La CNIL publie une recommandation relative aux mesures de journalisation
La CNIL a adopté une recommandation portant sur la mise en place de mesures de journalisation. Les systèmes de journalisation sont des outils indispensables pour la sécurité des données personnelles qui peuvent notamment permettre de détecter des incidents ou des accès non autorisés. Cette recommandation avait fait l’objet d’une consultation de 8 semaines.
La journalisation, une mesure nécessaire
La conservation de données de journalisation est un outil essentiel du respect du principe de sécurité des traitements de données personnelles prévu à la fois dans le RGPD et la loi Informatique et Liberté. D’une manière générale, il est toujours recommandé de prévoir la conservation de données de journalisation des actions d’accès, création, modification et suppression sur un traitement de données personnelles.
Le but des outils de journalisation est, particulièrement dans le contexte de systèmes multi-utilisateurs, d’assurer une traçabilité des accès et des actions des différentes personnes accédant aux systèmes d’informations et, plus précisément, aux traitements de données personnelles mis en œuvre au sein de leurs organisations.
Les données ainsi collectées et traitées par ces outils contiennent des informations sur les personnes administrant ou accédant aux ressources, comme l’identifiant utilisateur, la date et l’heure de l’accès, l’identifiant de l’équipement utilisé, etc.
Ces données peuvent constituer un outil efficace de détection et d’investigation en cas d’incident, d’intrusion dans les systèmes informatiques, ou de détournement d’usage des traitements de données par les personnes habilitées. En ce sens, elles constituent une mesure de sécurité importante que la CNIL encourage de manière systématique.
Par ailleurs, l’efficacité de cette mesure est directement liée à la capacité à traiter les informations enregistrées dans les journaux : c’est pourquoi il est recommandé que les données de journalisation fassent l’objet de mesures d’analyse automatique afin de permettre la détection rapide des éventuelles utilisations indues du traitement.
Quel est l’objet cette recommandation ?
Un équilibre à trouver entre sécurité, surveillance et risques
Dans la majorité des cas, les données journalisées contiennent essentiellement des données relatives aux personnes concernées par le traitement principal. De ce point de vue, l’enregistrement de ces données de journalisation ne rend pas le traitement plus intrusif, sous réserve que leur existence ne mène pas à un dépassement de la durée de conservation des données. De plus, cette mesure peut apporter des garanties importantes pour la sécurité de ces données.
En revanche, ces journaux contiennent également des données relatives aux utilisateurs habilités du système qui peuvent révéler des informations sur eux (par exemple liées à leur performance professionnelle).
De plus, la conservation longue de journaux de connexion peut engendrer des risques supplémentaires pour la sécurité du système d’information : saturation du serveur de journaux pouvant entraîner une indisponibilité, accès illégitime aux journaux permettant d’extraire des informations sur le système d’information, etc.
Il est donc nécessaire de trouver un équilibre entre la sécurité apportée par la journalisation, la surveillance que ce type de système peut créer sur les agents habilités et l’émergence de risques particuliers liés à une conservation trop longue.
Des conseils pour déterminer les mesures à prendre selon le type de traitement de données
La mise en œuvre de cette mesure de sécurité soulève quelques questions récurrentes, notamment sur le choix de la durée de conservation des données de journalisation.
Afin de guider les responsables de traitement, la CNIL propose, dans son projet de recommandation, une grille d’analyse afin de leur permettre de déterminer la durée pendant laquelle ces données doivent être conservées.
De manière générale, la CNIL recommande :
- une journalisation permettant d’assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d’information pour une durée comprise entre six mois et un an ;
- la mise en œuvre d’un système d’analyse des données collectée permettant l’exploitation des données collectées à court terme afin de répondre à la finalité de sécurisation visée par la journalisation ;
- la mise en oeuvre de mesures techniques et organisationnelles pour limiter tout risque de détournement de finalité des données de journalisation.
Dans le cas spécifique de traitements faisant l’objet de mesures de contrôle interne, la CNIL considère :
- qu’il est possible de justifier la conservation de données de journalisation pour une durée supérieure à un an, avec dans les cas les plus courants une durée maximale de trois ans ;
- que le responsable de traitement doit démontrer et documenter qu’une durée de conservation plus longue est nécessaire afin de traiter les risques de détournement du traitement pour les personnes concernées ;
- que la durée choisie doit dans ce cas être déterminée de manière proportionnée à la finalité poursuivie, notamment en fonction des temporalités décrites dans les processus du responsable de traitement.
Enfin la CNIL rappelle :
- qu’il est possible que les spécificités du traitement justifient un allongement de la durée de conservation (une obligation légale de conservation, une finalité spécifique ou un état de la menace important) auquel cas une analyse au cas par cas doit être menée pour déterminer la durée de conservation adéquate ;
- qu’à l’inverse, en cas de durée de conservation des données sources inférieure ou très inférieure à six mois, les pratiques doivent être aménagées pour éviter une conservation dans les journeaux de données dont la durée de conservation serait échue.
Le tableau ci-dessous synthétise cette grille :
|
Durée minimale |
Durée maximale |
Conditions |
Journalisation “standard” |
Six mois |
Un an |
|
Journalisation de traitements comportant des données dont la durée de conservation est inférieure à six mois |
Six mois |
Un an |
Les journaux doivent ne pas inclure de données personnelles du traitement principal |
Journalisation de traitements faisant l’objet de mesure de “contrôle interne” |
Six mois |
Trois ans dans les cas les plus courants |
Démontrer le risque de détournement pour les personnes concernées par le traitement et disposer de procédures d’analyses et d’investigation documentées |
Journalisation de traitements présentant des spécificités particulières |
Six mois |
A définir dans le cas d’une analyse au cas par cas |
Existence d’une spécificité qui peut par exemple être une obligation légale de conservation, une finalité spécifique ou un état de la menace justifiant un allongement |
Cette recommandation n’a pas vocation à être prescriptive ou exhaustive : elle vise uniquement à formuler des recommandations pratiques sur la mise en œuvre des systèmes de journalisation. Elle rappelle cependant certaines obligations du RGPD et de la loi Informatique et Libertés.
Le processus de consultation
La consultation a reçu 43 contributions de la part de 26 participants :
- 84% de ces participants ont jugé que le périmètre de la recommandation était pertinent ;
- 15 sont des délégués à la protection des données (DPO) ou RSSIs ;
- 3 sont des particuliers ;
- les 8 derniers ont des profils variés (juriste du secteur, ingénieur informatique ou manager).
Ces contributions ont permis à la CNIL :
- de faire évoluer, sur le fond et sur la forme, le projet de recommandation afin d’y apporter certaines clarifications ;
- d’apporter des réponses, dans la synthèse des contributions, aux préoccupations et incompréhensions exprimées, particulièrement lorsqu’elles n’avaient pas vocation à faire évoluer la recommandation.
Le compte rendu détaillé des retours obtenus ainsi que des réponses aux questionnements exprimés est disponible dans le document « Synthèse des contributions ».
La CNIL invite tous les acteurs concernés à prendre connaissance du contenu de la recommandation et d’en tirer les conséquences en terme de mesures à mettre en œuvre afin de respecter des obligations qui découlent des textes applicables.