La protection des données et mots de passe sur Internet en Espagne

L’Agence Espagnole de Protection des Données (AEPD) a  exécuté plusieurs décisions dans lesquelles elle étend les exigences de la Loi espagnole pour la Protection des Données (LOPD) dans les cas où les clients ou les consommateurs finaux doivent s’identifier sur une page web par  la création d’un nom d’utilisateur et d’un mot de passe.

Lorsque les clients peuvent accéder à une page web et consulter leurs données personnelles, l’Agence Espagnole de protection des Données considère cette page web comme un « système d’information » et le client ou le consommateur comme un « utilisateur d’un système d’information ». Dans ce cas, la AEPD indique que les mots de passe doivent :

  • Être stockés sous forme non réversible (stocker le hasch)
  • Offrir une date d’expiration
  • Etablir un nombre maximum de tentatives de connexion incorrectes pour atteindre un niveau de sécurité moyen
  • Enregistrer tous les accès et les tentatives d’accès pour un niveau de sécurité élevé
  • Dans le cas où le client oublierait son mot de passe, il ne sera pas possible qu’il lui soit rappelé. Il est recommandé de créer un nouveau mot de passe provisoire qui devra être modifié par l’utilisateur lors de son premier accès.

Il en résulte que l’application de ces mesures de sécurité est obligatoire pour tout système de base de données qui est géré avec un nom d’utilisateur et un mot de passe, cela s’applique aussi bien aux utilisateurs et aux employés internes qu’aux gérants de la base de données.

Un manquement à ces mesures entraîne des sanctions financières qui, suivant les circonstances, varient entre 1.000€ et 60.000€ pour se conformer à la règlementation adoptée par la AEPD en Espagne.

 

Mariscal Abogados, Avocats francophones en Espagne

Eurojuris España, réseau espagnol inernational de cabinet d’avocats