Donnees.net / Privacy by design

Gestion des logs : restez conforme au RGPD

Thomas Blanc
Thomas Blanc
DPO externalisé et Formateur RGPD
Mis à jour le juin 23, 2025

Privacy by design : pourquoi nous ?

  • ✅ Privacy dès la conception
  • ✅ Analyse des risques
  • ✅ Intégration simple

La journalisation des actions dans vos systèmes n’est pas juste une question de sécurité informatique. C’est une exigence cruciale du RGPD. Et pourtant… peu d’entreprises savent vraiment comment gérer leurs logs conformément à la loi. Pas de panique. On fait le tri entre obligations légales, bonnes pratiques techniques et pièges à éviter.

Pourquoi les logs sont devenus un enjeu RGPD central

Les logs ou journaux d’événements sont partout : connexions, accès utilisateurs, requêtes API, messagerie, navigation web. Ils capturent, par nature, des données personnelles : adresses IP, identifiants, noms d’utilisateur, horaires de connexion… Ce sont donc des traitements de données soumis pleinement au RGPD.

Et ce n’est pas une zone grise : la CNIL a tranché. Pour être en conformité, vos logs doivent être :

  • Pertinents (ne collecter que ce qui est nécessaire)
  • Limitées dans le temps (durée proportionnée à la finalité)
  • Sécurisés (accès contrôlé, non altérables, traçabilité)

Finalité, durée, sécurité : les 3 piliers concrets pour des logs RGPD-compliant

Vous collectez tous les logs « au cas où » ? Vous risquez gros. En matière de journalisation, le RGPD impose un cadre strict, basé sur trois piliers indissociables. Voici comment les appliquer concrètement et efficacement.

1. Finalité : Enregistrez uniquement ce qui est nécessaire

Chaque log doit répondre à une finalité explicite et documentée. Par exemple :

  • Sécurisation des accès sensibles (SI, VPN, bases de données)
  • Traçabilité des actions dans un outil métier (facturation, CRM)
  • Preuve en cas de litige (modification de fichiers, suppression de comptes)

❌ Mais pas question de conserver des logs de navigation ou d’usage interne sans justification.
✔ Chaque traitement doit être listé dans le registre RGPD et validé avec votre DPO.

2. Durée : stop aux logs éternels

La conservation doit être strictement limitée dans le temps. La CNIL fournit des repères utiles :

  • 6 mois pour les logs de connexion et d’usage de messagerie
  • 1 an max pour les accès à un réseau Wi-Fi public
  • Durée de la relation de travail pour les comptes et les accès aux systèmes internes

Et après ? Archivage intermédiaire sécurisé et restreint, uniquement s’il existe une obligation légale ou un risque contentieux. Sinon, c’est suppression automatisée obligatoire.

🔄 Astuce : programmez des politiques de rétention dans vos outils (ex. : logrotate, règles SIEM, CloudWatch, etc.).

3. Sécurité : des logs sous haute surveillance

Les logs sont souvent mal protégés… et regorgent pourtant d’infos critiques : IP, ID utilisateurs, chemins d’accès, requêtes sensibles.

Voici les bonnes pratiques :

  • Contrôle d’accès strict (seuls les profils habilités peuvent consulter)
  • Horodatage signé et infalsifiable
  • Anonymisation/pseudonymisation si les logs contiennent des données personnelles (ex. : remplacez un email par un hash)
  • Traçabilité des accès aux logs eux-mêmes (qui les lit, les modifie, et quand)

🚨 Conseil : intégrez vos logs dans une stratégie plus large de cybersécurité + conformité, avec documentation prête en cas d’audit CNIL.

Logs techniques : être RGPD-compatible sans exploser les coûts

Respecter le RGPD ne veut pas dire complexifier tout votre SI. En réalité, une gestion des logs bien pensée simplifie vos audits, renforce la sécurité et allège vos charges. Voici comment faire simple, efficace et conforme.

Structurez vos logs intelligemment

Optez pour des formats structurés comme JSON ou CSV. Pourquoi ? Parce qu’ils :

  • facilitent l’analyse automatique (SIEM, ELK…),
  • permettent une purge ciblée (par date, type d’événement…),
  • offrent une meilleure traçabilité pour les audits.

