Le RGPD prescrit à de nombreux endroits une journalisation. Les données de journalisation sont un élément important des mesures techniques et organisationnelles (article 32 du RGPD). Il convient toutefois de noter que les données de journalisation sont elles-mêmes des données à caractère personnel et qu'elles doivent donc être protégées en vertu de la législation sur la protection des données.

Objectif des données de journalisation

L'enregistrement des données de protocole a lieu afin de pouvoir retracer qui a eu accès à quelque chose dont l'accès doit être réglementé et à quel moment. Il peut s'agir de l'accès à des substances dangereuses, à un système électronique contenant des données sensibles ou tout simplement de l'accès à un bâtiment avec un transpondeur pour les collaborateurs.

Si des incohérences apparaissent, il est possible de déterminer rapidement qui a eu accès en dernier. Dans le domaine de la protection des données, il s'agit alors surtout d'identifier les accès non autorisés ou les points faibles.

Dans le cadre de l'article 32 I du RGPD, les données de journalisation constituent des mesures technico-organisationnelles pour la sécurité du traitement. En cas de panne de données de nature physique ou technique, il est possible de déterminer qui a eu accès en dernier. Celui-ci est souvent la clé pour rétablir l'accès aux données à caractère personnel, par exemple lorsqu'il s'agit d'une erreur d'un collaborateur.

Données de journalisation en tant que données à caractère personnel

Le fait que les données de journalisation montrent qui a eu accès à quoi et à quel moment implique que les données de journalisation sont elles-mêmes des données à caractère personnel. Elles sont donc également soumises à la protection du RGPD.

Enquête

En ce qui concerne la manière dont les données de journalisation sont collectées, l'article 76 I de la BDSG fixe des règles. Selon cette disposition, les opérations de traitement telles que la collecte, la modification, la consultation, la divulgation, y compris la transmission, la combinaison et l'effacement doivent être consignées dans des systèmes de traitement automatisés. Pour la collecte des données de journalisation contenant les données énumérées à l'article 76 I de la BDSG, il est nécessaire de disposer d'une base juridique, par exemple dans le cadre du RGPD.

Suppression

Ces données doivent être effacées à la fin de l'année suivant leur création (article 76 IV de la BDSG). En vertu du principe de limitation de la finalité, l'effacement a également lieu plus tôt si la finalité du traitement n'existe plus.

Principes régissant le traitement des données à caractère personnel

Tous les autres principes du RGPD relatifs au traitement des données à caractère personnel (article 5 du RGPD) s'appliquent naturellement aussi aux données de journalisation. Ainsi, seules les données nécessaires peuvent être collectées (minimisation des données). En outre, les données de journalisation doivent toujours être protégées contre la perte, la destruction, la manipulation et l'accès non autorisé (intégrité et confidentialité).

fr_FRFrançais