Journalisation : les recommandations de la Cnil

Clément Bohic,
Cnil recommandation journaux journalisation

Combien de temps conserver des données de journalisation et sous quelles conditions ? La Cnil émet une recommandation à ce sujet.

Quelles modalités d’usage pour les données de journalisation ? Mi-octobre, la Cnil adoptait une recommandation à ce sujet. Elle vient d’en rendre officiellement compte sur son fil d’actualités. Avec, entre autres, un tableau récapitulatif des durées de conservation « acceptables ».

Cette recommandation englobe les journaux qualifiés d’« applicatifs ». C’est-à-dire liés aux applications sur lesquelles reposent des traitements de données à caractère personnel. Elle ne couvre pas les journaux que la Cnil dit « périmétriques » (liés à des équipements informatiques associés à des logiciels embarqués). Sont également exclus de son champ les traitements dont la finalité principale est la journalisation elle-même.

De manière générale, on conservera les données en question entre six mois et un an. Assez, explique la Cnil, pour sécuriser les traitements sous-jacents, tout en évitant d’accumuler «un volume de données trop important pouvant faire l’objet d’attaques ou de détournements de finalité ».

On nous recommande la même durée lorsque les données du traitement principal sont conservées moins de 6 mois. Mais avec une condition : ne pas inclure, dans les journaux, de données personnelles issues de ce traitement. On leur préférera des identifiants pseudonymes ou « pour lesquels la réidentification est particulièrement difficile »).

Dans les autres cas, on minimisera l’inclusion de données personnelles au sein des journaux. On conservera en outre ces derniers à part du système principal. On les horodatera et les signera par ailleurs dès leur création. Pour ce qui est de leur inscription au registre des traitements, elle pourra se faire au sein de l’entrée relative au traitement journalisé. Ou bien dans une entrée spécifique si la journalisation est transversale.

Journalisation : quelles exceptions au « 6 mois – 1 an » ?

Exception à la règle du « six mois – un an » : les traitements qui font l’objet de mesures de « contrôle interne ». Dans cette situation, il est envisageable de conserver les journaux plus longtemps – trois ans dans les cas les plus courants. La démarche aura un effet dissuasif. Mais il faudra démontrer l’existence d’un risque important pour les personnes concernées en cas de détournement des finalités. Par exemple, si le traitement porte sur « des données sensibles ou d’infraction, à grande échelle ou conduit à une surveillance systématique ».

Deuxième exception : les traitements qui présentent des spécificités. Entre autres :

– Obligation légale de conservation

– Finalité particulière atteinte à l’aide des journaux. Comme la gestion des contentieux, pour prouver que les parties ont bien accédé aux pièces et aux actes de procédure.

– Réalisation d’analyses post-attaque ou post-intrusion, ou après suspicion d’attaque

Autant de cas qui nécessiteront une justification « précise et documentée ».

durées journalisation

Photo d’illustration © Pavel Ignatov – Adobe Stock