La simplicité et l'absence de renouvellement d'un mot de passe : manquement de l'employeur à l'obligation d'assurer la sécurité des données.
- 22 juillet 2013
- Cabinet Dalila MADJID
- No comments
La CNIL a été saisie, au départ, d’une plainte d’un salarié d’une société de conseil en système d’information. Il reproche l’installation d’un dispositif de vidéosurveillance réalisée sans information préalable des salariés et dont l’usage était jugé abusif.
Après avoir souligné les manquements, par l’employeur, à l’obligation de proportionnalité du dispositif de vidéosurveillance et à l’obligation d’informer les salariés, la CNIL a, également, constaté, lors de différents contrôles, que les mots de passe utilisés par les salariés pour permettre l’accès aux ordinateurs professionnels et aux données à caractère personnel contenues dans les appareils informatiques étaient composés d’une suite de cinq caractères.
Les salariés choisissaient des mots de passe trop simples qui correspondaient à leur prénom ou à leur nom de famille. Certains mots de passe étaient restés inchangés depuis l’année 2011.
Selon la CNIL, « la brièveté des mots de passe, leur déductibilité, leur simplicité et l’absence de renouvellement font encourir un risque certain aux données traitées« .
La société aurait du procédé à la mise en place d’une politique de sécurité des données à caractère personnel.
Autrement dit, l’employeur aurait du imposer à ses salariés de choisir des mots de passe plus longs mixant chiffres et lettres et caractères spéciaux, en les obligeant à les renouveler fréquemment.
En l’espèce, la société, comme le souligne la CNIL, « s’est dérobée à la réalisation d’opération de sécurisation de ses outils informatiques ».
Par conséquent, la CNIL a déclaré que la société a manqué à l’obligation d’assurer la sécurité des données à caractère personnel imposée par l’article 34 de la loi du 6 janvier 1978 modifiée, aux termes duquel :
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
La CNIL a ainsi prononcé une sanction pécuniaire contre ladite société, d’un montant de 10 000 € pour l’ensemble de ses manquements.
(Délibération CNIL du 30 mai 2013 n°2013-139)
Faites un commentaire