Politique de mot de passe : recommandation CNIL 2026
Politique de mot de passe conforme : entropie, stockage, renouvellement. Les exigences de la recommandation CNIL 2022 expliquées pas à pas.
- Ce que dit la recommandation CNIL de 2022
- Le changement de paradigme : raisonner en entropie
- Fini le renouvellement périodique systématique
- Restreindre les tentatives : les paramètres attendus
- Le stockage : jamais en clair
- Communiquer et réinitialiser un mot de passe
- Aller plus loin que le mot de passe
- Ce qu’il faut retenir
- FAQ
Depuis 2022, imposer à vos salariés de changer leur mot de passe tous les 90 jours n’est plus une bonne pratique — c’est même déconseillé par la CNIL. La recommandation adoptée par la délibération n° 2022-100 du 21 juillet 2022 a discrètement renversé une bonne partie des réflexes hérités des années 2000. Si votre politique de mot de passe n’a pas été revue depuis, elle est probablement à côté de l’état de l’art. Voici ce qui a changé, et comment construire une politique défendable.
Ce que dit la recommandation CNIL de 2022
La délibération n° 2022-100 du 21 juillet 2022, publiée au Journal officiel du 16 octobre 2022, abroge et remplace la précédente recommandation de 2017. Elle fixe les exigences techniques et organisationnelles minimales pour toute authentification par mot de passe mise en œuvre dans le cadre d’un traitement de données personnelles.
Attention à la portée juridique : une recommandation CNIL n’est pas un règlement, et elle ne crée pas d’obligation autonome. Mais elle constitue l’état de l’art que la CNIL applique pour apprécier le respect de l’article 32 du RGPD, qui impose des « mesures techniques et organisationnelles appropriées » pour sécuriser les données. En clair : s’écarter de la recommandation sans justification revient à s’exposer, en cas de contrôle ou de violation, au reproche d’un manquement à l’article 32. Dans mon expérience de conseil, c’est précisément sur ce fondement que les défauts de sécurisation des mots de passe sont sanctionnés.
Le changement de paradigme : raisonner en entropie
La grande nouveauté de 2022 : la CNIL ne raisonne plus en longueur minimale ni en règle de complexité imposée, mais en entropie. L’entropie mesure le degré d’imprédictibilité d’un mot de passe — sa résistance à une attaque par force brute — exprimé en bits. Plus l’entropie est élevée, plus il faut de tentatives pour deviner le secret.
L’intérêt de cette approche est de laisser le responsable de traitement libre de définir sa politique, du moment que le niveau de hasard est suffisant. Une phrase de passe longue mais sans caractère spécial peut ainsi être aussi robuste qu’un mot de passe court truffé de symboles.
Les trois cas d’usage et leurs seuils
La recommandation distingue trois situations, avec un seuil d’entropie propre à chacune :
Cas 1 — Le mot de passe seul (aucune autre mesure) : au moins 80 bits d’entropie. C’est le cas le plus exigeant, puisque le mot de passe est l’unique rempart. Concrètement, la CNIL donne deux exemples équivalents : un mot de passe de 12 caractères minimum combinant majuscules, minuscules, chiffres et caractères spéciaux (choisis parmi une liste d’au moins 37) ; ou une phrase de passe d’au moins 7 mots.
Cas 2 — Le mot de passe assorti d’une restriction d’accès au compte : au moins 50 bits. Si vous ajoutez un mécanisme qui limite les tentatives (temporisation, blocage, captcha), l’exigence baisse. Exemple : un mot de passe de 8 caractères mêlant trois des quatre catégories.
Cas 3 — Le mot de passe complété par un matériel détenu par la personne : au moins 13 bits. C’est le cas du code de déverrouillage (type code PIN à 4 chiffres) associé à une carte à puce ou un terminal, où le matériel bloque après quelques échecs.
Pour vérifier qu’un mot de passe atteint le seuil visé, un générateur de mot de passe conforme reste l’outil le plus simple à mettre entre les mains des utilisateurs.
Fini le renouvellement périodique systématique
C’est le point qui surprend le plus les DSI. La CNIL recommande désormais de ne plus imposer de modification périodique du mot de passe aux utilisateurs classiques. La raison est documentée depuis des années : contraints de changer souvent, les utilisateurs choisissent des mots de passe plus faibles et se contentent d’incrémenter un chiffre (Motdepasse1, Motdepasse2…), ce qui dégrade la sécurité au lieu de l’améliorer. L’ANSSI a adopté cette position dès 2021, dans un guide que la CNIL a cosigné.
Deux exceptions subsistent, où le renouvellement périodique reste justifié :
- les comptes à privilège (administration, comptes techniques), dont la compromission a un impact étendu ;
- toute situation de compromission suspectée ou avérée : là, le changement doit être immédiat, pas périodique.
Si votre Active Directory force encore l’expiration à 90 jours pour tous les comptes utilisateurs, c’est le premier réglage à revoir.
Restreindre les tentatives : les paramètres attendus
Pour les cas 2 et 3, la restriction d’accès au compte doit prendre une forme mesurable. La recommandation propose plusieurs mécanismes, combinables :
- une temporisation dont la durée croît exponentiellement avec le nombre d’échecs — supérieure à une minute après cinq tentatives infructueuses, et limitant à 25 tentatives maximum par 24 heures ;
- un plafond de tentatives sur une période donnée (par exemple 10 essais par heure) ;
- un captcha après plusieurs échecs ;
- un déblocage nécessitant une action complémentaire (validation par courriel, intervention d’un administrateur).
