Le recours à la fonction SHA‑1 pour le hachage des mots de passe n’est plus considéré comme conforme à l’état de l’art, ainsi qu’il ressort en particulier du guide de sélection d’algorithmes cryptographiques édité par l’ANSSI, daté du 8 mars 2021, qui indique que celle‑ci est « proscrite pour une utilisation générale ». En l’état actuel de la technique, la CNIL a établi des recommandations spécifiques dans son guide au profit des développeurs, en recommandant de stocker les mots de passe sous forme de hachage (hash) au moyen d’une bibliothèque éprouvée, comme Argon2, yescrypt, scrypt, balloon, bcrypt et, dans une moindre mesure, PBKDF2. En conséquence, l’utilisation en l’espèce d’une fonction obsolète pour procéder au hachage des mots de passe est en principe constitutive d’un manquement aux obligations de l’article 32 du RGPD.

L'article 67 de la loi n°2021-344 du 17 mars 2014 relative à la consommation crée un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, dénommé « registre national des crédits aux particuliers ». Par la création de ce registre, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement. Toutefois, ce registre est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation mais également d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre. Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.