En janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail pour des défaillances dans la protection des identifiants de 36,8 millions de comptes. Des seuils de blocage trop élevés, l’absence d’authentification multifacteur et des contrôles d’accès insuffisants figuraient parmi les manquements retenus.

Ce type de sanction ne concerne pas uniquement les grandes administrations. La gestion des mots de passe et la conformité RGPD s’imposent à toute structure traitant des données personnelles, y compris les PME de l’Aube et du Grand Est. Pourtant, les obligations réelles restent souvent méconnues des dirigeants.

Cet article détaille ce que le RGPD et la CNIL exigent concrètement en matière de mots de passe, les sanctions déjà prononcées et les mesures concrètes pour atteindre la conformité.

Ce que le RGPD exige réellement sur la gestion des mots de passe

Articles 5-1-f) et 32 : une obligation de sécurité proportionnée au risque

Le RGPD ne mentionne pas les mots de passe de façon explicite. Mais deux articles fondent l’ensemble des obligations en matière d’identifiants.

L’article 5-1-f) pose le principe d’intégrité et de confidentialité des données. Toute organisation doit protéger ses données contre les accès non autorisés.

L’article 32 va plus loin. Il impose des mesures techniques et organisationnelles adaptées au niveau de risque : chiffrement, pseudonymisation, capacité à restaurer la disponibilité des données en cas d’incident. C’est une obligation de moyens documentée, encadrée par le principe d’accountability. Le responsable de traitement doit prouver qu’il a pris les mesures adéquates.

Pour les PME, cela signifie qu’un simple fichier Excel contenant les mots de passe de l’équipe ou un post-it sur un écran constitue un manquement caractérisé. La protection des données en entreprise passe d’abord par la sécurisation des accès.

La recommandation CNIL 2022, référentiel de facto pour les mots de passe

La délibération n° 2022-100 du 21 juillet 2022 a remplacé les anciennes préconisations de 2017. C’est aujourd’hui le référentiel technique que la CNIL applique lors de ses contrôles. Trois règles principales en ressortent.

Entropie minimale de 80 bits. La CNIL définit trois scénarios acceptables :

  • Un mot de passe de 12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux
  • Un mot de passe de 14 caractères avec au moins trois types de caractères
  • Une phrase de passe d’au moins 7 mots

Fin du renouvellement périodique. Imposer un changement tous les 90 jours n’est plus recommandé, sauf pour les comptes à privilèges (administrateurs système, accès root). Cette évolution reflète les travaux du NIST et les retours d’expérience sur les pratiques utilisateur.

Interdiction du stockage en clair. Les mots de passe doivent être hachés avec une fonction spécialisée et salés. Aucun identifiant ne doit transiter par email non chiffré ni figurer dans une base accessible en texte brut.

💡 La CNIL encourage aussi explicitement l’usage d’un gestionnaire de mots de passe professionnel pour centraliser et sécuriser les identifiants. C’est l’outil le plus direct pour couvrir ces trois exigences.

Les sanctions CNIL tombent aussi sur la gestion des mots de passe

Infogreffe : 250 000 euros pour des mots de passe en clair

En 2022, la CNIL a sanctionné Infogreffe à hauteur de 250 000 euros. Les mots de passe de 3,7 millions de comptes étaient stockés en clair, limités à 8 caractères et envoyés par email non chiffré lors de la création de compte.

Chaque point constituait un manquement direct aux préconisations en vigueur. Le cas Infogreffe illustre un schéma récurrent : des pratiques héritées jamais mises à jour, découvertes lors d’un contrôle CNIL.

France Travail : 5 millions d’euros et 36,8 millions de comptes exposés

L’amende prononcée en janvier 2026 contre France Travail porte sur des insuffisances multiples. Le seuil de blocage des tentatives de connexion était fixé à 50 essais, un niveau qui ouvre la porte aux attaques par force brute. L’authentification multifacteur n’était pas déployée sur les accès sensibles. Les habilitations des agents n’étaient pas suffisamment encadrées.

Ce cas montre que la CNIL évalue la conformité de façon globale. Un seul mécanisme de sécurité ne suffit pas : c’est l’ensemble de la chaîne d’authentification qui doit être cohérent.

La procédure simplifiée s’applique aussi aux PME et collectivités

La CNIL ne cible pas uniquement les grandes organisations. Sa procédure simplifiée lui donne les moyens de sanctionner rapidement les structures de toute taille pour des manquements courants.

⚠️ En 2024, la CNIL a prononcé 87 sanctions pour un total de 55 millions d’euros, contre 21 en 2022. La sécurité des mots de passe figure parmi les manquements les plus fréquemment relevés.

