Le 18 novembre, la CNIL a indiqué avoir adopté une recommandation portant sur la mise en place de mesures de journalisation. La conservation de données de journalisation est un outil essentiel du respect du principe de sécurité des traitements de données personnelles prévu à la fois dans le RGPD et la loi Informatique et Liberté.
“Le but des outils de journalisation est, particulièrement dans le contexte de systèmes multi-utilisateurs, d’assurer une traçabilité des accès et des actions des différentes personnes accédant aux systèmes d’informations et, plus précisément, aux traitements de données personnelles mis en œuvre au sein de leurs organisations, » explique la Cnil. Les données ainsi collectées et traitées par ces outils contiennent des informations sur les personnes administrant ou accédant aux ressources, comme l’identifiant utilisateur, la date et l’heure de l’accès, l’identifiant de l’équipement utilisé, etc.
Si ces données peuvent constituer un outil efficace de détection et d’investigation en cas d’incident, d’intrusion dans les systèmes informatiques, ou de détournement d’usage des traitements de données par les personnes habilitées, la Cnil souhaite via cette recommandation fournir un équilibre entre sécurité, surveillance et risques. “Il est nécessaire de trouver un équilibre entre la sécurité apportée par la journalisation, la surveillance que ce type de système peut créer sur les agents habilités et l’émergence de risques particuliers liés à une conservation trop longue. »
Des conseils pour déterminer les mesures à prendre
La CNIL propose dans son projet de recommandation une grille d’analyse afin de permettre aux responsables de traitement de déterminer la durée, et les conditions, pendant laquelle ces données doivent être conservées, résumées dans le tableau ci-dessous.
| Durée minimale | Durée maximale | Conditions | |
| Journalisation “standard” | Six mois | Un an | |
| Journalisation de traitements comportant des données dont la durée de conservation est inférieure à six mois | Six mois | Un an | Les journaux doivent ne pas inclure de données personnelles du traitement principal |
| Journalisation de traitements faisant l’objet de mesure de “contrôle interne” | Six mois | Trois ans dans les cas les plus courants | Démontrer le risque de détournement pour les personnes concernées par le traitement et disposer de procédures d’analyses et d’investigation documentées |
| Journalisation de traitements présentant des spécificités particulières | Six mois | A définir dans le cas d’une analyse au cas par cas | Existence d’une spécificité qui peut par exemple être une obligation légale de conservation, une finalité spécifique ou un état de la menace justifiant un allongement |
La CNIL invite “tous les acteurs concernés à prendre connaissance du contenu de la recommandation et d’en tirer les conséquence en terme mesures à mettre en œuvre afin de respecter des obligations qui découlent des textes applicables. »
