070 – Le système de journalisation

Il convient de prévoir un système de journalisation (c’est-à-dire un enregistrement dans des « fichiers journaux » ou « logs »)  des activités des utilisateurs, des anomalies et des événements liés à la sécurité. Cela permet de tracer les accès, et ainsi de pouvoir identifier un accès frauduleux ou une utilisation abusive de données personnelles ou déterminer l’origine d’un incident.

Les journaux doivent conserver les événements sur une période glissante ne pouvant excéder six mois (sauf obligation légale ou risque particulièrement important).
La journalisation doit concerner, au minimum, les accès des utilisateurs en incluant leur identifiant, la date et l’heure de leur connexion, la date et l’heure de leur déconnexion. Dans certains cas, il peut être nécessaire de conserver également le détail des actions effectuées par l’utilisateur, les types de données consultées et la référence de l’enregistrement concerné.
https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf