Réponse de l'Enssib
Date de la réponse
Actuellement en poste dans une bibliothèque municipale, vous préparez un portail documentaire où les lecteurs pourront faire des recherches, découvrir le fonds et faire des réservations via leur compte lecteur. Vous vous demandez comment informer les lecteurs de leurs identifiants et mots de passe en toute conformité avec le RGPD.
Vous devriez trouver ces informations sur le site de la CNIL (Commission nationale de l'informatique et des libertés) et plus précisément sur la page Sécurité : Authentifier les utilisateurs :
Les précautions élémentaires
Définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, exiger une validation de la hiérarchie, mettre en œuvre des moyens pour tracer les actions associées à ces identifiants et renouveler le mot de passe dès qu’une personne n’a plus besoin d’accéder au compte.
Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe notamment en appliquant les règles suivantes :
- stocker uniquement l'empreinte des mots de passe, obtenue selon des techniques à l'état de l'art ;
- ne pas demander le renouvellement périodique des mots de passe pour les simples utilisateurs (au contraire des administrateurs) ;
- obliger l’utilisateur à changer, dès sa première connexion, tout mot de passe attribué automatiquement ou par un administrateur lors de la création du compte ou d’un renouvellement du mot de passe ;
- imposer une complexité en fonction des cas d’usage :
- par défaut, entropie (imprédictibilité théorique) minimale de 80 bits (ex. : 12 caractères minimum comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux ; 14 caractères minimum comportant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire) ;
- entropie de 50 bits (ex. : 8 caractères minimum de 3 types différents ; 16 chiffres) dans le cas où des mesures complémentaires sont en place (restriction de l’accès au compte telle qu’une temporisation de l’accès après plusieurs échecs, la mise en place de « Captcha » ou le blocage du compte après 10 échecs) ;
- entropie de 13 bits (ex. : 4 chiffres) dans le cas d’un matériel détenu par l’utilisateur (ex. : carte SIM, dispositif contenant un certificat) avec blocage au bout de 3 échecs.
Si vous avez d'autres interrogations, nous vous conseillons de vous adresser directement au service de questions-réponses de la CNIL : Besoin d'aide
Pour aller plus loin :
Guide de la sécurité des données personnelles, CNIL, avec 25 fiches ressources qui servent à :
aider les professionnels dans la mise en conformité à la loi Informatique et Libertés et au règlement général sur la protection des données, ce guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.