Dans un système informatique, chaque utilisateur se connecte normalement avec un compte personnel, car cela permet :

  • de donner des droits d’accès personnalisés à chaque personne ;
  • de garder une trace des actions de chaque personne.

Lorsque plusieurs personnes utilisent un compte commun, il n’est pas possible de réaliser ces points. Cela ne pose pas de problème particulier pour un compte Netflix, mais dans le cas d’un système contenant des données sensibles, cela pose un problème majeur de sécurité, car la source d’éventuelles activités suspectes est, par exemple, difficile à identifier.

Pour les entreprises traitant des données à caractère personnel, le fait d’utiliser un compte commun pour accéder aux données est contraire au RGPD[1], car cela ne permet pas de garantir un niveau de sécurité adapté[2].

« La [CNIL] rappelle que l’attribution d’un identifiant unique par utilisateur et l’interdiction des comptes partagés figurent parmi les précautions indispensables afin de garantir une traçabilité effective des accès à une base de données. […]
Dans ces conditions, la [CNIL] considère que l’utilisation d’un compte générique ne permet pas de garantir la sécurité des données, au sens de l’article 32 du RGPD. »

L’utilisation d’un compte générique ou partagé pour accéder à des systèmes contenant des données personnelles peut être sanctionné par l’autorité de contrôle, c’est-à-dire la CNIL[3] pour la France. Des sociétés ont d’ailleurs déjà été sanctionnées pour avoir eu recours à une telle pratique, notamment le vendeur en ligne Brico Privé[4], car ses salariés utilisaient un compte commun pour accéder aux bases de données de l’entreprise.

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD demande aux responsables de traitement de données à caractère personnelles de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2). Le fait de partager un compte n’est pas considéré comme une mesure appropriée.
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. La société Brico Privé a été sanctionnée par la CNIL, car les salariés de l’entreprise utilisaient un compte commun pour accéder aux bases de données de l’entreprise (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité ».