La conservation de données de journalisation est « un outil essentiel du respect du principe de sécurité des traitements de données personnelles prévu à l’article 5 du RGPD », rappelle la CNIL.
Leur objectif est en effet d’assurer une traçabilité des accès et des actions des différentes personnes accédant aux systèmes d’informations et, plus précisément, aux traitements de données personnelles mis en œuvre au sein de leurs organisations.
Ces données peuvent également constituer un outil efficace de détection et d’investigation en cas d’incident, d’intrusion dans les systèmes informatiques, ou de détournement d’usage des traitements de données par les personnes habilitées.
Pour autant, ces journaux contiennent en outre des données relatives aux utilisateurs habilités du système qui « peuvent révéler des informations sur eux (par exemple liées à leur performances professionnelles) ».
Il est donc nécessaire de trouver un équilibre entre la sécurité apportée par la journalisation, la surveillance que ce type de système peut créer sur les agents habilités et l’émergence de risques particuliers liés à une conservation trop longue, estime dès lors la CNIL.
Afin de guider les responsables de traitement, son projet de recommandation propose une grille d’analyse afin de leur permettre de déterminer la durée pendant laquelle ces données doivent être conservées.
Elle recommande notamment de « conserver ces données de manière ségrégée du système principal, par exemple sur des équipement physiquement distincts et accessibles uniquement en écriture par les applicatifs du traitement principal, sans possibilité d’écrasement de données existantes » et ce, pour une durée comprise entre six mois et un an, mais pouvant dans certains cas aller jusqu'à trois ans.
Elle recommande également de « minimiser l’inclusion de données à caractère personnel dans les données de journalisation ».
La consultation publique est ouverte jusqu’au 23 juillet 2021, en vue de soumettre une version actualisée à ses membres pour adoption définitive.
Commentaires (2)
#1
Sujet très très complexe car indirectement lié à la justice.
En effet la justice impose que certaines choses soient traçables jusqu’à 5 ans en arrière (mais non consultable hors décret de justice si > 1 an).
Et dès que l’on parle de doubles données personnelles (celui qui fait l’action et la cible de l’action) les choses deviennent encore plus complexes.
Bref oui on pourra enlever certains données mais pas tout, il est plus urgent d’interdire leur utilisation “non juridique” que de rendre les journaux difficilement utilisables.
#2
“Journalisation de logs” ne veut rien dire : “logs” est l’anglais pour “journaux”. “journalisation” signifie “transposer sous forme de journal” : on journalise des informations de connexions, par exemple.
Entre l’anglais, les anglicismes et les néologismes pseudo-anglais, on frise la maladie professionnelle dans les TIC…
On parle ici de la conservation des journaux.
Leur analyse est un autre problème, repoussant leur stockage éclaté dans d’autres mécanismes, et mettant en lumière d’autres informations par croisement/recoupement/agrégation.
Une fois les journaux effacés, il peut donc subsister toute une palanquée d’informations personnelles ci ou là… mais personne ne s’en soucie (pour l’instant ?).
Donnons-nous quelques années pour soudainement les découvrir, et l’on sortira alors notre plus belle expression de surprise !