Politique de mots de passe : modèle CNIL 2026
Modèle de politique de mots de passe conforme à la recommandation CNIL 2022 : entropie par cas d'usage, MFA, gestionnaires, stockage. Prêt à adapter.
L’essentiel. Depuis sa recommandation de 2022, la CNIL ne raisonne plus en « nombre de caractères » mais en entropie (robustesse), avec trois cas d’usage selon les mesures d’accompagnement. Elle a aussi abandonné le renouvellement périodique obligatoire des mots de passe pour les comptes utilisateurs standard. Une politique conforme fixe des exigences par cas d’usage, impose l’authentification multifacteur pour les accès sensibles, encadre le stockage haché et recommande un gestionnaire de mots de passe. Ci-dessous, un modèle complet à adapter.
Le mot de passe reste la première ligne de défense de la plupart des systèmes d’information — et la plus fréquemment prise en défaut. Dans les violations de données que j’accompagne, une part écrasante des intrusions débute par un mot de passe faible, réutilisé ou dérobé. Ce n’est pas un problème « informatique » : c’est un manquement direct à l’obligation de sécurité de l’article 32 du RGPD, et l’un des motifs de sanction CNIL les plus constants.
La difficulté, pour un DPO ou un responsable de la sécurité, est que la doctrine a changé. La règle mémorisée par des générations d’utilisateurs — « 8 caractères, une majuscule, un chiffre, à changer tous les 90 jours » — n’est plus la référence. La CNIL a modernisé son approche en 2022. Une politique de mots de passe rédigée avant cette date est aujourd’hui à la fois trop contraignante sur certains points (renouvellement forcé) et insuffisante sur d’autres (entropie, MFA). Cet article explique le cadre applicable et fournit un modèle actualisé.
Le fondement juridique : article 32 et recommandation CNIL
L’obligation ne se lit pas dans un texte spécifique aux mots de passe, mais dans le régime général de sécurité. L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». L’article 5.1.f pose le principe d’intégrité et de confidentialité. Le mot de passe est le mécanisme d’authentification qui matérialise concrètement cette exigence.
La CNIL précise ce que signifie « approprié » en matière d’authentification par mot de passe dans sa recommandation relative aux mots de passe et autres secrets partagés, adoptée par délibération n° 2022-100 du 21 juillet 2022 (qui a remplacé la recommandation de 2017). Ce texte n’a pas valeur réglementaire contraignante en soi, mais il constitue le référentiel que la CNIL applique lors de ses contrôles : s’en écarter significativement expose à voir la mesure jugée inappropriée au sens de l’article 32.
Le changement de logique tient en deux idées. D’abord, la robustesse d’un mot de passe se mesure par son entropie (exprimée en bits), c’est-à-dire le nombre d’essais qu’un attaquant devrait tenter pour le retrouver, et non par un simple décompte de caractères. Ensuite, le niveau d’entropie exigé dépend des mesures qui accompagnent le mot de passe : plus le système limite les tentatives ou ajoute un second facteur, plus l’exigence sur le mot de passe lui-même peut être allégée.
Les trois cas d’usage de la recommandation 2022
La recommandation distingue trois situations. Les seuils et exemples ci-dessous reprennent ceux fournis par la CNIL ; les exemples chiffrés doivent être vérifiés au regard de la version en vigueur de la recommandation.
| Cas | Contexte | Entropie minimale | Exemple donné par la CNIL |
|---|---|---|---|
| Cas 1 | Le mot de passe est le seul moyen d’authentification | ≥ 80 bits | 12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux ; ou une phrase de passe d’au moins 7 mots |
| Cas 2 | Mot de passe + mesure de restriction (blocage après échecs, temporisation, CAPTCHA) | ≥ 50 bits | 8 caractères comprenant au moins 3 types de caractères |
| Cas 3 | Mot de passe + matériel détenu par la personne (carte, téléphone) | ≥ 13 bits | Code PIN à 4 chiffres avec blocage après un nombre limité de tentatives |
La logique est vertueuse : plutôt que d’imposer partout des mots de passe extrêmement complexes (que les utilisateurs contournent en les notant ou en les réutilisant), on adapte l’exigence au dispositif global. Un espace client grand public protégé par un blocage de compte après plusieurs échecs relève du cas 2 ; un accès administrateur au SI, sans autre garde-fou, relève du cas 1 et appelle une entropie élevée — sauf, précisément, à lui ajouter un second facteur.
La fin du renouvellement périodique obligatoire
C’est le point le plus contre-intuitif pour beaucoup d’organisations. La CNIL ne recommande plus d’imposer aux utilisateurs de changer régulièrement leur mot de passe (tous les 90 jours, par exemple) pour les comptes standard. La recherche a montré que cette obligation dégrade la sécurité : les utilisateurs choisissent des mots de passe plus faibles et prévisibles pour pouvoir les mémoriser malgré les changements imposés.
