Conseil d’État — Beaucaire (30/04/2024) : la barre CNIL pour l’IAM

Résumé — Le 30 avril 2024, le Conseil d’État valide l’usage par la CNIL de sa recommandation « mots de passe » pour apprécier la suffisance des mesures de sécurité au sens de l’article 32 RGPD, sans en faire une norme autonome. Message aux dirigeants : l’« état de l’art CNIL » devient la référence d’évaluation, et l’IAM doit le démontrer par conception et par preuves.

Les faits

Dans l’affaire « Commune de Beaucaire » (n° 472864), le Conseil d’État confirme que, pour la sécurité des traitements (art. 32 RGPD), la CNIL peut s’appuyer sur sa recommandation relative aux mots de passe afin d’évaluer l’adéquation des mesures. Le juge acte ainsi que cette recommandation matérialise l’« état de l’art » technique à considérer. Référence officielle : Conseil d’État, 30/04/2024, n° 472864.

La CNIL rappelle dans ses ressources que sa recommandation (délibération n° 2022‑100 du 21 juillet 2022) fixe des pratiques minimales lorsque l’authentification par mot de passe est utilisée (longueur/entropie, hachage avec sel via algorithmes robustes, verrouillage après tentatives, etc.). Réf. : CNIL — Recommandation « mots de passe ».

Le contexte menace se durcit : des attaques récentes contournent ou rétrogradent des méthodes fortes. Exemple illustratif : une attaque de « downgrade » contre FIDO dans Microsoft Entra ID peut amener l’utilisateur à valider une méthode plus faible et phishable. Source : BleepingComputer, 13 août 2025.

Le cadre légal qui s’applique

• RGPD — Article 25 « protection des données dès la conception et par défaut » : intégrer la sécurité et la minimisation dans l’architecture IAM, dès la conception (profils, rôles, cycles de vie). Voir le cadre RGPD applicable.
• RGPD — Article 32 « sécurité du traitement » : mesures techniques et organisationnelles appropriées au risque (authentification robuste, gestion des habilitations, journalisation, chiffrement des secrets, revues périodiques).
• NIS 2 — Article 21 (mesures de gestion des risques cyber) : impose des contrôles d’accès, une hygiène des identités, l’authentification multifacteur et la gestion des vulnérabilités, adaptés au risque. Au Luxembourg, l’ILR précise la mise en œuvre (loi du 5 mai 2026) : ILR — NISS/NIS2 Luxembourg. Voir aussi la page directive NIS 2.

Jurisprudence pivot :

• Le Conseil d’État valide que la CNIL peut s’appuyer sur sa recommandation « mots de passe » pour apprécier l’article 32 (sans la transformer en norme autonome). Réf. : CE, 30/04/2024, n° 472864.
• La CNIL détaille les exigences minimales (entropie, stockage non réversible avec sel/algorithme réputé fort, limitation de tentatives, etc.). Réf. : CNIL — Mots de passe.

Conséquence opérationnelle : ignorer ces repères expose à voir ses mesures jugées « non appropriées » au sens de l’article 32, y compris lors d’enquêtes NIS 2.

La solution technique à déployer

Objectif : un IAM « privacy & security by design » qui ancre l’état de l’art dans les contrôles techniques et leurs preuves.

Références standards : ISO/IEC 27001:2022 Annexe A — A.5.15, A.5.16, A.8.2, A.8.3 ; NIST CSF 2.0 — PR.AA ; CIS Controls v8 — C6, C14.

