Blog

Conservation logs de connexion

Combien de temps conserver les logs de connexion ?

Conservations logs

  1. Cela dépend des besoins opérationnels de l’entreprise qui exploite le site Internet
  2. Le responsable de traitement est tenu de mettre à jour les documents justifiant de cette durée de conservation
  3. Les sanctions encourues vont d’une amende forfaitaire jusqu’à 20 millions d’euros ou jusqu’à 4% du CA

Conservation des logs : que dit la loi ?

Tout d’abord, pour les entreprises spécialisées dans le cloud et le stockage de données à distance, la question relative à la durée de conservation des logs de connexion peut se révéler stratégique. Elle ne peut être :

  • ni trop longue car elle serait alors contraire aux dispositions prévues par le Règlement Général de Protection des Données (RGPD).
  • ni trop courte, car elle nuirait à la compétitivité de l’entreprise, en raison de sa lourdeur.

Le RGPD ne précise pas combien de temps conserver les logs, il faut donc mener une analyse opérationnelle fine pour en déterminer la durée.

Les logs de connexion, des données personnelles

Ensuite, Dans un arrêt de 2011, la CJUE a considéré que l’adresse IP, lorsqu’elle permet l’identification de la personne concernée, est une donnée à caractère personnel.

Plus récemment, dans son arrêt du 8 avril 2014, la CJUE a confirmé son analyse. Elle a constaté que les données de connexion fournissaient des indications très précises sur la vie privée des personnes. Celles-ci permettaient notamment de savoir avec qui et par quel moyen un utilisateur a communiqué. Elles identifient également la date, l’heure et la durée d’une communication, ainsi que l’endroit à partir duquel celle-ci a eu lieu.

Une durée de conservation des logs définie par la responsable de traitements

Selon l’article 5 du RGPD, chaque responsable de traitement doit déterminer une durée de conservation des données personnelles cohérente et justifiée au regard de l’objectif de leur traitement :

« Les données à caractère personnel doivent être :

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées».

Apprécier les besoins opérationnels de conservation

De plus, la CNIL indique que les données doivent être effacées à l’issue de l’utilisation courante, soit la durée nécessaire à l’objectif de traitement.

Si l’opération de traitement est confiée à un sous-traitant, le contrat doit préciser les obligations de chaque partie et intégrer les exigences de l’article 28 du RGPD.

En conséquence, c’est au responsable de traitement de communiquer à son sous-traitant les durées à appliquer à chaque traitement.

Enfin, il appartient d’identifier les besoins opérationnels et de fixer sur cette base une durée à appliquer ou des critères pour la fixer (temps de la relation commerciale par exemple).

Identifier la durée de conservation des logs

Aussi, pour être en mesure de prouver qu’il respecte le RGPD, le responsable de traitement doit constituer un ensemble de documents recensant les différentes actions menées et analyses effectuées pour sa mise en conformité au RGPD :

  • analyse d’impact relative à la protection des données,
  • mentions d’informations,
  • registre des activités de traitement, etc.

De plus, les durées de conservation doivent être communiquées aux personnes concernées via les mentions d’informations.

Plus précisément, il s’agit d’indiquer aux personnes les différentes phases de conservation des données de manière distincte (base active et, le cas échéant, préciser également l’archivage intermédiaire).

Si l’information aux personnes est délivrée en deux phases, l’indication des durées de conservation appliquées peut être effectuée dans le second niveau d’information.

Sanctions :

Enfin, en cas de non-respect du principe de conservation limitée des données, l’article 83.5 du RGPD prévoit :

  1. Une amende administrative pouvant s’élever jusqu’à 20 millions euros ;
  2. Dans le cas d’une entreprise, une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

Votre avocat peut vous accompagner pour déterminer la durée de conservation applicable à votre entreprise.

Contactez nous

Suivez nos actualités