La CNIL lance une consultation publique sur son projet de recommandation relative aux mesures de journalisation

28 mai 2021

Les systèmes de journalisation sont des outils indispensables pour la sécurité des données personnelles qui peuvent notamment permettre de détecter des incidents ou des accès non autorisés. Afin d’aider les responsables de traitement à mettre en place des mesures adaptées, la CNIL organise une consultation publique sur son projet de recommandation jusqu'au 23 juillet 2021.

consultation

La journalisation, une mesure nécessaire

La conservation de données de journalisation est un outil essentiel du respect du principe de sécurité des traitements de données personnelles prévu à l’article 5 du RGPD.

Le but des outils de journalisation est, particulièrement dans le contexte de systèmes multi-utilisateurs, d’assurer une traçabilité des accès et des actions des différentes personnes accédant aux systèmes d’informations et, plus précisément, aux traitements de données personnelles mis en œuvre au sein de leurs organisations.

Les données ainsi collectées et traitées par ces outils contiennent des informations sur les personnes administrant ou accédant aux ressources, comme l’identifiant utilisateur, la date et l’heure de l’accès, l’identifiant de l’équipement utilisé, etc.

Ces données peuvent constituer un outil efficace de détection et d’investigation en cas d’incident, d’intrusion dans les systèmes informatiques, ou de détournement d’usage des traitements de données par les personnes habilitées. En ce sens, elles constituent une mesure de sécurité importante que la CNIL encourage de manière systématique.

Par ailleurs, il est recommandé que les données de journalisation fassent l’objet de mesures d’analyse automatique afin de permettre la détection rapide des éventuelles utilisations indues du traitement.

Quel est l’objet cette recommandation ?

Un équilibre à trouver entre sécurité, surveillance et risques

Dans la majorité des cas, les données journalisées contiennent essentiellement des données relatives aux personnes concernées par le traitement principal. De ce point vue, l’enregistrement de ces données de journalisation ne rend pas le traitement plus intrusif, sous réserve que leur existence ne mène pas à un dépassement de la durée de conservation des données. De plus, cette mesure peut apporter des garanties importantes pour la sécurité de ces données.

En revanche, ces journaux contiennent également des données relatives aux utilisateurs habilités du système qui peuvent révéler des informations sur eux (par exemple liées à leur performances professionnelles).

De plus, la conservation longue de journaux de connexion peut engendrer des risques supplémentaires pour la sécurité du système d’information : saturation du serveur de journaux pouvant entraîner une indisponibilité, accès illégitime aux journaux permettant d’extraire des informations sur le système d’information, etc.

Il est donc nécessaire de trouver un équilibre entre la sécurité apportée par la journalisation, la surveillance que ce type de système peut créer sur les agents habilités et l’émergence de risques particuliers liés à une conservation trop longue.

Des conseils pour déterminer les mesures à prendre selon le type de traitement de données

La mise en œuvre de cette mesure de sécurité soulève quelques questions récurrentes, notamment sur le choix de la durée de conservation des données de journalisation.

Afin de guider les responsables de traitement, la CNIL propose, dans son projet de recommandation, une grille d’analyse afin de leur permettre de déterminer la durée pendant laquelle ces données doivent être conservées.

Cette recommandation n’a pas vocation à être prescriptive ou exhaustive : elle vise essentiellement à formuler des recommandations pratiques sur la mise en œuvre des systèmes de journalisation. Elle rappelle cependant certaines obligations du RGPD.

À qui s’adresse cette consultation ?

Cette consultation s’adresse à tous les organismes privés et publics concernés par la recommandation et, plus précisément, aux responsables de traitement, aux délégués à la protection des données ou encore aux responsables de la sécurité des systèmes d’information.

Les réponses reçues permettront d’adapter la recommandation à la réalité des pratiques afin de répondre aux besoins rencontrés dans la plupart des cas.

Quel est le calendrier de la consultation ?

Nous vous invitons à faire part de votre avis lors de cette consultation publique ouverte jusqu’au 23 juillet 2021.

À l’issue de cette période, une nouvelle version du projet de recommandation sera présentée aux membres de la CNIL réunis en séance plénière pour adoption définitive.

Participer à la consultation

Document reference

Projet de recommandation

Les mots clés associés à cet article