Паролі користувачів Інтернету, санкції CNIL

CNIL санкціонує компанії, які не забезпечують безпеку та конфіденційність персональних даних користувачів Інтернету відповідно до статті 34 Закону про захист даних.

інтернету

У статті, присвяченій конфігурації пароля користувачем Інтернету, CNIL вважає, що захищений пароль "повинен бути достатньо довгим і містити не менше восьми символів (...), повинен складатися щонайменше з трьох різні типи символів серед чотирьох існуючих типів символів (великі регістри, малі літери, цифри та спеціальні символи) і не повинні мати жодних зв’язків із власником ”.[1]З іншого боку, CNIL рекомендує "поновлювати" пароль кожні шість місяців і відрізнятись від попередніх паролів.

У зв'язку з цим CNIL санкціонує компанії, які не забезпечують безпеку паролів користувачів Інтернету.

стаття 34 Закону про захист даних зазначає що:

"Контролер потрібно вжити всіх корисних запобіжних заходів, стосовно характеру даних та ризиків, які представляє обробка, для збереження безпеки даних і особливо, запобігти їх викривленню, пошкодженню або доступу до них сторонніми сторонами (.)". [2]

Дійсно, компанія, а точніше контролер даних щодо статті 3 І Закону,[3] повинен гарантувати конфіденційність персональних даних користувачів. Цей обов'язок забезпечити безпеку паролів відображається по-різному, а саме: встановлення політики "надійності" паролів клієнтів, відсутність збереження їх паролів, неможливість спілкування компанією користувача Інтернету паролі через телефон, наприклад, або обов'язок компанії поновлювати пароль своїх клієнтів кожні шість місяців.

CNIL видав попередження або офіційні повідомлення або санкціонував різні компанії, які не виконали свого зобов'язання забезпечити безпеку та конфіденційність персональних даних користувачів Інтернету, відповідно до статті 34 Закону про обробку даних та свободи. [4]

Санкції, винесені проти компанії ОПТИЧНИЙ ЦЕНТР [5] та компанії LOC CAR DREAM, [6] попередження тренера компанії РЕЖИМ [7] або ще нещодавно офіційне повідомлення FACEBOOK [8] ідеально ілюструють твердість CNIL з точки зору порушення цього зобов'язання щодо захисту даних та конфіденційності.

У справі ОПТИЧНИЙ ЦЕНТР, після офіційного повідомлення, CNIL наклав на компанію фінансовий штраф у розмірі 50 000 євро. На додаток до інших передбачуваних порушень, CNIL зазначив відсутність поліпшення "надійності" паролів клієнтів компанії та відсутність оновлення їхніх паролів. [9]

Також Комісія наклала фінансову санкцію на суму 5000 євро проти компанії LOC CAR DREAM. Тут CNIL зазначив, що "безпека встановленої компанією системи автентифікації не відповідає вимогам Комісії щодо політики, яка повинна бути прийнята та реалізована контролерами даних щодо управління паролями. Дійсно, якщо пароль, що використовується для доступу до програм геолокації, містить задовільну кількість буквено-цифрових символів, він ніколи не змінювався більше двох років, хоча його потрібно регулярно оновлювати і ніколи не змінювати., Крім того, не розроблявся з достатня складність, тобто, включаючи щонайменше три з наступних чотирьох символів: алфавітні великі, малі, цифрові та спеціальні ". [10]

В іншому випадку РЕЖИМ-ТРЕНЕРА CNIL встановив, що компанія зберігає паролі своїх клієнтів у своїх базах даних, і видав попередження проти цього. [11]

Нарешті, нещодавно CNIL повідомив соціальну мережу Facebook про дотримання Закону про захист даних. Серед дев'яти передбачуваних порушень CNIL зазначив порушення зобов'язання забезпечити безпеку даних. Справді, Комісія зазначає, що Facebook пропонує лише своїм членам вибір пароля, що складається з більш ніж шести символів, що є унікальним і важко здогадатися. З іншого боку, CNIL зазначає, що користувач Інтернету може ввести як пароль "1234567a". [12]

Таким чином, компанії, що пропонують послугу для громадськості, повинні прийняти внутрішню політику захисту паролів, яка відповідає вимогам CNIL, щоб не порушити зобов'язання щодо безпеки, передбачене стаття 34 Закону.[13]

У зв'язку з цим, цілком ймовірно, що CNIL знову формує та модифікує свої рекомендації щодо паролів, щоб адаптуватися до поточного контексту: все більше і більше кібератак. Однак наслідки цього для приватності користувачів не позбавлені ризиків: справа Ешлі Медісон - один із прикладів серед багатьох інших (на жаль) ...

[1] Національна комісія з обчислювальної техніки та свобод (CNIL), Створіть безпечний пароль і керуйте списком кодів доступу, 11 квітня 2014 р,

(консультація в Інтернеті 29 лютого 2016 р.).

[2] Закон про захист даних 1978 р., Ст. 34.