La Commission Nationale de l’Informatique et des Libertés (CNIL) a rendu une délibération (n° 2021-122) le 14 octobre 2021 portant adoption d’une recommandation relative à un procédé informatique : la journalisation.
Qu’est-ce que la journalisation ?
La journalisation est un outil essentiel du respect du principe de sécurité des traitements de données personnelles (prévu par les article 5 et 32 du RGPD).
Les dispositifs de journalisation sont définis comme des dispositifs qui permettent d’assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d’information.
La journalisation permet donc de savoir qui a eu accès à quel logiciel, à quelles données ou à quel serveur et à quel moment.
Les journaux sont accessoires à un traitement principal, ils doivent être mentionnés dans le registre de traitement aux côtés des traitements principaux.
La CNIL précise que la recommandation concerne les dispositifs de journalisation « liés à l’application sur laquelle repose le traitement et non à la journalisation périmétrique[1], qui répond à une logique différente. »
A quoi sert la journalisation ?
La conservation des données de traçabilité a pour objectif premier la sécurisation des traitements. Le but d’un dispositif de journalisation est de « parer des attaques ou intrusions, ou de remédier rapidement à un incident informatique en facilitant l’identification du problème ».
La CNIL préconise de : « mettre en œuvre un système de traitement et d’analyse des données collectées et de formaliser un processus permettant de générer des alertes et de les traiter en cas de suspicion de comportement anormal.»
Les dispositifs de journalisation permettent d’identifier des accès frauduleux, des utilisations abusives de données personnelles, ou de déterminer l’origine d’un incident.
Ils permettent également de documenter la transmission d’informations à des « destinataires ».
Enfin, les données de journalisation peuvent aussi servir à enquêter sur ces incidents et à apporter la preuve de certaines actions ou responsabilités (par exemple après une violation de données).
Les modalités d’utilisation de ces traces doivent être formalisées dans un process.
Cependant, le risque lorsque l’on met en place un dispositif de journalisation est de trouver l’équilibre entre la sécurité apportée par le dispositif, la surveillance que ce type de dispositif peut créer pour les personnes habilitées (les systèmes de journalisation traitent notamment les données des salariés accédants au traitement principal) et les risques liés à une durée de conservation trop longue.
La CNIL énonce plusieurs recommandations :
A. Recommandations générales :
Dans un premier temps, la CNIL recommande que « les opérations de création, consultation, modification et suppression des données à caractère personnel et des informations contenues dans les traitements auxquels la journalisation est appliquée fassent l’objet d’un enregistrement comprenant l’auteur individuellement identifié, l’horodatage, la nature de l’opération réalisée ainsi que la référence des données concernées par l’opération », tout en évitant les duplications.
En parallèle, elle met également l’accent sur le fait de minimiser l’inclusion de données à caractère personnel dans les données de journalisation, par exemple en ne conservant que des identifiants pseudonymes, et d’horodater et de signer les journaux dès leur création.
Elle recommande aussi de conserver ces données dans un fichier séparé du système principal. Elle indique à titre d’exemple que cela peut être mis en œuvre en « utilisant des équipements physiques distincts et accessibles uniquement en écriture par les applicatifs du traitement principal ».
Les accès aux données de journalisation devront aussi faire l’objet d’autorisations spécifiques basées sur la stricte nécessité. Le responsable de traitement devra limiter les risques concernant les personnes habilitées. Notamment, comme l’indique la CNIL, il pourra les soumettre à une charte d’utilisation définissant les usages acceptables.
La CNIL rappelle que la mise en place d’un dispositif de journalisation, ne doit pas conduire le responsable de traitement à collecter des données présentant des risques d’atteinte à la vie privée pour les personnes concernées par le traitement principal. De plus, les personnes habilitées à accéder au traitement doivent être informées de la mise en œuvre d’un dispositif de journalisation, de la finalité et des durées de conservation.
B. Les durées de conservation
La Commission prescrit au responsable de traitement de conserver les données de journalisation pendant une durée de 6 mois à 1 an maximum et de mettre en place des procédures et outils de purge automatique des journaux.
Elle indique que « certains traitements, quel que soit le régime juridique qui leur est applicable, présentent des spécificités qui peuvent justifier un allongement supplémentaire de la durée de conservation des données journalisation ».
Elle cite le cas du contrôle interne ou l’existence d’une obligation légale de conserver des traces pour une durée prévue par un texte législatif.
Pour le premier cas (contrôle interne), l’importance du risque de détournement de finalité peut justifier une durée de conservation supérieure à un an, mais seulement si le responsable de traitement :
- « démontre le risque, pour les personnes concernées par le traitement principal, lié à un détournement de la finalité de l’utilisation des données les concernant. » par exemple, pour des données sensibles ou d’infraction, à grande échelle ou conduisant à une surveillance systématique des personnes concernées ;
- dispose de procédures documentées en matière d’analyse et d’investigation internes, de manière régulière et en cas de signalement ou de suspicion de détournement de finalité. »
Ainsi, dans ces situations, une durée de trois ans maximum pourra être justifiée.
Dans le deuxième cas (obligation légale de conservation), le responsable de traitement doit impérativement documenter, et de manière précise, les raisons le conduisant à envisager une durée plus longue.
En dernier lieu, la Commission précise : « qu’il n’est pas possible de motiver la durée de conservation des données de traçabilité par la seule durée de prescription des infractions pénales délictuelles liées au mésusage des données du traitement par eux qui y accèdent ».
Charlotte GALICHET
[1] Il s’agit des dispositifs adossés à des équipements informatique spécifique associés à des logiciels embarqués.