Droit du travail & RH

Article ancien - Il se peut que les informations et les liens ne soient plus à jour

Ordinateurs professionnels : vous devez vérifier que les mots de passe choisis par vos salariés préservent la sécurité des données

Publié le par dans Sanction et discipline.

Choisir un simple prénom ou un nom de famille, ou encore une date d’anniversaire comme mot de passe pour son ordinateur est une pratique courante. Elle doit pourtant être bannie dans les entreprises si elles ne veulent pas voir leur responsabilité engagée pour manquement à leur obligation de sécurité des données personnelles…

Les faits

Lors d’un contrôle dans une entreprise relatif au départ à la mise en place d’un dispositif de vidéosurveillance abusif, la CNIL a condamné une société pour avoir notamment manqué à son obligation d’assurer la sécurité des données personnelles.

Qu’était-il exactement reproché à l’employeur ? De ne pas s’être assuré que les mots de passe choisis par ses salariés pour accéder à leurs ordinateurs et aux données personnelles qu’ils contiennent étaient suffisamment difficiles à deviner.

Les explications de la CNIL

Il incombe à l’employeur de prendre toutes les précautions utiles pour préserver la sécurité des données personnelles d’un salarié et notamment empêcher qu’une personne extérieure puisse y accéder ou les modifier.

Or pour la CNIL, un mot de passe trop bref, trop simple à deviner, ou trop peu souvent changé fait courir un risque sur les données contenues dans l’ordinateur.

Elle a ainsi considéré qu’en l’espèce l’entreprise avait manqué à son obligation d’assurer la sécurité des données personnelles dans la mesure où :

  • la plupart des mots de passe contenaient 5 caractères ;
  • les mots de passe correspondaient au nom ou prénom des salariés ;
  • certains étaient inchangés depuis 2011.

Au surplus, l’entreprise n’avait en l’espèce procédé à aucune des opérations simples de sécurisation de ses outils informatiques malgré mise en demeure de la CNIL. Une sanction pécuniaire a donc été prononcée à son encontre.

   
Vous avez tout intérêt à sécuriser l’accès aux ordinateurs professionnels dans votre entreprise pour ne prendre aucun risque vis-à-vis de la CNIL. Pour cela, imposez à vos salariés de choisir un mot de passe d’une certaine longueur, mixant chiffres et lettres, et prévoyez un renouvellement fréquent de ce mot de passe.

Dans cette affaire, l’employeur a également été condamné pour avoir mis en place un dispositif de vidéosurveillance abusif. En effet, instaurer un tel dispositif ne peut se faire que sous certaines limites et après avoir accompli certaines formalités. Pour ces 2 manquements, la CNIL a prononcé une sanction pécuniaire d’un montant de 10.000 euros à l’encontre de l’entreprise !

Pour être sûr de ne pas commettre d’impair lors de la mise en place d’un dispositif de vidéosurveillance, téléchargez notre tableau de synthèse extrait de notre documentation « Modèles commentés pour la gestion du personnel ».


Anne-Lise Castell

Délibération CNIL n° 2013–139 du 30 mai 2013 (l’employeur a l’obligation d’assurer la sécurité des données personnelles contenues dans les ordinateurs professionnels)

Newsletter

Recevez notre sélection d’articles par e-mail.