Contexte juridique
Aspects juridiques et réglementaires
les éléments juridiques doivent être pris en compte dans le cadre de la conception technique ;
la réglementation pose un principe général d'effacement ou d'anonymisation des données de connexion ;
il existe plusieurs régimes juridiques distincts en fonction de la nature de celui qui opère la journalisation ou du cadre dans lequel les éléments de journalisation sont générés.
Valeur probatoire des éléments de journalisation
objectifs :
- permettre la traçabilité de l'activité d'un réseau et d'apporter la preuve de cette activité (utilisation ou non-utilisation d'une application ou d'un service par un utilisateur, accès illégitime, etc) ;
- être en capacité à identifier directement ou indirectement un individu ou un équipement ayant participé à cette activité.
afin d'être opposable en cas de contentieux, leur mise en œuvre doit respecter les règles relatives à l'administration de la preuve et les principes directeurs des procès civils et pénaux
Traces nominatives
Régime général de protection des données à caractère personnel
les éléments de journalisation peuvent contenir des données à caractère personnel (données relatives à une personne identifiable directement ou indirectement) ;
une adresse courriel, une URL ou une adresse IP sont régulièrement considérées par la CNIL comme des données à caractère personnel.
Le traitement d'éléments de journalisation impose le plus souvent le respect des dispositions notamment de la loi du 6 janvier 1978 et en particulier :
formalités préalables auprès de la CNIL (déclaration, autorisation, etc.) ;
définir une politique claire adaptée aux données traitées et aux finalités ;
définir le cycle de vie des éléments de journalisation (processus de création, de conservation, de destruction, etc.) ;
respecter les exigences relatives aux droits de la personne.
Accès au traces nominatives
Jurisprudence CNIL
seules des personnes spécifiquement habilitées peuvent accéder aux éléments de journalisation ;
les personnes habilitées doivent être soumises à des obligations de confidentialité particulières ;
l'accès doit être strictement limité à la finalité poursuivie, de la manière la moins intrusive possible pour les données à caractère personnel ;
le personnel habilité ne doit subir aucune contrainte quant au dévoilement des informations, notamment par son employeur, sauf si la loi en dispose autrement (dans le cadre d'une procédure judiciaire) ;
les éléments de journalisation ne peuvent être conservés que pour un temps limité ;
les activités liées à la gestion des éléments de journalisation doivent être strictement limitées au but poursuivi ;
les procédures liées à la gestion des éléments de journalisation doivent être décrites dans des documents de référence, permettant ainsi de s'assurer que les données à caractère personnel ne sont pas conservées de manière illégitime.
Régimes particuliers relatifs à la conservation des éléments de journalisation
conservation des éléments de journalisation au minimum durant un an par les fournisseurs d'accès à Internet (FAI) et par les hébergeurs ;
conservation des éléments de journalisation des opérateurs de communications électroniques.