Lors d’un audit effectué en interne en janvier 2019, Facebook a constaté que les mots de passe de plusieurs centaines de millions d’utilisateurs d’Instagram et de Facebook « étaient enregistrés de manière lisible dans [leurs] serveurs internes » et accessibles depuis 2012 par 20 000 de leurs salariés.

 

Or, le cryptage (ou chiffrement) des mots de passes est une des mesures de sécurité élémentaires préconisées par la CNIL pour la gestion des mots de passe : « S’agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande qu’il soit transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé » (Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe).

 

 

Pour rappel, le RGPD impose au responsable du traitement de données personnelles, dont la violation a entraîné « un risque élevé » pour les droits et libertés des personnes concernées, de communiquer dans les meilleurs délais cette violation aux utilisateurs eux-mêmes. Cette communication doit a minima décrire les conséquences probables de la violation, de même que les mesures prises ou envisagées afin de remédier à la violation de données personnelles, y compris si besoin les mesures pour en atténuer les éventuelles conséquences négatives

 Arthur Poirier, avocat

Nous contacter