Le renouvellement reste justifié dans deux cas : les comptes à privilèges (administrateurs), et toute suspicion de compromission — après une violation de données, la découverte d’un mot de passe dans une fuite, ou un incident de sécurité. Une politique moderne remplace donc « changez votre mot de passe tous les X mois » par « choisissez un mot de passe robuste et unique, changez-le en cas de doute ».
Les autres exigences techniques
Au-delà de l’entropie, la recommandation fixe plusieurs règles que votre politique doit intégrer.
- Stockage. Les mots de passe ne doivent jamais être conservés en clair. Ils sont stockés sous forme hachée, à l’aide d’une fonction de hachage à l’état de l’art, avec un sel (voire un poivre) et un facteur de coût suffisant. Ce point vaut aussi bien pour les systèmes internes que pour ceux confiés à un sous-traitant.
- Transmission. Un mot de passe n’est jamais transmis en clair (courriel, SMS non sécurisé). À la création d’un compte, on utilise un mot de passe temporaire à usage unique, à modifier à la première connexion, transmis par un canal distinct.
- Longueur et caractères. Ne pas brider la longueur maximale à une valeur basse ; accepter l’ensemble des caractères, y compris les espaces et les caractères spéciaux, pour permettre les phrases de passe.
- Mots de passe compromis. Vérifier, dans la mesure du possible, que le mot de passe choisi ne figure pas dans une liste de mots de passe connus comme compromis.
- Gestionnaire de mots de passe. Recommander, et si possible fournir, un gestionnaire de mots de passe : c’est le seul moyen réaliste pour un utilisateur de disposer d’un mot de passe unique et robuste par service.
- Authentification multifacteur (MFA). Recommandée, en particulier pour les accès à distance, les comptes à privilèges et les traitements sensibles. Le second facteur transforme radicalement le niveau de sécurité et fait basculer un accès du cas 1 vers un dispositif renforcé.
Ces mesures s’articulent avec les autres briques de sécurité de l’organisation : la charte informatique, les règles de télétravail et la procédure de gestion des violations. Une politique de mots de passe isolée n’a que peu d’effet ; c’est son intégration dans une gouvernance de sécurité cohérente qui compte.
Modèle de politique de mots de passe
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte technique et organisationnel avant usage. Version 1.0 — juillet 2026. Référentiel : recommandation CNIL n° 2022-100 (à vérifier au regard de la version en vigueur).
POLITIQUE DE GESTION DES MOTS DE PASSE — [Nom de l’organisation]
1. Objet et champ d’application. La présente politique définit les règles de création, d’utilisation, de conservation et de renouvellement des mots de passe et secrets d’authentification au sein de [organisation]. Elle s’applique à l’ensemble des utilisateurs (salariés, prestataires, intérimaires) accédant aux systèmes d’information et aux traitements de données à caractère personnel. Elle met en œuvre l’obligation de sécurité de l’article 32 du RGPD.
2. Exigences de robustesse. Le niveau de robustesse requis dépend du dispositif d’authentification :
- Comptes sans mesure d’accompagnement (cas 1) : mot de passe d’au moins 12 caractères combinant majuscules, minuscules, chiffres et caractères spéciaux, ou phrase de passe d’au moins 7 mots.
- Comptes protégés par une restriction d’accès (cas 2 : blocage temporaire après [5] échecs, temporisation) : mot de passe d’au moins 8 caractères combinant au moins 3 types de caractères.
- Comptes à privilèges (administration) : mot de passe conforme au cas 1 et authentification multifacteur obligatoire.
3. Authentification multifacteur. La MFA est obligatoire pour : les accès distants (VPN, applications exposées), les comptes à privilèges, et l’accès aux traitements portant sur des données sensibles ou à fort volume.
4. Unicité et confidentialité. Chaque mot de passe est strictement personnel et confidentiel. Il ne doit être ni partagé, ni réutilisé d’un service à l’autre, ni communiqué à un tiers, y compris au support informatique. L’organisation met à disposition un gestionnaire de mots de passe [nom de l’outil].
5. Renouvellement. Aucun renouvellement périodique n’est imposé pour les comptes standard. Le mot de passe doit être changé sans délai en cas de suspicion de compromission, de départ d’un utilisateur ayant eu connaissance d’un secret partagé, ou sur consigne du service informatique. Les comptes à privilèges font l’objet d’une politique de renouvellement dédiée.
6. Création et transmission. À l’ouverture d’un compte, un mot de passe temporaire à usage unique est fourni par un canal sécurisé ; il doit être modifié à la première connexion. Aucun mot de passe n’est transmis ni stocké en clair.
7. Stockage. Les mots de passe sont conservés uniquement sous forme hachée, à l’aide d’une fonction de hachage à l’état de l’art, salée, avec un facteur de coût adapté.
8. Sensibilisation. Les utilisateurs sont formés à ces règles à leur arrivée puis régulièrement. La présente politique est annexée à la charte informatique et opposable.
9. Journalisation et incidents. Les tentatives d’accès et les blocages sont journalisés. Toute compromission suspectée est signalée sans délai au [service informatique / DPO] et traitée selon la procédure de gestion des violations de données.
