Dans un système informatique, chaque utilisateur se connecte normalement avec un compte personnel, ce qui permet :

  • de donner des droits d’accès personnalisés a chaque personne ;
  • de séparer les activités de chaque personne ;
  • de garder trace des actions de chaque personne.

Lorsque plusieurs personnes utilisent un compte commun, il n’est pas possible de réaliser ces points. Cela ne pose pas de problème majeur pour un compte Netflix, mais dans le cas d’un système contenant des données sensibles, cela pose un problème majeur de sécurité.

Dans le cas d’une intrusion non sollicitée ou d’activités suspicieuses, il est important de pouvoir identifier la source pour comprendre la nature du problème et y apporter une solution.

Pour les entreprises traitant des données à caractère personnel, le fait d’utiliser un compte commun pour accéder aux données est contraire au RGPD1, car cela ne permet pas de garantir un niveau de sécurité suffisant.

La CNIL2 l’a d’ailleurs rappelé à la société Brico Privé3, qui a été sanctionnée pour avoir laissé quatre salariés utiliser un compte commun pour accéder aux bases de données de l’entreprise :

« La [CNIL] rappelle que l’attribution d’un identifiant unique par utilisateur et l’interdiction des comptes partagés figurent parmi les précautions indispensables afin de garantir une traçabilité effective des accès à une base de données. En l’espèce, le partage du compte permettant d’accéder à la copie de la base de données de production par quatre salariés ne permet pas de garantir une authentification correcte des utilisateurs et, par conséquent, une gestion effective des habilitations et une traçabilité correcte des accès. Une telle absence de traçabilité des accès ne permet ainsi pas d’identifier un accès frauduleux ou l’auteur d’une éventuelle détérioration ou d’une suppression des données à caractère personnel.

Dans ces conditions, la [CNIL] considère que l’utilisation d’un compte générique ne permet pas de garantir la sécurité des données, au sens de l’article 32 du RGPD. »

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La société Brico Privé a été sanctionnée par la CNIL pour avoir notamment utilisé un compte commun pour accéder aux bases de données contenant des données à caractère personnel (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICO-PRIVE.COM sanctionné pour des manquements au RGPD ».