Le RGPD impose aux éditeurs de sites internet de veiller à la protection des données personnelles en prenant des mesures spécifiques. Le recueil de données de journalisation en fait partie. Il permet de conserver l’historique des actions effectuées sur un site internet (visites, connexions, téléchargements…) et de comprendre l’enchaînement des action ayant conduit à une éventuelle fuite de données.
Pour autant, cette journalisation comportant des données personnelles (notamment l’adresse IP de chaque connexion) elle ne peut être conservée que le temps « raisonnablement nécessaire » selon la définition du RGPD.
Face au dilemme ressenti par les éditeurs, la CNIL a publié une recommandation pour la durée de conservation de ces données en distinguant quatre cas :
- La journalisation “standard”
- La journalisation de traitements comportant des données dont la durée de conservation est inférieure à six mois
- La journalisation de traitements faisant l’objet de mesure de “contrôle interne”
- La journalisation de traitements présentant des spécificités particulières
Cas | Durée minimale | Durée maximale | Conditions |
1 | Six mois | Un an | |
2 | Six mois | Un an | Les journaux doivent ne pas inclure de données personnelles du traitement principal |
3 | Six mois | Trois ans dans les cas les plus courants | Démontrer le risque de détournement pour les personnes concernées par le traitement et disposer de procédures d’analyses et d’investigation documentées |
4 | Six mois | A définir dans le cas d’une analyse au cas par cas | Existence d’une spécificité qui peut par exemple être une obligation légale de conservation, une finalité spécifique ou un état de la menace justifiant un allongement |
Source : https://www.cnil.fr/fr/la-cnil-publie-une-recommandation-relative-aux-mesures-de-journalisation