Source: Ius Mentis
Une décision de la Commission nationale de l'informatique et des libertés soulève des questions qui dépassent le seul cadre de cette affaire, y compris pour les petites entreprises françaises.
Selon le blog juridique néerlandais Ius Mentis, la CNIL a infligé une amende de 3,5 millions d'euros à une entreprise française non nommée le 30 décembre 2025. L'affaire portait sur deux manquements distincts.
En premier lieu, l'entreprise aurait partagé des données personnelles de membres de son programme de fidélité avec un réseau social à des fins de publicité ciblée, apparemment sans recueillir un consentement valable de la part de ces membres.
En second lieu, l'entreprise a été jugée en défaut pour avoir utilisé SHA-256 (avec sel) pour hacher les mots de passe de ses clients. Selon Ius Mentis, la CNIL a considéré cette pratique insuffisante, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ayant indiqué que SHA-256 et les algorithmes similaires s'exécutent très rapidement. Dans le contexte du stockage des mots de passe, cette rapidité favorise les attaquants, car elle leur permet de tester un grand nombre de combinaisons en peu de temps. Des algorithmes tels qu'Argon2 sont spécifiquement conçus pour résister à ce type d'attaque par force brute.
Free website scan covering GDPR, copyright, accessibility, security, and more.
Scan your site freeUne faille de sécurité grave dans les logiciels cPanel et WHM est actuellement exploitée activement, et l'ampleur du problème est significative. Si votre site web est hébergé sur un compte géré via cP
La CNIL a fondé la partie sécurité de sa décision sur l'article 32 du RGPD, qui impose aux organisations de mettre en œuvre des mesures techniques appropriées pour protéger les données personnelles. Ius Mentis relève également que l'article 63 du RGPD oblige les autorités de protection des données à travers l'UE à coopérer et à harmoniser leurs positions, ce qui signifie qu'une prise de position de la CNIL sur la sécurité des mots de passe a peu de chances de rester confinée à la France.
La décision de la CNIL est contraignante en France. Pour les autres pays membres de l'UE, elle n'est pas automatiquement contraignante. Toutefois, comme le souligne Ius Mentis, le mécanisme de coopération prévu par le RGPD tend à rapprocher les positions des régulateurs dans le temps. La CNIL elle-même, qui applique le RGPD et la Loi Informatique et Libertés, attend des organisations qu'elles mettent en œuvre des mesures de sécurité appropriées selon des principes similaires.
Il convient de noter que Ius Mentis est une source secondaire qui rend compte de la décision de la CNIL, et non le texte officiel de la décision elle-même. Le montant de l'amende, la date et les références juridiques sont ceux rapportés par le blog, et n'ont pas été vérifiés de manière indépendante à partir de la source primaire.
Si votre site web stocke les mots de passe de vos clients, la méthode utilisée pour les protéger est importante au regard du RGPD. L'utilisation d'un algorithme de hachage obsolète ou rapide comme SHA-256 pour le stockage des mots de passe pourrait être considérée comme une mesure de sécurité insuffisante par la CNIL. Il est conseillé de vérifier auprès de votre développeur web ou de votre hébergeur comment les mots de passe de vos clients sont stockés, et si un algorithme plus adapté est déjà en place. Vous pouvez également consulter notre liste de contrôle sécurité pour les petites entreprises pour des prochaines étapes concrètes.