De nombreux journaux contiennent des informations relatives à la sécurité informatique. Ces
journaux sont générés par différentes sources telles que des éléments de sécurité (logiciels
antivirus, pare-feu, systèmes de détection et de prévention des intrusions, etc.) mais aussi par
les systèmes d’exploitation d’équipements utilisés pour des besoins non sécuritaires (serveurs,
postes de travail, équipements de réseau, équipements nomades, etc.) et les applications
(messagerie, navigation Internet, application métier, etc.).
Le recueil des logs ou des traces est utilisé dans le cadre de la sécurité informatique, mais pas
uniquement. La gestion des logs peut avoir d’autres finalités (statistiques, surveillance des
systèmes, facturation, etc.), mais ces usages ne seront pas traités ici.
Ce document propose un focus sur les journaux liés à la sécurité informatique et contenant des
données à caractère personnel.
Le processus de génération, de transmission, de stockage, d’analyse et d’élimination des
données des journaux de sécurité informatique représente un enjeu vis-à-vis du respect de la
réglementation en vigueur, et notamment du règlement européen sur la protection des données
(RGPD, également dénommé « règlement européen » dans la suite du document). Les
enregistrements de sécurité informatique doivent être stockés de manière suffisamment
détaillée pendant une période appropriée. La gestion des journaux implique également la
protection de la confidentialité, de l’intégrité et de la disponibilité de ces journaux.
Au regard de ce contexte, le présent document a pour objectif de permettre à toute personne
amenée à traiter des données d’appréhender la multiplicité et les spécificités des exigences
légales ou réglementaires applicables dans ce domaine, de manière pragmatique et accessible.
Il représente ainsi une déclinaison sectorielle de la série de fiches thématiques (FAQ) mise à
disposition par le Clusif visant à expliciter les grandes notions du règlement européen et à
apporter des réponses concrètes concernant le traitement des données à caractère personnel.
Décliné sous forme de fiches pratiques, il contient les premiers éléments de réponse sur une
thématique définie afin de permettre d’identifier les principales questions juridiques liées au
traitement des données de journalisation et acquérir ainsi les bons réflexes en matière de
gestion des exigences légales et réglementaires.
Enfin, ce document a pour ambition de fournir les clés de lecture du cadre juridique applicable
dans ce domaine en matière de sécurité de l’information et de délivrer les points de vigilance
afférents. Il n’a toutefois par de prétention d’exhaustivité et ne dispense pas de recourir à un
conseil juridique spécialisé, qu’il soit interne ou externe à l’organisme.
Ce guide s’adresse à tout organisme privé ou public, ayant mis en place un système de
journalisation des logs ou des traces. Il constitue ainsi un document de référence pour chaque
personne souhaitant déployer ou ayant la responsabilité d’intégrer, au sein de son organisme,
un système de journalisation des logs ou des traces, ou susceptible de traiter ces données.