Recommandations CNIL sur les mots de passe
La CNIL définit 5 cas de configuration avec des exigences précises sur la longueur et la complexité. Synthèse de la délibération 2022-100.
La Commission nationale de l'informatique et des libertés (CNIL) encadre la gestion des mots de passe via la délibération n° 2022-100 du 21 juillet 2022, qui remplace celle de 2017. Cette recommandation s'applique à tout traitement de données personnelles en France (RGPD).
Les 5 cas de configuration
La CNIL ne fixe pas une exigence unique. Elle définit 5 cas selon les mesures complémentaires en place. Plus les défenses additionnelles sont fortes, plus le mot de passe peut être court.
| Cas | Mesure complémentaire | Longueur mini | Complexité |
|---|---|---|---|
| 1 | Mot de passe seul | 12 caractères | 4 types |
| 2 | + Restriction des tentatives (anti-bruteforce) | 8 caractères | 3 types |
| 3 | + Information additionnelle (date naissance, code) | 5 caractères | uniquement chiffres |
| 4 | + Matériel détenu par la personne | 4 chiffres (PIN) | numérique |
| 5 | 2FA matérielle (ex. badge + biométrie) | variable | variable |
Concrètement, le cas 1 est la situation par défaut pour la plupart des applications web : un mot de passe de 12 caractères avec majuscules, minuscules, chiffres et symboles.
Les 4 types de caractères au sens CNIL
- Lettres minuscules (a-z)
- Lettres majuscules (A-Z)
- Chiffres (0-9)
- Caractères spéciaux (!@#$%^& etc.)
Générer un mot de passe 12 caractères conforme CNIL
Restriction des tentatives
Pour passer du cas 1 au cas 2, la CNIL impose une des mesures suivantes :
- Temporisation entre tentatives (ex. 1 seconde après chaque échec, ou délai croissant).
- Verrouillage du compte après N tentatives (typiquement 5-10).
- CAPTCHA ou défi anti-bot après plusieurs échecs.
- Notification de tentative à l'utilisateur (e-mail, SMS).
Le stockage du mot de passe
La CNIL exige que les mots de passe soient stockés sous une forme non réversible :
- Hachage cryptographique salé et résistant aux attaques par GPU/ASIC.
- Algorithme recommandé : Argon2id, scrypt ou bcrypt avec un cost factor élevé.
- Salt unique par utilisateur, ≥ 16 octets aléatoires.
Voir notre guide pratique : Comment stocker un mot de passe en base de données.
Renouvellement périodique : la CNIL aligne sur le NIST
Depuis 2022, la CNIL n'impose plus de renouvellement périodique systématique pour les comptes utilisateurs (sauf pour comptes à privilèges ou administrateurs). Cette position s'aligne sur le NIST SP 800-63B : forcer un changement tous les 90 jours pousse les utilisateurs vers des variantes prévisibles (Motdepasse2024Q1, Motdepasse2024Q2) qui réduisent la sécurité réelle.
Le renouvellement reste exigé :
- En cas de compromission suspectée (fuite, intrusion, signal d'alerte).
- Pour les comptes à privilèges (admin, super-utilisateur).
- Pour les comptes inactifs réactivés.
Sanctions et contrôles
Le non-respect des recommandations CNIL n'est pas directement sanctionné — la délibération a valeur de recommandation. En revanche, en cas de fuite de données avec mots de passe en clair ou hachés trop faiblement, la CNIL applique le RGPD :
- Amendes allant jusqu'à 4 % du chiffre d'affaires mondial ou 20 M€.
- Mise en demeure publique.
- Obligation de notification aux personnes concernées (article 34 RGPD).
Récapitulatif pour développeurs
- Imposer 12 caractères minimum avec 4 types (cas 1).
- Ne pas exiger de renouvellement périodique aux utilisateurs standards.
- Hasher avec Argon2id (paramètres OWASP).
- Salt ≥ 16 octets unique par utilisateur.
- Limiter les tentatives (rate limiting + temporisation).
- Vérifier les mots de passe choisis contre la liste Have I Been Pwned.
- Proposer la 2FA, surtout sur les comptes sensibles.