Faut-il changer son mot de passe régulièrement ? Ce que recommande vraiment la CNIL en 2026

« Tu devrais changer ton mot de passe tous les 3 mois » : ce conseil reste répété en 2026, alors qu’il a été officiellement retiré des guides de la CNIL et du NIST américain depuis plusieurs années. Pire, l’imposer aux salariés ou aux utilisateurs augmente la surface d’attaque au lieu de la réduire. Voici la vraie recommandation 2026, et les seuls cas où changer un mot de passe reste obligatoire.

D’où vient la règle des 90 jours et pourquoi elle est dépassée

La rotation périodique des mots de passe (30, 60 ou 90 jours) date des années 1980, quand les attaques se faisaient principalement par bruteforce hors-ligne contre des hashes faibles (DES, LM Hash). À l’époque, un mot de passe pouvait être cassé en quelques mois — d’où l’idée d’imposer un changement avant que l’attaquant n’ait le temps d’aboutir.

En 2026, trois choses ont changé :

  1. Les hashes modernes (bcrypt, Argon2, scrypt) rendent le bruteforce hors-ligne infaisable pour un mot de passe correctement généré. Voir notre article sur la longueur idéale d’un mot de passe : 16 caractères aléatoires d’alphabet 95 résistent plusieurs siècles aux meilleurs GPU.
  2. La menace dominante n’est plus le bruteforce mais le phishing, le credential stuffing (réutilisation de fuites) et les malwares stealers. Aucune de ces attaques n’est ralentie par une rotation périodique.
  3. L’imposer crée des comportements toxiques documentés par les études Microsoft Research et NIST : variations triviales (Password2026!Password2026!!), réutilisation cross-services, affichage sur post-it parce que la mémorisation devient impossible.

Ce que dit la CNIL dans sa délibération 2022 (toujours en vigueur en 2026)

La délibération n° 2022-100 de la CNIL et la note technique CNIL/ANSSI co-signée fin 2023 sont sans ambiguïté :

« L’obligation de modifier régulièrement son mot de passe (par exemple tous les trois mois) n’est plus considérée comme une bonne pratique. Elle est même contre-productive lorsqu’elle conduit à des mots de passe affaiblis. La CNIL recommande de privilégier la complexité initiale, l’unicité par service et la détection d’incident. »

Trois principes remplacent la rotation :

  1. Complexité initiale : un mot de passe long, aléatoire, généré par un outil cryptographique. Voir pourquoi un générateur côté client est plus sûr.
  2. Unicité par service : un mot de passe différent par compte. Sans gestionnaire, c’est impossible — d’où l’utilité d’un coffre comme Bitwarden ou KeePass.
  3. Détection d’incident : surveiller activement les fuites via Have I Been Pwned ou un service équivalent, et changer uniquement les mots de passe compromis.

Le NIST SP 800-63B : la référence internationale

Le NIST américain a publié en 2017 (révisé 2024) la norme SP 800-63B qui sert de référence mondiale. Elle est encore plus directe :

« Verifiers SHALL NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise. »

Traduction : un service ne doit pas imposer de rotation arbitraire. Il doit forcer un changement uniquement en cas de compromission avérée.

Quand changer son mot de passe (les seuls 5 cas valides en 2026)

La règle 2026 se résume à cinq déclencheurs. En dehors de ces cas, ne changez pas un mot de passe fort.

DéclencheurActionDélai
Le service apparaît sur Have I Been PwnedChanger immédiatement, activer 2FA si pas déjà fait< 24 h
Vous avez saisi votre mot de passe sur un site de phishingChanger + révoquer toutes les sessions activesImmédiat
Vous l’avez tapé sur un appareil public ou non-confiance (cybercafé, PC d’un proche)Changer dès retour sur appareil sûr< 1 jour
Vous l’avez partagé temporairement avec un tiers (ex : entrepreneur, ex-conjoint)Changer dès la fin du besoinImmédiat
Le service vous le demande après un incident de sécurité interneSuivre l’instruction du serviceSelon délai imposé

Pour un audit complet, suivez notre checklist d’audit 10 minutes des mots de passe.

Le piège des politiques d’entreprise encore obsolètes

Beaucoup d’entreprises et d’administrations imposent encore en 2026 une rotation tous les 90 jours, en contradiction avec les guides CNIL/ANSSI/NIST. Pourquoi ? Trois raisons inertielles :

  1. Auditeurs anciens : certains référentiels d’audit (ISO 27001 ancien, PCI-DSS jusqu’à v3.2.1) imposaient explicitement la rotation. Les versions récentes (PCI-DSS v4.0, ISO 27001:2022) suppriment cette obligation, mais les politiques internes ne sont pas mises à jour.
  2. Logiciels métier hérités : certains systèmes RH ou Active Directory déployés avant 2018 forcent la rotation par défaut, et la désactiver demande un projet IT.
  3. Croyance populaire : le RSSI répète une bonne pratique apprise il y a 15 ans.

Si vous êtes salarié et obligé de changer tous les 90 jours, la meilleure parade est :

  • Générer une passphrase Diceware longue et différente de l’ancienne (pas une variation triviale). Voir Diceware vs mot de passe aléatoire.
  • Stocker le nouveau mot de passe dans le coffre Bitwarden de l’entreprise (s’il existe) ou un coffre personnel.
  • Ne jamais réutiliser un schéma incrémental (Été2026, Été2026!, Été2026!!).

