La simplicité et l’absence de renouvellement d’un mot de passe : manquement de l’employeur à l’obligation d’assurer la sécurité des données.

La CNIL a été saisie, au départ, d’une plainte d’un salarié d’une société de conseil en système d’information. Il reproche l’installation d’un dispositif de vidéosurveillance réalisée sans information préalable des salariés et dont l’usage était jugé abusif.

Après avoir souligné les manquements, par l’employeur, à l’obligation de proportionnalité du dispositif de vidéosurveillance et à l’obligation d’informer les salariés, la CNIL a, également, constaté, lors de différents contrôles, que les mots de passe utilisés par les salariés pour permettre l’accès aux ordinateurs professionnels et aux données à caractère personnel contenues dans les appareils informatiques étaient composés d’une suite de cinq caractères.

Les salariés choisissaient des mots de passe trop simples qui correspondaient  à leur prénom ou à leur nom de famille. Certains mots de passe étaient restés inchangés depuis l’année 2011.

Selon la CNIL, « la brièveté des mots de passe, leur déductibilité, leur simplicité et l’absence de renouvellement font encourir un risque certain aux données traitées« .

La société aurait du procédé à la mise en place d’une politique de sécurité des données à caractère personnel.

Autrement dit, l’employeur aurait du imposer à ses salariés de choisir des mots de passe plus longs mixant chiffres et lettres et caractères spéciaux, en les obligeant à les renouveler fréquemment.

En l’espèce, la société, comme le souligne la CNIL, « s’est dérobée à la réalisation d’opération de sécurisation de ses outils informatiques ».

Par conséquent, la CNIL a déclaré que la société a manqué à l’obligation d’assurer la sécurité des données à caractère personnel imposée par l’article 34 de la loi du 6 janvier 1978 modifiée, aux termes duquel :

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La CNIL a ainsi prononcé une sanction pécuniaire contre ladite société, d’un montant de 10 000 € pour l’ensemble de ses manquements.

(Délibération CNIL du 30 mai 2013 n°2013-139)

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s