Parole pentru utilizatorii de internet: sancțiunile CNIL

CNIL sancționează companiile care nu asigură securitatea și confidențialitatea datelor personale ale utilizatorilor de internet în temeiul articolului 34 din Legea privind protecția datelor.

Într-un articol dedicat configurării unei parole de către utilizatorul de internet, CNIL consideră că o parolă sigură „trebuie să fie suficient de lungă și să aibă cel puțin opt caractere (...), trebuie să fie compusă din cel puțin trei diferite tipuri de caractere dintre cele patru tipuri de caractere existente (majuscule, minuscule, numere și caractere speciale) și nu trebuie să aibă nicio legătură cu titularul său ”.[1]Pe de altă parte, CNIL recomandă „reînnoirea” parolei la fiecare șase luni și să fie diferită de parolele anterioare.

În acest sens, CNIL pedepsește companiile care nu asigură securitatea parolelor utilizatorilor de internet.

articolul 34 din Legea privind protecția datelor afirmă că:

„Controlerul este necesar pentru a lua toate măsurile de precauție utile, în ceea ce privește natura datelor și riscurile prezentate de prelucrare, pentru a păstra securitatea datelor si in special, împiedicați-le să fie distorsionate, deteriorate sau accesate de terțe părți neautorizate (.)". [2]

Într-adevăr, compania și, mai precis, operatorul de date în ceea ce privește articolul 3 I din lege,[3] trebuie să garanteze confidențialitatea datelor personale ale utilizatorilor. Această datorie de a asigura securitatea parolelor se reflectă în diferite moduri, și anume: stabilirea unei politici de „robustețe” a parolelor clienților, absența conservării parolelor acestora, necomunicarea de către companie a utilizatorului de internet parolele prin telefon, de exemplu, sau obligația companiei de a reînnoi parola clienților săi la fiecare șase luni.

CNIL a emis avertismente sau notificări oficiale sau a sancționat diverse companii care nu și-au îndeplinit obligația de a asigura securitatea și confidențialitatea datelor cu caracter personal ale utilizatorilor de internet, în conformitate cu articolul 34 din Legea privind prelucrarea datelor și libertăți. [4]

Sancțiunile pronunțate împotriva companiei OPTICAL CENTER [5] și a companiei LOC CAR DREAM, [6] avertismentul companiei REGIME COACH [7] sau chiar mai recent a notificării oficiale a FACEBOOK, [8] ilustrează perfect fermitatea CNIL în ceea ce privește încălcarea acestei obligații de securitate și confidențialitate a datelor.

În cazul CENTRULUI OPTIC, după înștiințare oficială, CNIL a impus companiei o penalitate financiară în valoare de 50.000 de euro. Pe lângă celelalte presupuse încălcări, CNIL a remarcat lipsa îmbunătățirii „robusteții” parolelor clienților companiei și lipsa reînnoirii parolelor acestora. [9]

De asemenea, Comisia a impus companiei LOC CAR DREAM o penalitate financiară în valoare de 5.000 de euro. CNIL a menționat aici „securitatea sistemului de autentificare pus în aplicare de companie nu este conformă cu cerințele Comisiei referitoare la politica care trebuie adoptată și implementată de operatorii de date în ceea ce privește gestionarea parolelor. Într-adevăr, dacă parola utilizată pentru accesul la software-ul de geolocalizare conține un număr satisfăcător de caractere alfanumerice, nu a fost niciodată modificată în mai mult de doi ani, în timp ce trebuie reînnoită în mod regulat și, în plus, nu a fost proiectată cu o complexitate suficientă înseamnă să includem cel puțin trei dintre următoarele patru caractere: litere majuscule alfabetice, minuscule, numerice și speciale ". [10]

Într-un alt caz REGIME COACH, CNIL a stabilit că compania păstra parolele clienților săi în bazele sale de date și a emis un avertisment împotriva acesteia. [11]

În cele din urmă, mai recent, CNIL a pus rețeaua socială Facebook la dispoziție pentru a se conforma Legii privind protecția datelor. Printre cele nouă presupuse încălcări, CNIL a remarcat o încălcare a obligației de a asigura securitatea datelor. Într-adevăr, Comisia constată că Facebook oferă membrilor săi doar alegerea unei parole care conține mai mult de șase caractere, ceea ce este unic și greu de ghicit. Pe de altă parte, CNIL notează că este posibil ca un utilizator de Internet să introducă ca parolă „1234567a”. [12]

Astfel, companiile care oferă un serviciu publicului trebuie să adopte politici interne de securitate a parolelor care respectă cerințele CNIL pentru a nu eșua în obligația de securitate prevăzută de articolul 34 din lege.[13]

În acest sens, este probabil ca CNIL să modeleze și să-și modifice încă o dată recomandările de parolă pentru a se adapta la contextul actual: tot mai multe atacuri cibernetice. Cu toate acestea, consecințele acestora asupra confidențialității utilizatorilor nu sunt lipsite de riscuri: cazul Ashley Madison este un exemplu printre multe altele (din păcate) ...

[1] Comisia Națională pentru Calcul și Libertăți (CNIL), Construiți o parolă sigură și gestionați lista codurilor de acces, 11 martie 2014,

(consultat online 29 februarie 2016).

[2] Legea privind protecția datelor din 1978, art. 34.