Protection des DCP / Réglementation / RGPD

Données de Journalisation : Conservation et usage

Posted by

Mise en conformité RGPD- Dispositifs de journalisation liés à l’application : mesure de sécurité et contrôle d’accès

CNIL Délibération no 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation : JOR 30.10.2021. Texte 107 sur 154

Eléonore Scaramozzino, Avocate partenaire Constellation Avocats

La Cnil a adopté une recommandation relative aux modalités de conservation et d’usage des données de journalisation visant à trouver un équilibre entre sécurité/contrôle d’accès et respect de la vie privée des utilisateurs habilités à accéder aux données en fonction de différents cas de figure.

Définition : la Cnil définit les dispositifs de journalisation comme : « des dispositifs qui permettent d’assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d’information (et donc aux traitements de données à caractère personnel que sont susceptibles de constituer ces systèmes). Ces dispositifs peuvent être adossés soit à des applications (qui sont les briques logicielles spécifiques au traitement mis en œuvre et sont donc sujettes à la mise en œuvre de journaux dits « applicatifs »), soit à des équipements spécifiques (qui sont des équipements informatiques associés à des logiciels embarqués, sujets à la mise en œuvre de journaux dits « périmétriques »).

Champ d’application : La présente recommandation est applicable aux dispositifs de journalisation liés à l’application sur laquelle repose le traitement et non à la journalisation périmétrique. La recommandation concerne les mesures de journalisation applicables à des traitements génériques ; des mesures additionnelles de protection peuvent être nécessaires pour certains traitements. La conduite d’une AIPD est recommandée pour déterminer les mesures complémentaires adéquates.

Exclusion : La recommandation ne s’applique pas aux traitements dont la finalité principale serait la journalisation elle-même.

La Cnil a émis des recommandations pour les 3 cas d’usage des systèmes de journalisation (cas général, cas de contrôles internes, autres cas).

Les mesures applicables aux 3 catégories :

Les spécificités pour chacune des catégories

Légifrance – Publications officielles – Journal officiel – JORF n° 0254 du 30/10/2021 (legifrance.gouv.fr)https://www.legifrance.gouv.fr/download/pdf?id=Ng9i2KEYFB_uOM29YFJd_aVVrTYd8QBRF4GG4QsrWv8=

Laisser un commentaire