Closed Touffy closed 6 years ago
dahfazz
commented
6 years ago Question bête que je me pose toujours... Est-ce qu'il existe une réglementation concernant la manipulation des mots de passe ? Et est-ce qu'il est possible de s'assurer que le site sur lequel je m'inscris s'est engagé à ne pas faire de bêtise ?
Tks.
Touffy
commented
6 years ago @dahfazz Pas de règlementation explicite qui entrainerait un délit sur simple constat, mais des recommendations qui, si elles n'étaient pas suivies, peuvent aggraver la faute d'une entreprise aux yeux d'un tribunal en cas de vol de données.
Dans la RGDP, c'est très flou. Les articles 32 et 34 impliquent que toute mesure technique qui permet de réduire l'impact du vol des données personnelles est souhaitable. Les mots de passe ne font l'objet d'aucune mention spéciale dans tout le texte.
La CNIL va plus loin et de manière beaucoup plus claire dans cet article sur les mots de passe :
Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.
dahfazz
commented
6 years ago MERCI !! @Touffy
olegskl
commented
6 years ago Done in may. Thanks!
RGPD et chiffrage côté client
new Date()Description
Une liste (ouverte ; j'espère que vous aurez des choses à ajouter) de choses que nous pouvons faire côté front pour que l'utilisateur maitrise ses données. Au niveau de l'UI : montrer quand des données personnelles sont soumises, quand elles sont utilisées dans des traitements, et rassurer sur la capacité à les récupérer ou à les effacer à tout moment. Pour recentrer sur l'aspect technique, je passerai ensuite un peu de temps sur le chiffrage des données côté client : qu'est-ce que c'est, les limites pratiques, et une démo avec Web Crypto.