Pour gérer vos consentements :
Categories: Data & Stockage

Journalisation : les recommandations de la Cnil

Quelles modalités d’usage pour les données de journalisation ? Mi-octobre, la Cnil adoptait une recommandation à ce sujet. Elle vient d’en rendre officiellement compte sur son fil d’actualités. Avec, entre autres, un tableau récapitulatif des durées de conservation « acceptables ».

Cette recommandation englobe les journaux qualifiés d’« applicatifs ». C’est-à-dire liés aux applications sur lesquelles reposent des traitements de données à caractère personnel. Elle ne couvre pas les journaux que la Cnil dit « périmétriques » (liés à des équipements informatiques associés à des logiciels embarqués). Sont également exclus de son champ les traitements dont la finalité principale est la journalisation elle-même.

De manière générale, on conservera les données en question entre six mois et un an. Assez, explique la Cnil, pour sécuriser les traitements sous-jacents, tout en évitant d’accumuler «un volume de données trop important pouvant faire l’objet d’attaques ou de détournements de finalité ».

On nous recommande la même durée lorsque les données du traitement principal sont conservées moins de 6 mois. Mais avec une condition : ne pas inclure, dans les journaux, de données personnelles issues de ce traitement. On leur préférera des identifiants pseudonymes ou « pour lesquels la réidentification est particulièrement difficile »).

Dans les autres cas, on minimisera l’inclusion de données personnelles au sein des journaux. On conservera en outre ces derniers à part du système principal. On les horodatera et les signera par ailleurs dès leur création. Pour ce qui est de leur inscription au registre des traitements, elle pourra se faire au sein de l’entrée relative au traitement journalisé. Ou bien dans une entrée spécifique si la journalisation est transversale.

Journalisation : quelles exceptions au « 6 mois – 1 an » ?

Exception à la règle du « six mois – un an » : les traitements qui font l’objet de mesures de « contrôle interne ». Dans cette situation, il est envisageable de conserver les journaux plus longtemps – trois ans dans les cas les plus courants. La démarche aura un effet dissuasif. Mais il faudra démontrer l’existence d’un risque important pour les personnes concernées en cas de détournement des finalités. Par exemple, si le traitement porte sur « des données sensibles ou d’infraction, à grande échelle ou conduit à une surveillance systématique ».

Deuxième exception : les traitements qui présentent des spécificités. Entre autres :

– Obligation légale de conservation

– Finalité particulière atteinte à l’aide des journaux. Comme la gestion des contentieux, pour prouver que les parties ont bien accédé aux pièces et aux actes de procédure.

– Réalisation d’analyses post-attaque ou post-intrusion, ou après suspicion d’attaque

Autant de cas qui nécessiteront une justification « précise et documentée ».

Photo d’illustration © Pavel Ignatov – Adobe Stock

Recent Posts

Cloud : 4 points à retenir du rapport Aryaka

Adoption cloud, espace de travail hybride, convergence réseau et cybersécurité… La migration monte en puissance.

4 heures ago

Automatisation et emploi : pourquoi l’Europe peut mieux faire

Impactés par l'automatisation, 12 millions d'emplois seraient détruits dans 5 pays d'Europe, d'ici 2040. La…

10 heures ago

Green IT : 10 chiffres sur l’empreinte écologique

L'ADEME et l'Arcep ont remis au Gouvernement leur rapport sur l'empreinte environnementale du numérique en…

10 heures ago

Cisco : 4 certifications qui rapportent

Dans les technologies et les réseaux, une expertise certifiée peut faire la différence. Les certifications…

1 jour ago

WeTransfer vers une valorisation de 716 millions €

Le service de transfert et de stockage de fichiers WeTransfer sera évalué entre 629 et…

1 jour ago

Threat intelligence : VirusTotal tente de valoriser les IoC

VirusTotal (plate-forme de renseignement sur les menaces) a récemment introduit le principe des « collections…

1 jour ago