Ces mécanismes protègent aussi contre le credential stuffing, ces attaques automatisées qui rejouent des couples identifiant/mot de passe issus de fuites antérieures.
Le stockage : jamais en clair
Un mot de passe ne doit jamais être conservé en clair dans une base. La recommandation impose de le stocker sous forme de condensat (hash) calculé par une fonction spécialisée dans le stockage de mots de passe. La CNIL cite Argon2, scrypt, bcrypt et PBKDF2 — et écarte explicitement les fonctions de hachage généralistes (MD5, SHA-1, SHA-256 seuls), trop rapides et donc vulnérables aux attaques par dictionnaire.
Trois exigences accompagnent le hachage :
- un sel (salt) aléatoire, unique par utilisateur et d’au moins 128 bits, ajouté avant le calcul du condensat — il rend inopérantes les tables précalculées (rainbow tables) ;
- des paramètres de coût (temps de calcul, mémoire) configurés pour ralentir suffisamment une attaque hors ligne ;
- idéalement un poivre (pepper), secret conservé séparément de la base, pour ajouter une couche de protection en cas d’exfiltration de la seule base de données.
Le stockage en clair ou avec un hachage obsolète figure régulièrement parmi les manquements à l’article 32 relevés par la CNIL. La sanction de Dedalus Biologie (délibération SAN-2022-009 du 15 avril 2022, 1,5 million d’euros) illustre le niveau d’exigence de l’autorité en matière de sécurité, et le coût d’un défaut de mesures appropriées.
Communiquer et réinitialiser un mot de passe
La sécurité ne s’arrête pas au stockage. Quelques règles de cycle de vie complètent la politique :
- transmission : jamais de mot de passe en clair par courriel. Le canal doit être chiffré (TLS/HTTPS) ;
- mot de passe temporaire : lors d’une création de compte ou d’une réinitialisation, imposez un secret à usage unique, à durée de validité limitée, et forcez son changement dès la première connexion ;
- réinitialisation : le mécanisme (lien envoyé par courriel, question de sécurité) ne doit pas devenir le maillon faible. Une question secrète seule ne suffit jamais à sécuriser un compte ;
- notification : en cas de compromission de la base de mots de passe, la procédure de violation de données s’applique — information de la CNIL sous 72 heures et, le cas échéant, des personnes concernées.
Aller plus loin que le mot de passe
La recommandation encourage deux pratiques qui réduisent la dépendance au mot de passe lui-même. D’abord, le recours à un gestionnaire de mots de passe, qui permet aux utilisateurs de générer et retenir des secrets à haute entropie sans les réutiliser d’un service à l’autre. Ensuite et surtout, l’authentification multifacteur (MFA), qui ajoute un second facteur (application d’authentification, clé physique) et rend une simple fuite de mot de passe insuffisante pour compromettre un compte.
Formaliser tout cela dans une politique écrite, cohérente avec les 12 mesures de sécurité attendues par la CNIL et avec le guide ANSSI pour les TPE/PME, n’est pas qu’une formalité : c’est la trace documentaire qui, en cas de contrôle, démontre le sérieux de votre démarche. C’est aussi le type de mesure technique et organisationnelle que Legiscope aide à recenser et à tenir à jour au sein de votre documentation de conformité.
Ce qu’il faut retenir
- La recommandation CNIL (délibération n° 2022-100 du 21 juillet 2022) est l’état de l’art appliqué au titre de l’article 32 du RGPD : s’en écarter sans justification, c’est s’exposer à un manquement.
- La logique n’est plus la longueur ou la complexité imposée, mais l’entropie : 80 bits pour un mot de passe seul, 50 bits avec restriction d’accès, 13 bits avec matériel dédié.
- Le renouvellement périodique systématique est déconseillé ; il ne se justifie que pour les comptes à privilège ou en cas de compromission.
- Les mots de passe se stockent hachés (Argon2, scrypt, bcrypt, PBKDF2), avec un sel aléatoire d’au moins 128 bits — jamais en clair.
- Complétez toujours par une restriction des tentatives, un gestionnaire de mots de passe et, idéalement, l’authentification multifacteur.
FAQ
La recommandation CNIL sur les mots de passe est-elle obligatoire ?
Non, une recommandation n’est pas un texte contraignant en soi. Mais elle définit l’état de l’art que la CNIL utilise pour apprécier le respect de l’article 32 du RGPD. En pratique, s’en écarter sans justification technique expose à un manquement en cas de contrôle ou de violation de données.
Faut-il encore forcer le changement de mot de passe tous les 90 jours ?
Non, la CNIL déconseille désormais le renouvellement périodique imposé aux utilisateurs classiques, car il conduit à des mots de passe plus faibles. La modification périodique ne reste justifiée que pour les comptes à privilège (administration) ou en cas de compromission suspectée ou avérée.
Quelle longueur minimale pour un mot de passe conforme ?
La recommandation raisonne en entropie, pas en longueur fixe. Pour un mot de passe seul (80 bits), la CNIL cite l’exemple de 12 caractères mêlant majuscules, minuscules, chiffres et caractères spéciaux, ou d’une phrase de passe d’au moins 7 mots. Avec une restriction d’accès au compte, l’exigence descend à 50 bits.
Comment doit-on stocker les mots de passe des utilisateurs ?
Jamais en clair. Ils doivent être conservés sous forme de condensat calculé par une fonction spécialisée (Argon2, scrypt, bcrypt ou PBKDF2), avec un sel aléatoire unique d’au moins 128 bits et des paramètres de coût adaptés. Les fonctions de hachage généralistes comme MD5 ou SHA-1 sont à proscrire.