Bonjour,
je réalise actuellement un site en freelance, et le client me demande de pouvoir exporter la base de données des utilisateurs, avec entre autre leur email et leur mot de passe (brut, pas crypté) pour se connecter à ce site.

J'aimerai savoir si cette fonctionnalité est légale ou non.

Comme ce n'est pas un problème de PHP, on déménage le sujet vers "Autre".

En principe, les mots de passes personnels devraient être cryptés dans la base ou à tout le moins hachés. S'ils sont hachés, c'est irréversible, donc impossible d'avoir les mots de passe en clair. S'ils sont cryptés, en principe, c'est par soucis de protection des données personnelles et à ce titre, le propriétaire de la base n'est pas sensé pouvoir tripatouiller dedans. Il serait normal que le code de l'application soit prévu pour décrypter les mots de passes pour ceux qui auraient perdu le leur, mais ça se limite à ça.

Sur le plan purement légal, il serait opportun de fouiller la doc sur le site de la CNIL où tu as des chances d'avoir une réponse appropriée

Sans compter que beaucoup de gens utilisent les mêmes mots de passes pour leurs comptes mails, les différents forums qu'ils fréquentent, etc
Bref, j'ignore si c'est légal de conserver des mots de passe en clair, mais pour moi, c'est une question de déontologie informatique.