L’Agence Espagnole de Protection des Données (AEPD) a exécuté plusieurs décisions dans lesquelles elle étend les exigences de la Loi espagnole pour la Protection des Données (LOPD) dans les cas où les clients ou les consommateurs finaux doivent s’identifier sur une page web par la création d’un nom d’utilisateur et d’un mot de passe.
Lorsque les clients peuvent accéder à une page web et consulter leurs données personnelles, l’Agence Espagnole de protection des Données considère cette page web comme un système d’information et le client ou le consommateur comme un utilisateur d’un système d’information. Dans ce cas, la AEPD indique que les mots de passe doivent :
- Être stockés sous forme non réversible (stocker le hasch)
- Offrir une date d’expiration
- Établir un nombre maximum de tentatives de connexion incorrectes pour atteindre un niveau de sécurité moyen
- Enregistrer tous les accès et les tentatives d’accès pour un niveau de sécurité élevé
- Dans le cas où le client oublierait son mot de passe, il ne sera pas possible qu’il lui soit rappelé. Il est recommandé de créer un nouveau mot de passe provisoire qui devra être modifié par l’utilisateur lors de son premier accès.
Il en résulte que l’application de ces mesures de sécurité est obligatoire pour tout système de base de données qui est géré avec un nom d’utilisateur et un mot de passe, cela s’applique aussi bien aux utilisateurs et aux employés internes qu’aux gérants de la base de données.
Un manquement à ces mesures entraîne des sanctions financières qui, suivant les circonstances, varient entre 1.000€ et 60.000€ pour se conformer à la règlementation adoptée par la AEPD en Espagne.
Cet article ne relève pas du conseil juridique