Un log structuré, c’est un log qui travaille pour vous, pas contre vous.

Filtrez à la source : ne capturez que l’essentiel

Loguer tout, c’est s’exposer inutilement. Évitez :

  • adresses e-mail complètes,
  • noms ou identifiants bruts,
  • mots de passe, tokens, IP complètes.

Préférez des identifiants anonymes ou pseudonymisés, des IDs techniques, ou des données hashées.

🎯 L’idée : capturer ce qui est utile pour détecter, analyser, prouver — pas pour profiler.

Horodatez, mais intelligemment

L’horodatage est obligatoire, mais doit être :

  • précis (seconde, milliseconde selon le contexte),
  • cohérent sur l’ensemble du SI (UTC ou fuseau fixe),
  • exploitable pour corréler plusieurs sources (logs + traces + métriques).

Un bon horodatage, c’est un gain énorme en cas d’incident ou d’audit CNIL.

Centralisez et automatisez

Multipliez les fichiers de logs, et vous vous perdez. Centralisez avec des outils comme :

  • SIEM (Splunk, Sentinel, LogPoint)
  • Stack open source (ELK, Graylog)
  • Plateformes modernes (New Relic, Datadog, Sumo Logic)

Avantages :

  • Tri automatique,
  • Règles de conservation configurables,
  • Alertes en cas d’anomalie,
  • Suppression programmée des logs expirés.

💡 Résultat : moins de risques, plus de contrôle, et une conformité RGPD maintenue sans effort manuel.

Et dans le cloud ? Pas d’excuse.

Le RGPD ne s’arrête pas à vos murs. Si votre SI tourne sur AWS, Azure, GCP ou une architecture hybride, vous êtes tout aussi responsable des logs générés et conservés dans le cloud.

Les bons réflexes :

Configurez finement vos niveaux de logs

Ne logguez pas tout en debug en prod ! Paramétrez vos services cloud pour :

  • n’enregistrer que ce qui a une finalité claire (info, warning, error),
  • exclure les données sensibles à la source (par exemple, via les règles CloudTrail ou les filtres dans Azure Monitor).

Activez la rétention automatique

Tous les fournisseurs proposent des règles de rétention (7, 30, 90 jours…). Activez-les !
Sur AWS : logRetention dans CloudWatch Logs
Sur GCP : log bucket retention
Sur Azure : Diagnostic settings + lifecycle rules

💡 Objectif : éviter les logs orphelins qui traînent 3 ans dans un bucket S3 oublié.

Documentez l’architecture dans votre registre RGPD

Incluez :

  • les types de logs générés (sécurité, accès, erreurs)
  • les services concernés (IAM, EC2, Kubernetes, etc.)
  • les durées de conservation paramétrées
  • les mesures de sécurité (chiffrement, contrôle d’accès, alertes)

🎯 Votre DPO ou auditeur CNIL doit pouvoir comprendre en 5 minutes où vont vos logs, combien de temps ils restent, et qui peut y accéder.

Logs et documentation RGPD : ce que vous devez formaliser (et comment)

La conformité RGPD ne s’arrête pas à votre infrastructure. En cas de contrôle, la CNIL ne vous demandera pas seulement ce que vous avez mis en place… elle vous demandera de le prouver.

Et ça passe par une documentation claire, à jour, et prête à être partagée.

1. Intégrer la journalisation dans le registre des traitements

Trop d’entreprises oublient que la gestion des logs est elle-même un traitement de données personnelles.

Ce que vous devez y inclure :

  • Finalité : sécurité, détection d’incidents, audit interne…
  • Catégories de données : identifiants, horodatages, adresses IP, actions
  • Base légale : en général, l’intérêt légitime ou une obligation légale (ex : LPM, sécurité des SI)
  • Durée de conservation : conforme aux recommandations CNIL
  • Destinataires : services IT, RSSI, DPO, prestataires d’infogérance

🔍 Conseil : donnez des exemples concrets dans les colonnes du registre, cela facilitera la validation par la direction ou le DPO.

