Conformité RGPD

Partage de mot de passe et RGPD :
ce que votre entreprise doit savoir

Le partage de mot de passe par email est l'une des failles les plus fréquentes en entreprise — et l'une des plus risquées au regard du RGPD. Cadre légal, sanctions, méthode conforme : tout est ici.

Solution Entreprise Cadre légal
Cadre légal

Ce que dit le RGPD sur les mots de passe

Le Règlement Général sur la Protection des Données (UE 2016/679), appliqué depuis mai 2018, encadre strictement le traitement des données personnelles. Les identifiants et mots de passe sont considérés comme des données personnelles dès qu'ils sont rattachés à une personne physique identifiable.

Article 5.1.f

Principe de sécurité et confidentialité : les données doivent être traitées de manière à garantir une sécurité appropriée.

Article 32

Sécurité du traitement : mesures techniques et organisationnelles appropriées, dont chiffrement et pseudonymisation.

Article 33

En cas de violation de données, l'organisme dispose de 72 h pour notifier la CNIL.

Concrètement : envoyer un mot de passe par email non chiffré peut être qualifié de défaut de mesure technique appropriée, et l'incident qui en découle devient une violation notifiable.

Risques

Sanctions et incidents marquants

20 M€ ou 4 %

Sanction maximale possible pour défaut de mesures de sécurité, selon l'article 83 du RGPD.

+12 000

Contrôles effectués par la CNIL depuis l'entrée en vigueur du RGPD, dont une part croissante sur les mesures techniques.

72 h

Délai imposé pour signaler une violation de données à caractère personnel à la CNIL.

À bannir

Les mauvaises pratiques

  • Mot de passe envoyé en clair dans le corps d'un email
  • Mot de passe envoyé dans un fichier joint (PDF, Excel)
  • Mot de passe partagé dans un canal Slack public
  • Mot de passe stocké dans un Google Doc partagé
  • Mot de passe dicté au téléphone sans contexte sécurisé
  • Mot de passe noté sur un post-it ou un carnet

Chacune constitue un risque RGPD et peut être pointée du doigt en cas d'audit.

À adopter

La méthode conforme RGPD

  • Utiliser un service de chiffrement de bout en bout (zero-knowledge)
  • Privilégier un éditeur hébergé dans l'UE
  • Configurer une durée de validité courte (24 h max recommandé)
  • Limiter à une seule consultation quand c'est possible
  • Ajouter une protection par mot de passe secondaire
  • Conserver une trace d'audit de l'envoi
Utiliser Seecret.it
Conformité by design

Pourquoi Seecret.it est conforme RGPD

Seecret.it a été conçu dès le départ avec la conformité RGPD comme contrainte structurelle.

Hébergement France / UE

Serveurs situés en France, aucun transfert vers les États-Unis.

Zero-knowledge AES-256

Le serveur ne voit jamais le contenu en clair. Détails techniques.

Auto-destruction

Suppression immédiate après consultation, principe de minimisation respecté.

Pas de profilage

Aucun tracking publicitaire, aucune revente de données.

Notification d'ouverture

Trace d'audit prouvant que vous avez mis en place une procédure suivie.

Hébergement souverain

Infrastructure française, conforme aux exigences de souveraineté numérique européenne.

FAQ

Partage de mot de passe et RGPD

Oui, dès lors qu'il est rattaché à une personne physique identifiable (login, email). Il est même considéré comme une donnée sensible car sa compromission peut entraîner un accès à d'autres données personnelles.

L'article 83 du RGPD prévoit jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial pour défaut de mesures de sécurité. Les sanctions moyennes constatées par la CNIL en 2024-2025 oscillent entre 5 000 € et 250 000 € selon la taille de l'organisme.

Le RGPD n'impose pas explicitement un algorithme, mais exige des mesures techniques appropriées au regard de la sensibilité des données (article 32). Pour des mots de passe, le chiffrement de bout en bout est aujourd'hui considéré comme l'état de l'art. C'est ce que propose Seecret.it.

Non. TLS ne chiffre que le transport. Une fois l'email arrivé, il est stocké en clair dans les boîtes mail, les sauvegardes, les serveurs intermédiaires. Le RGPD recommande un chiffrement de bout en bout pour les données sensibles.

Mettez votre organisation en conformité dès maintenant

Découvrez l'offre Seecret.it Entreprise : gestion d'équipe, audit, hébergement français.

Découvrir l'offre Entreprise