La conservation de données de journalisation est « un outil essentiel du respect du principe de sécurité des traitements de données personnelles prévu à l’article 5 du RGPD », rappelle la CNIL.

Leur objectif est en effet d’assurer une traçabilité des accès et des actions des différentes personnes accédant aux systèmes d’informations et, plus précisément, aux traitements de données personnelles mis en œuvre au sein de leurs organisations.

Ces données peuvent également constituer un outil efficace de détection et d’investigation en cas d’incident, d’intrusion dans les systèmes informatiques, ou de détournement d’usage des traitements de données par les personnes habilitées.

Pour autant, ces journaux contiennent en outre des données relatives aux utilisateurs habilités du système qui « peuvent révéler des informations sur eux (par exemple liées à leur performances professionnelles) ».

Il est donc nécessaire de trouver un équilibre entre la sécurité apportée par la journalisation, la surveillance que ce type de système peut créer sur les agents habilités et l’émergence de risques particuliers liés à une conservation trop longue, estime dès lors la CNIL.

Afin de guider les responsables de traitement, son projet de recommandation propose une grille d’analyse afin de leur permettre de déterminer la durée pendant laquelle ces données doivent être conservées.

Elle recommande notamment de « conserver ces données de manière ségrégée du système principal, par exemple sur des équipement physiquement distincts et accessibles uniquement en écriture par les applicatifs du traitement principal, sans possibilité d’écrasement de données existantes » et ce, pour une durée comprise entre six mois et un an, mais pouvant dans certains cas aller jusqu'à trois ans.

Elle recommande également de « minimiser l’inclusion de données à caractère personnel dans les données de journalisation ».

La consultation publique est ouverte jusqu’au 23 juillet 2021, en vue de soumettre une version actualisée à ses membres pour adoption définitive.