Composants clés

• Gouvernance des identités
  • Source d’autorité RH, provisioning automatique (Joiner/Mover/Leaver), séparation des tâches, traçabilité des changements.
  • Registre des comptes techniques avec secret management (coffre-fort, rotation).
• Authentification et secrets
  • Politique mots de passe conforme CNIL (entropie/longueur selon l’usage ; hachage robuste avec sel unique ; mémorisation limitée).
  • MFA sur les accès exposés et fonctions sensibles ; privilégier des facteurs résistants au phishing (FIDO2/WebAuthn) et empêcher le « downgrade » (politiques conditionnelles, blocage des méthodes héritées, authentificateurs approuvés).
• Autorisation et moindre privilège
  • RBAC/ABAC, rôles métiers, « Just‑In‑Time » pour privilèges d’administration, approbations traçables, révocation automatique.
• Contrôles de session et d’anomalies
  • Détection d’incohérences (lieu, posture du device), verrouillage après tentatives, CAPTCHAs adaptés, verrouillage progressif.
• Journalisation et preuves
  • Logs d’authentification et d’administration horodatés et intègres, conservation selon risques ; intégration SIEM/XDR pour détection.
• Preuve continue
  • Revues périodiques des habilitations, campagnes de recertification, rapports d’écarts et plan d’actions.

Avertissement menace : même des facteurs forts peuvent être rétrogradés si des « fallbacks » faibles sont autorisés ; verrouillez ces voies de secours (cf. démonstration d’attaque de downgrade FIDO — BleepingComputer).

Comment Luxgap déploie cela

• Gouvernance ISO 27001 : cadrage IAM via un référentiel de contrôle aligné ISO 27001 Annexe A, NIST CSF et CNIL ; atelier « état des lieux » (identités, cartographie applicative), définition des politiques (mots de passe, MFA, rôles, PAM « just‑in‑time ») et des preuves (journaux, recertifications).
• Conseil DPO/CISO externalisés : articulation RGPD art. 25/32 et NIS 2 art. 21, règles d’habilitation par métier, campagnes de recertification et préparation aux contrôles. Pour le pilotage opérationnel, découvrez notre accompagnement CISO externalisé.
• SOC managé (option) : intégration des journaux IAM (SSO, AD/Azure AD, PAM) au SIEM, détections d’anomalies (impossible travel, force brute, fatigue MFA, tentatives de downgrade) et alertes 24/7 via notre SOC managé.

En pratique, nous fournissons des runbooks de configuration (Azure AD/Entra ID, Okta, Keycloak, AD DS) intégrant les paramètres anti‑downgrade MFA, les politiques de mot de passe conformes CNIL et des revues trimestrielles d’habilitations avec rapports signés.

Cas concret au Luxembourg ou en UE

Une société de services réglementés (in scope NIS 2 au Luxembourg) disposait d’un SSO cloud et d’annuaires multiples. En 6 semaines :

1. Alignement des politiques IAM sur la recommandation CNIL (mots de passe) et verrouillage des méthodes MFA ; suppression des « fallbacks » SMS sauf exceptions documentées.
2. Déploiement de rôles métiers (RBAC) et d’un processus JML automatisé via la source RH.
3. Intégration des logs IAM au SIEM du SOC, avec détection d’authentifications anormales.

Résultats : 78% de comptes orphelins en moins dès la première recertification, fermeture de 100% des méthodes MFA non résistantes au phishing sur les accès exposés, et un dossier de preuves prêt pour contrôle art. 32 RGPD/NIS 2 art. 21.

Premiers pas concrets

• Cartographier les accès critiques : applications exposées, administrateurs, comptes techniques ; méthodes MFA autorisées.
• Geler les méthodes faibles : bloquer les réinitialisations par e‑mail non supervisées et les SMS de secours sur les accès sensibles ; imposer FIDO2/WebAuthn quand possible.
• Mettre à niveau la politique mots de passe : appliquer la recommandation CNIL (entropie/longueur par cas d’usage, hachage robuste salé, tentatives limitées). Réf. : CNIL — Mots de passe.
• Lancer une recertification d’habilitations : validation par les managers, suppression des comptes orphelins et des rôles non utilisés.
• Activer la journalisation IAM et les alertes : centraliser les logs SSO/annuaire, surveiller la fatigue MFA et les accès anormaux, idéalement sous le régime NIS 2 quand il s’applique.

Pour une approche intégrée RGPD/NIS 2 avec preuves, nos experts peuvent cadrer et piloter le dispositif en continu, en lien avec votre DPO/RSSI.