Pourquoi la rotation périodique fragilise vraiment

Une étude de l’Université de Caroline du Nord (Zhang et al., reprise par le NIST) sur 7 700 comptes a montré que :

  • 41 % des nouveaux mots de passe pouvaient être devinés en moins de 5 essais à partir de l’ancien (ex : Janvier2026! devient Mars2026!).
  • 17 % des utilisateurs notent leur nouveau mot de passe sur papier, post-it ou fichier non chiffré.
  • 22 % réutilisent leur nouveau mot de passe sur un autre service (donc en exposent davantage).

Le solde est sans appel : la rotation imposée diminue la sécurité moyenne. Mieux vaut un mot de passe fort gardé 5 ans qu’un mot de passe faible changé tous les trimestres.

La vraie hygiène 2026 en 4 actions

À la place de la rotation, faites ces 4 choses une fois pour toutes :

  1. Générer un mot de passe fort par service avec un outil cryptographique côté client. Notre générateur tire chaque mot de passe via crypto.getRandomValues() du navigateur, sans aucun upload — vos secrets ne quittent jamais votre machine.
  2. Stocker dans un gestionnaire open-source (Bitwarden, KeePassXC) avec un mot de passe maître unique et long. Suivez notre guide pour créer un mot de passe maître Bitwarden incassable.
  3. Activer la 2FA sur les comptes sensibles : email, banque, cloud, réseaux sociaux, comptes administratifs.
  4. Surveiller les fuites mensuellement via Have I Been Pwned. Voir comment vérifier si votre mot de passe a fuité.

C’est l’inverse complet de la logique « rotation » : on renforce au lieu de changer.

Pour les administrateurs : refaire sa politique en 2026

Si vous êtes RSSI, DSI ou responsable conformité et que votre politique impose encore la rotation, voici les 4 points à mettre à jour :

  1. Supprimer la rotation périodique des mots de passe utilisateurs, sauf en cas d’incident (alignement CNIL/ANSSI/NIST).
  2. Imposer une longueur minimale de 12 caractères pour les comptes utilisateur, 20+ pour les comptes administrateur, sans complexité forcée stupide (pas de « 1 majuscule + 1 chiffre + 1 symbole » qui produit des Password1!).
  3. Exiger un gestionnaire de mots de passe d’entreprise (Bitwarden Teams, 1Password Business, KeePassXC + Syncthing).
  4. Activer la détection automatique de fuites via l’API Have I Been Pwned ou un service SOC, et forcer le changement ciblé uniquement sur les comptes compromis.

Cette politique est validée par la CNIL et l’ANSSI, et réduit mesurablement les incidents par rapport à l’ancienne politique. Pour le contexte entreprise, voir sécuriser les mots de passe en entreprise.

FAQ

Si je n’ai pas changé mon mot de passe Gmail depuis 5 ans, suis-je en danger ?

Pas si ce mot de passe est :

  • Long (16+ caractères) et aléatoire,
  • Unique (jamais réutilisé ailleurs),
  • Pas apparu sur Have I Been Pwned,
  • Protégé par 2FA.

Si l’un de ces 4 points manque, c’est ce point qu’il faut corriger — pas la durée. Vérifiez d’abord si votre mot de passe a fuité.

Mon entreprise m’oblige à changer tous les 60 jours. Comment éviter d’affaiblir ?

Générez chaque nouveau mot de passe avec un outil cryptographique (16+ caractères aléatoires), stockez-le dans le gestionnaire fourni par l’entreprise (ou personnel si pas de fournit) et ne créez aucune variation incrémentale (pas de Été26, Automne26). C’est le seul moyen de respecter la politique sans dégrader la sécurité réelle.

Que faire si Have I Been Pwned signale mon email ?

Suivez notre protocole de réinitialisation après piratage : changer en priorité l’email principal (votre clé de récupération), puis les comptes financiers, puis les services contenant des données sensibles.

Et la 2FA, suffit-elle à compenser un mot de passe faible ?

Non. La 2FA est une couche supplémentaire, pas un remplacement. Un mot de passe faible reste vulnérable au phishing temps réel (où l’attaquant capte aussi le code 2FA), à l’attaque par credential stuffing massif, et au reset via email compromis. Combinez les deux : mot de passe fort + 2FA.

Les coffres comme Bitwarden imposent-ils une rotation du mot de passe maître ?

Non. Les bons coffres (Bitwarden, 1Password, KeePassXC) suivent les recommandations NIST et n’imposent aucune rotation. Ils suggèrent uniquement de changer si vous suspectez une compromission ou si vous avez utilisé le maître sur un appareil non sûr.

Conclusion

En 2026, la consigne « changer son mot de passe régulièrement » appartient à la même catégorie que « se laver les mains à l’eau froide pour éviter les microbes » : c’est une vieille croyance, démentie par la science, que tout le monde répète encore. La vraie hygiène est : un mot de passe fort par service, généré côté client, stocké dans un coffre, protégé par 2FA, et surveillé via Have I Been Pwned. Aucune rotation arbitraire — uniquement des changements ciblés sur incident.

Générer un mot de passe fort, dans votre navigateur, sans upload →