Ces derniers jours ont été riches en actualité liée à la protection des données à caractère personnel :

  • le décret n° 2022-1313 du 13 octobre 2022 relatif à l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée
  • la publication de la recommandation de la CNIL sur les mots de passe et autres secrets partagés ce week-end,
  • ou encore le décret n° 2022-1327 du 17 octobre 2022 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion ce matin

Parue au Journal officiel du 16 octobre, la délibération n°2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés annule et remplace l’ancienne recommandation de 2017. L’utilisation de mots de passe pour accéder à des services numériques est extrêmement fréquente mais constitue une menace accrue sur la sécurité des données. La CNIL a estimé nécessaire d’actualiser sa recommandation sur le sujet. Les nouveautés de ces recommandations portent sur le degré de complexité du mot de passe, la fin de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, la communication d’une liste de mots de passes complexes mais à éviter en raison de leur caractère connu. Elles apportent également des précisions sur les règles concernant la création et le renouvellement des mots de passe.

A compter du 1er mars 2023, le décret n°2022-1313 fixe les jours, horaires et fréquence au cours desquels les consommateurs peuvent être sollicités par téléphone à des fins de prospection commerciale non sollicitée. Le décret précise que le démarchage téléphonique est autorisé du lundi au vendredi de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne peut être réalisé le samedi, dimanche et jours fériés.

Tous les consommateurs sont concernés aussi bien ceux inscrits sur la liste d’opposition Bloctel que ceux ayant un contrat en cours avec le prospecteur commercial.

Le décret interdit également qu’un consommateur soit contacté à des fins de prospection commerciale plus de quatre fois par mois par le même professionnel ou une personne agissant pour son compte. S’il refuse tout démarchage téléphonique au cours d’une conversation avec un professionnel, le consommateur ne pourra pas être contacté par celui-ci pendant une période de soixante jours à compter du refus.

Toute violation de ces dispositions expose son auteur à une amende de 75 000 € pour une personne physique et 375 000 € pour une personne morale.

Enfin, le décret n°2022-1237 s’adresse aux opérateurs de communications électroniques ainsi qu’aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ou la mise à disposition de stockage de signaux, écrits, images, sons ou messages. Il les enjoint de conserver, pendant une période d’un an, les données de trafic et de localisation aux fins de sauvegarde de la sécurité nationale.

Nous reviendrons sur ces évolutions règlementaires lors du cycle de formation sur la protection des données du mois de novembre destiné tant aux DPO qu’à toutes les personnes intéressées par le sujet.

Recommandation de la CNIL sur les mots de passe