Juridique

La CNIL recadre la conservation des logs

La CNIL recadre la conservation des logs
La CNIL veut limiter les stockages de données issues des logs.

Publiée au Journal Officiel, une recommandation relative aux modalités de conservation et d'usage des données de journalisation (logs) vient d'être émise par la CNIL.

PublicitéAprès avoir recueilli des contributions externes auprès d'intervenants du marché, dont plus de la moitié de DPO, la CNIL a émis une « recommandation relative aux modalités de conservation et d'usage des données de journalisation ». Une recommandation vise à orienter les entreprises et autres organisations dans l'application des textes en vigueur, dont le RGPD, en posant des éléments de doctrine, mais sans être d'application obligatoire stricte. S'en écarter est cependant risqué en cas de contrôle de la CNIL. Cette recommandation concerne la conservation des journaux de logs.

Bien entendu, la CNIL concède que la journalisation des actions d'accès, création, modification et suppression sur un traitement de données personnelles fait clairement partie des exigences en matière de sécurité des dits traitements. Cette journalisation doit donc être opérée sans le moindre doute. Mais les données de logs constituent en elles-mêmes des données personnelles. Il convient donc d'appliquer à ces journaux les règles habituelles des traitements de données personnelles.

Les données concernent d'une part les personnes gérées dans le traitement principal auquel se rapportent les logs, d'autre part les autres utilisateurs de ce traitement. C'est sur cette deuxième catégorie que se posent les problèmes. La CNIL note ainsi : « ces journaux contiennent également des données relatives aux utilisateurs habilités du système qui peuvent révéler des informations sur eux (par exemple liées à leur performance professionnelle) ». L'autorité administrative indépendante recommande d'une part de réaliser sans délai les études relatives à la détection d'incidents de sécurité mais, d'autre part, de prendre des mesures techniques et organisationnelles pour empêcher tout détournement de finalité au-delà de la sécurité des traitements et de limiter strictement la durée de conservation des logs, dans le cas général de six mois à un an, avec une possibilité d'aller jusqu'à trois ans voire davantage dans certains cas dûment justifiés.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    La politique commerciale de VMware a-t-elle redéfini vos priorités en matière de modernisation des infrastructures ?