[Nom, fonction] — Date d’entrée en vigueur : [date] — Version : [n°]
Erreurs fréquentes
Trois écarts reviennent systématiquement dans les politiques que je relis.
Conserver le renouvellement forcé « par précaution ». Beaucoup d’organisations maintiennent le changement tous les 90 jours en pensant faire du zèle. C’est contre-productif et désormais contraire à la doctrine CNIL pour les comptes standard. Supprimez-le, sauf pour les comptes à privilèges.
Confondre complexité et robustesse. Imposer « une majuscule, un chiffre, un caractère spécial » sur 8 caractères produit des mots de passe faibles et prévisibles (Motdepasse1!). Raisonner en entropie et autoriser les phrases de passe donne de meilleurs résultats pour un moindre effort de mémorisation.
Oublier le stockage et les sous-traitants. Une politique irréprochable côté utilisateur ne vaut rien si les mots de passe sont conservés en clair ou hachés avec un algorithme obsolète. Cette exigence doit être répercutée à vos sous-traitants via les clauses de l’article 28 et vérifiée dans le questionnaire sous-traitants.
Documenter et faire respecter cette politique sur l’ensemble d’un parc suppose du suivi. Un logiciel RGPD permet d’industrialiser le rattachement des mesures de sécurité aux traitements du registre et de tracer la diffusion des politiques internes, ce qui rend la conformité démontrable lors d’un contrôle.
Foire aux questions
Faut-il encore imposer un changement de mot de passe tous les 90 jours ?
Non, plus pour les comptes utilisateurs standard. Depuis 2022, la CNIL a abandonné cette recommandation, car le renouvellement forcé pousse les utilisateurs vers des mots de passe plus faibles et prévisibles. Le changement ne s’impose désormais qu’en cas de suspicion de compromission ou pour les comptes à privilèges (administrateurs). Une politique qui maintient le renouvellement systématique n’est pas seulement inutile : elle va à contre-courant de la doctrine de l’autorité de contrôle.
Qu’est-ce que l’entropie d’un mot de passe, concrètement ?
L’entropie mesure l’imprévisibilité d’un mot de passe, exprimée en bits : elle reflète le nombre d’essais qu’un attaquant devrait statistiquement tenter pour le deviner par force brute. Plus elle est élevée, plus le mot de passe résiste. Elle dépend de la longueur et de la variété des caractères, mais aussi du caractère aléatoire du choix. Un mot de passe long et vraiment aléatoire a une entropie bien supérieure à un mot du dictionnaire ponctué d’un chiffre, même de longueur égale. La CNIL raisonne désormais en seuils d’entropie (80, 50, 13 bits) selon le cas d’usage.
La MFA est-elle obligatoire au regard du RGPD ?
Le RGPD n’impose pas nommément la MFA. Il impose des mesures « appropriées au risque » (Art. 32). Pour un accès à distance, un compte administrateur ou un traitement de données sensibles, l’authentification multifacteur est aujourd’hui considérée comme une mesure attendue : son absence peut faire juger le dispositif insuffisant en cas de violation. Autrement dit, elle n’est pas obligatoire en théorie, mais son omission sur des accès à risque devient difficilement défendable devant la CNIL.
Peut-on stocker les mots de passe des utilisateurs pour le support ?
Non. Les mots de passe ne doivent jamais être stockés en clair, ni être connus du support informatique. Le stockage se fait exclusivement sous forme hachée et salée. Si un utilisateur oublie son mot de passe, le support déclenche une procédure de réinitialisation générant un secret temporaire à changer à la première connexion — il ne « retrouve » jamais le mot de passe existant. Un système qui permet à un administrateur de lire les mots de passe des utilisateurs est un défaut de sécurité caractérisé.
Un gestionnaire de mots de passe est-il vraiment recommandé par la CNIL ?
Oui. La CNIL recommande l’usage d’un gestionnaire de mots de passe, car c’est le seul moyen réaliste pour un utilisateur d’avoir un mot de passe unique, long et robuste pour chaque service, sans avoir à les mémoriser. Fournir un gestionnaire d’entreprise et former les collaborateurs à son usage est une mesure organisationnelle simple et efficace, qui réduit fortement le risque de réutilisation et de compromission en chaîne.
Cette politique suffit-elle à être conforme à l’article 32 ?
Non, elle n’est qu’une brique. L’article 32 couvre l’ensemble de la sécurité : chiffrement, sauvegardes, gestion des habilitations, journalisation, sensibilisation, gestion des violations. La politique de mots de passe traite l’authentification ; elle doit s’articuler avec les autres mesures et être documentée dans votre registre au titre des mesures de sécurité. Une analyse d’impact peut par ailleurs imposer des exigences renforcées pour les traitements à risque élevé.
Pour recevoir nos modèles et analyses RGPD à jour — sécurité, sous-traitance, droits des personnes — abonnez-vous à la newsletter.