assurer un niveau de sécurité suffisant, lorsque l'authentification repose, comme en l'espèce, sur un identifiant et un mot de passe sans mise en place d'une mesure de sécurité complémentaire, le mot de passe comporte au minimum douze caractères et contienne au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. À défaut, la Commission recommande qu'un mot de passe comporte au moins huit caractères, contenant trois des quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux), à condition qu'il s'accompagne d'une mesure de sécurité complémentaire afin d'assurer un niveau de sécurité et de confidentialité suffisant.