Pour les PME de l’Aube et du Grand Est, le risque est concret. Un contrôle peut être déclenché par une plainte, un incident de sécurité ou un signalement.

7 points à vérifier pour la conformité RGPD de vos mots de passe

Ces 7 mesures couvrent l’essentiel des exigences CNIL. Chacune répond à un point précis de la recommandation 2022 ou de l’article 32 du RGPD.

1. Formaliser une politique de mots de passe

Documenter les règles de création, stockage et renouvellement des identifiants. Cette politique doit être accessible à tous les collaborateurs et intégrée au registre des traitements.

2. Imposer une entropie minimale de 80 bits

Configurer les systèmes pour refuser tout mot de passe en dessous du seuil. Les idées reçues sur la complexité des mots de passe persistent : un mot de passe de 8 caractères, même complexe, reste insuffisant au regard des standards actuels.

3. Chiffrer le stockage des identifiants

Aucun mot de passe ne doit être conservé en clair, que ce soit dans une base de données, un fichier partagé ou un email. Le hachage avec fonction spécialisée (bcrypt, Argon2) est le minimum attendu.

4. Déployer l’authentification multifacteur sur les accès sensibles

Le MFA est une mesure valorisée par la CNIL dans ses contrôles. Il doit couvrir au minimum les accès administrateur, les outils de gestion de données personnelles et les accès distants.

5. Journaliser les accès et les tentatives de connexion

Sans traces d’authentification, impossible de détecter les anomalies ou de prouver votre conformité lors d’un contrôle. Le vocabulaire technique de la cybersécurité peut aider les dirigeants à mieux dialoguer avec leur prestataire IT sur ces sujets.

6. Réaliser une revue annuelle des habilitations

Vérifier que chaque collaborateur dispose uniquement des accès nécessaires à ses fonctions. Supprimer les comptes inactifs et révoquer les droits des personnes ayant quitté l’entreprise. Ce point est régulièrement relevé lors des contrôles CNIL.

7. Sensibiliser les collaborateurs

La formation des équipes aux bonnes pratiques de gestion des mots de passe fait partie des mesures organisationnelles attendues par l’article 32. Un outil performant perd son efficacité si les utilisateurs contournent les règles.

Comment un gestionnaire de mots de passe répond aux obligations RGPD

Génération automatique conforme aux exigences CNIL

Un gestionnaire professionnel comme Keeper génère des mots de passe aléatoires respectant les seuils d’entropie imposés. L’utilisateur n’a plus à concevoir ni mémoriser des identifiants complexes. La conformité technique est acquise dès la création du mot de passe.

Chiffrement zero-knowledge et protection des données stockées

Avec l’architecture zero-knowledge, les données sont chiffrées et déchiffrées uniquement sur l’appareil de l’utilisateur. Le fournisseur du service n’a aucun accès aux identifiants stockés. En cas de violation du serveur, les données chiffrées restent inexploitables. L’article 34 du RGPD prend d’ailleurs ce point en compte pour évaluer la gravité d’un incident.

Le chiffrement AES-256 combiné à la cryptographie sur courbe elliptique atteint un niveau de protection conforme aux standards internationaux.

Contrôle d’accès et politiques granulaires

Le contrôle d’accès basé sur les rôles (RBAC) attribue des niveaux de permission différenciés. L’administrateur définit qui peut accéder à quels identifiants, imposer des règles de complexité et restreindre le partage. Ces fonctionnalités répondent directement à l’exigence de revue des habilitations.

Journalisation et audit de conformité

Chaque action (connexion, partage, modification) est tracée et horodatée. Ces journaux simplifient la démonstration de conformité lors d’un audit CNIL et aident à repérer les comportements anormaux en temps réel.

Déploiement centralisé pour les PME à Troyes et dans l’Aube

Pour les entreprises du département qui n’ont pas d’équipe IT dédiée, le déploiement d’un gestionnaire de mots de passe professionnel peut être piloté par un prestataire local. NEOXO accompagne les PME de l’Aube dans le déploiement de Keeper Security : configuration initiale, formation des équipes, suivi dans la durée.

Le risque de vol d’identifiants diminue significativement lorsque chaque collaborateur utilise un coffre-fort numérique au lieu de pratiques manuelles.

Conformité RGPD des mots de passe, passez à l’action

Les règles sont claires, les sanctions sont réelles et les outils existent. Un gestionnaire de mots de passe professionnel couvre la majorité des exigences techniques CNIL en un seul outil : génération conforme, chiffrement zero-knowledge, journalisation, contrôle d’accès.

NEOXO accompagne les PME de Troyes et de l’Aube dans la mise en conformité de leur gestion des identifiants. Demandez une démo de Keeper Security auprès de l’équipe NEOXO.