Après avoir recueilli des contributions externes auprès d'intervenants du marché, dont plus de la moitié de DPO, la CNIL a émis une « recommandation relative aux modalités de conservation et d'usage des données de journalisation ». Une recommandation vise à orienter les entreprises et autres organisations dans l'application des textes en vigueur, dont le RGPD, en posant des éléments de doctrine, mais sans être d'application obligatoire stricte. S'en écarter est cependant risqué en cas de contrôle de la commission. Cette recommandation concerne la conservation des journaux de logs.

Bien entendu, l'organisme concède que la journalisation des actions d'accès, création, modification et suppression sur un traitement de données personnelles fait clairement partie des exigences en matière de sécurité des dits traitements. Cette journalisation doit donc être opérée sans le moindre doute. Mais les données de logs constituent en elles-mêmes des données personnelles. Il convient donc d'appliquer à ces journaux les règles habituelles des traitements de données personnelles.

Des études pour détecter des incidents de sécurité à effectuer

Les données concernent d'une part les personnes gérées dans le traitement principal auquel se rapportent les logs, d'autre part les autres utilisateurs de ce traitement. C'est sur cette deuxième catégorie que se posent les problèmes. La Cnil note ainsi : « ces journaux contiennent également des données relatives aux utilisateurs habilités du système qui peuvent révéler des informations sur eux (par exemple liées à leur performance professionnelle) ».

L'autorité administrative indépendante recommande d'une part de réaliser sans délai les études relatives à la détection d'incidents de sécurité mais, d'autre part, de prendre des mesures techniques et organisationnelles pour empêcher tout détournement de finalité au-delà de la sécurité des traitements et de limiter strictement la durée de conservation des logs, dans le cas général de six mois à un an, avec une possibilité d'aller jusqu'à trois ans voire davantage dans certains cas dûment justifiés.