Au JO du 30 octobre 2021 a été publiée la délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation.
.
Par ces recommandations, la Commission nationale de l’informatique et des libertés (CNIL) donne des indications précieuses aux responsables de traitement et délégués à la protection des données (DPO) sur les modalités de traitement des données de journalisation. Ces traitements permettent d’assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d’information (et donc aux traitements de données à caractère personnel que sont susceptibles de constituer ces systèmes). Ils peuvent être adossés :
- soit à des applications (qui sont les briques logicielles spécifiques au traitement mis en œuvre et sont donc sujettes à la mise en œuvre de journaux dits « applicatifs ») ;
- soit à des équipements spécifiques (qui sont des équipements informatiques associés à des logiciels embarqués, sujets à la mise en œuvre de journaux dits « périmétriques »).
Les données de journalisation servent, entre autres, à fournir aux personnes concernées une information sur les destinataires ou catégories de destinataires auxquels leur données ont été communiquées ainsi que sur celles de leurs informations qui ont été communiquées.
La CNIL s’est emparée de ce sujet car elle considère nécessaire de trouver un équilibre entre :
- la sécurité apportée par la journalisation,
- la surveillance que ce type de système peut créer pour les utilisateurs habilités,
- l’émergence de risques particuliers liés à une conservation trop longue.
Dans la majorité des cas, les données journalisées contiennent des données relatives aux personnes concernées par le traitement principal ; l’enregistrement de ces données ne modifie alors pas la sensibilité des traitements mais peut offrir des garanties importantes de sécurité.
En revanche, les journaux contiennent également des données relatives aux utilisateurs habilités du système, qui peuvent révéler des informations sur ces personnes, notamment des informations relatives à leur comportement professionnel. Dès lors, la CNIL considère qu’il est nécessaire de veiller à limiter les risques portant sur ces catégories de personnes, en proportionnant la collecte, au sein des journaux, de données à caractère personnel relatives :
- aux utilisateurs habilités,
- à la sensibilité des données à caractère personnel du traitement principal,
- aux risques qu’un mésusage de celui-ci ferait courir aux personnes concernées.
Déclinant ces préoccupations, la Commission distingue trois cas de figure pour émettre ses recommandations : le cas général, les cas liés à la mises en oeuvre de processus de contrôle interne et, enfin, certains cas spécifiques.
