CNIL24 novembre 2022CNIL, FR, 24 novembre 2022, Sanction, Société X, n° SAN-2022-021, publié, point 62(source)
Caractère suffisant des mesures de sécurité – Critères d'appréciation – Politique d'authentification robuste – Stockage – Fonction de hachage MD5 – Possible manquement aux obligations de l'article 32 du RGPD
Le responsable de traitement est tenu de s'assurer que le traitement automatisé de données qu'il met en œuvre est suffisant. Le caractère suffisant des mesures de sécurité s'apprécie d'une part, au regard des caractéristiques du traitement et des risques qu'il induit, d'autre part, en tenant compte de l'état de connaissances et du coût des mesures. La mise en place d’une politique d'authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l'article 32 du RGPD. Ainsi, il est nécessaire de veiller à ce qu'un mot de passe permettant de s'authentifier sur un système ne puisse pas être divulgué. Le recours à la fonction de hachage MD5 pour stocker des mots de passe n'est plus considéré comme à l'état de l'art depuis 2004. Son utilisation en cryptographie ou en sécurité est susceptible de constituer un manquement aux obligations de l'article 32 du RGPD.