RGPD : quid des données de journalisation ?
Les outils de journalisation participent à la protection des données personnelles en enregistrant les activités des utilisateurs ainsi que les anomalies et les différents événements liés à la sécurité. Quelles sont les précautions à prendre concernant les données collectées dans le cadre de cette journalisation ?
Quelles précautions pour les données de journalisation ?
Pour mémoire, le traitement de données personnelles (c’est-à-dire leur collecte, leur stockage, leur utilisation, etc.) fait l’objet d’un encadrement légal strict destiné à préserver les droits des personnes qu’elles concernent.
Dans ce cadre, la Commission nationale de l’informatique et des libertés (CNIL) rappelle aux responsables de traitement de données qu’il est nécessaire de mettre en place un dispositif spécifique visant à enregistrer :
- les activités des utilisateurs ;
- les anomalies et les événements liés à la sécurité des données personnelles traitées (accès frauduleux, utilisation abusive de données personnelles, etc.).
Toutefois, les données collectées dans le cadre de ce dispositif de sécurité, appelées « données de journalisation », contiennent également des informations particulières (identifiants, équipement utilisé pour se connecter, etc.) nécessitant de prendre certaines précautions concernant, notamment, leur durée de conservation.
La CNIL précise, qu’en principe, la durée de conservation des données de journalisation doit être comprise entre 6 mois et 1 an. Cependant, certaines exceptions sont prévues. Ainsi :
- la durée de conservation peut être plus longue lorsque la spécificité du traitement le justifie (par exemple dans le cas de l’existence d’une obligation légale de conservation, d’une finalité particulière, etc.) ; Dans ce cas, elle sera déterminée au cas par cas ;
- les traitements faisant l’objet d’un contrôle en interne peuvent permettre une conservation des données pendant 3 ans maximum si le responsable justifie que cela est effectivement nécessaire.
Dans tous les cas, la mise en place d’un dispositif technique permettant de limiter les risques de détournement de ces données de journalisation est fortement conseillée.
Source : Communiqué de presse de la CNIL du 18 novembre 2021
RGPD : quid des données de journalisation ? © Copyright WebLex – 2021