LES OBLIGATIONS DE JOURNALISATION : ce qu’impose la délibération CNIL n°2021-122 du 14 octobre 2021
Avant de se plonger dans la lecture (délicieuse) de la délibération CNIL « journalisation », il est d’abord nécessaire de réviser ce que sont les obligations techniques de sécurisation d’un traitement de données personnelles. C’est l’épisode 2 de notre série en vidéo+BD.
Pour être bien sûr de comprendre les notions techniques utilisées par la CNIL, il est ensuite nécessaire de maitriser les notions de log, de trace et de marqueur technique. C’est l’épisode 3.
Rentrons aujourd’hui (enfin) dans le détail de cette nouvelle obligation de sécurité et voyons ce qu’impose la CNIL aux organisations (entreprises, administrations, collectivités territoriales, etc.). Ce n’est pas moi qui l’invente, c’est ce que rappelle la CNIL dans sa délibération, de manière tout à fait conforme aux champs d’application du RGPD.
Bref, voyons dans cet épisode 4 comment ça marche – juridiquement – la « journalisation des accès et des actions » dans un système d’information [en cas de traitement de données personnelles, bien sûr].
Et si vous lisez cette délibération, ne croyez pas l’affirmation de la CNIL selon laquelle ce référentiel serait facultatif.
C’est la CNIL qui fixe l’état de l’art en la matière en sa qualité d’autorité de contrôle.
Ne pas suivre les « recommandations » de la CNIL vous fait courir le risque d’être négligent. Donc sanctionnable. Donc responsable…
LES OBLIGATIONS DE JOURNALISATION : ce qu’impose la délibération CNIL n°2021-122 du 14 octobre 2021
Pas besoin de longues explications, citons la CNIL :
La journalisation est un enregistrement « comprenant l’auteur individuellement identifié, l’horodatage, la nature de l’opération réalisée ainsi que la référence des données concernées par l’opération » .
Les « opérations » sont celles réalisées par les users internes d’une organisation (ses salarié(e)s) ou les users externes (par exemple les internautes qui se connectent à un service web).
La finalité d’un traitement de données de journalisation ? La sécurité du système d’information de l’organisation !
La base juridique de cette finalité ? L’article 6.1 (f) du RGPD : les intérêts légitimes de la sécurité du système d’information. Vous n’êtes pas convaincu(e) par ce fondement ? Allez relire le Considérant n°49 du RGPD qui est – me semble-t-il – assez clair sur le sujet :
« Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c’est-à-dire la capacité d’un réseau ou d’un système d’information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d’intervention en cas d’urgence informatique (CERT), des équipes d’intervention en cas d’incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s’agir, par exemple, d’empêcher l’accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques » .
[pardon de cette longue citation in extenso, mais comme je me suis récemment disputé sur ce sujet avec une DPO un peu… comment dire…rigide…].
La durée de conservation ?
1 an maximum !
La CNIL vous propose aussi des DO et des DON’T sur la manière de structurer les fichiers de journalisation.
La CNIL évoque même le cas particulier de certains traitements de journalisation de données sensibles, à grande échelle ou concernant des données « hautement personnelles ».
Pour accéder à tous ces détails, une seule solution : visualiser la vidéo de cet épisode 4 !
LES OBLIGATIONS DE JOURNALISATION : ce qu'impose la délibération CNIL du 14 octobre 2021 en vidéo+BD
Le générique des BD ayant servi d'illustration à cette vidéo+BD (merci aux éditions Delcourt / Soleil !)
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Arctica » 11 tomes par Pecqueur et Kovacevic © éditions Delcourt
« La nef des Fous » 11 tomes par Turf © éditions Delcourt
« Odin » 2 tomes par Jarry et Seure-Le Bihan © éditions Soleil
« Le Crépuscule des Dieux » 9 tomes par Jarry et Djief © éditions Soleil
« Les 5 Terres » 7 tomes (au 11 janvier 2022) par Lewelyn et Lereculey © éditions Delcourt
« Carmen mc Callum » premier cycle (tome 1 par Duval Vatine Blanchard et Gess et tomes 2 et 3 par Duval et Gess) © éditions Delcourt
« Olympus Mons » premier cycle en 6 tomes par Bec et Raffaele © éditions Soleil
« Au-delà des merveilles » 2 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune (2 tomes re-colorisés et ré-édités en 2021)
« Souvenirs de la Grande Armée » 4 tomes par Dufranne et Alexander © éditions Delcourt
« Excalibur-Chroniques » 5 tomes par Istin et Brion © éditions Soleil
« lE dERNIER tROYEN » 6 tomes par Mangin et Démarez © éditions Soleil
« Horologiom » 7 tomes par Stéphane Lebeault © éditions Delcourt
« Badlands » 3 tomes par Corbeyran et Kowalski © éditions Soleil
« L’Oeil de la Nuit » 3 tomes par Lehman et Gess © éditions Delcourt