2. Élaborer une politique de gestion des logs

Ne laissez pas le flou s’installer. Rédigez (ou annexe à votre charte IT) un document opérationnel qui formalise :

  • Les périmètres couverts (serveurs, SaaS, réseaux, firewalls…)
  • Les outils utilisés (SIEM, agents, collecteurs)
  • Les durées et règles de purge automatisées
  • Les dispositifs de sécurité mis en œuvre (chiffrement, accès restreint, cloisonnement)

Objectif : démontrer que vos logs sont maîtrisés, monitorés, et pilotés. C’est un point fort en cas de contrôle… mais aussi un signal fort en interne.

Et l’audit des logs dans tout ça ?

Collecter des logs, c’est bien. Les exploiter intelligemment, c’est mieux. Et c’est même obligatoire.

Le RGPD exige que vous soyez capable de vérifier l’effectivité de vos mesures. Cela implique un suivi dans le temps.

1. Déployez des alertes intelligentes

Un bon système de journalisation ne dort pas. Il vous alerte dès que :

  • un compte admin est utilisé à 2h du matin,
  • une IP suspecte tente 20 connexions échouées,
  • une élévation de droits est accordée sans justification.

👉 Avec un SIEM, une stack ELK bien configurée ou un outil comme Datadog, ces alertes deviennent des filets de sécurité automatisés.

2. Planifiez des audits réguliers (et documentez-les)

Mettez en place un rituel d’audit :

  • Revue des accès aux logs les plus sensibles
  • Contrôle des durées de conservation et de purge
  • Vérification des droits d’accès aux outils de logging

Conservez une trace écrite de chaque revue (compte rendu, rapport interne, ticket Jira…). C’est votre meilleure preuve de maîtrise continue, un critère clé en cas de vérification CNIL.

FAQ — Gestion des logs et RGPD

Faut-il un consentement pour collecter des logs utilisateurs ?

Non, sauf si les logs servent à des finalités marketing ou analytiques (ex. : tracking comportemental, A/B testing personnalisé). Dans le cadre de la sécurité ou du bon fonctionnement technique du service, la base légale est généralement l’intérêt légitime (article 6-1-f du RGPD), à condition que les données soient proportionnées et que les droits des utilisateurs soient respectés.

💡 Si vous utilisez des cookies pour générer des logs de navigation, le consentement devient obligatoire (directive ePrivacy).

Comment concilier journalisation exhaustive et minimisation des données ?

C’est tout l’art du logging RGPD-compatible : collecter suffisamment pour garantir la sécurité et l’audit, sans tomber dans l’excès.

Bonnes pratiques :

  • Logger des identifiants techniques pseudonymisés (UUID, hash d’utilisateur)
  • Ne jamais stocker les contenus d’actions (emails envoyés, documents consultés)
  • Utiliser des filtres à la source pour exclure les champs sensibles (nom, email, token…)

Conseil : définissez des niveaux de logging distincts (production, debug, sécurité) avec des règles de collecte et de purge adaptées à chaque cas.

Les logs doivent-ils être chiffrés ?

Le RGPD n’impose pas explicitement le chiffrement des logs… mais le recommande fortement, surtout s’ils contiennent des données personnelles ou sont accessibles via des systèmes partagés.

Ce que vous devez faire :

  • Chiffrement au repos (niveau disque, bucket, base de données)
  • Chiffrement en transit (TLS 1.2 minimum)
  • Accès par rôle restreint via IAM, groupes d’accès ou bastions sécurisés

📌 En cas de violation de données, l’absence de chiffrement peut aggraver votre responsabilité.

Que faut-il présenter à la CNIL en cas de contrôle ?

Un contrôleur CNIL peut demander :

  • Votre registre de traitements avec les finalités de journalisation
  • La politique de gestion des logs (durées, accès, sécurité)
  • Des extraits de logs anonymisés en démonstration
  • La preuve que les droits des utilisateurs sont respectés (droit d’accès, d’opposition, de rectification)

💼 Pensez à conserver :

  • une preuve de purge régulière (logs de suppression, exports),
  • une trace des audits internes de vos journaux (avec dates, périmètre, actions).

Posez une question

Un expert vous répondra

Publications similaires