Bonjour,
Merci à tous pour vos réponses, en particulier à Yann Richard pour le lien qu'il a communiqué vers des vidéos de conférences traitant du sujet.
Pour résumer ce que j'ai retenu de ce domaine très complexe, tout le monde n'est pas d'accord et chaque organisme en jeu tire la couverture de son côté. Il semble qu'il faille trouver un bon compromis. Ce qui suit ne concerne que les logs de services web, smtp, etc... Il ne s'agit pas d'accès à Internet ou de surveillance vidéo pour lesquels les règles/lois sont différentes. Pour être en conformité avec la CNIL, il faut définir une politique de gestion des logs qui répond à deux questions : - quelles sont les types de traces conservées et pendant quelle durée - quelles sont les finalités du traitement de ces traces La durée de conservation doit être cohérente avec la finalité qu'on en a. Ainsi, il est recommandé d'avoir 2 containers de logs associés à 2 politiques différentes : - 1 container avec une durée de conservation de 3 mois maximum pour usage interne des logs (supervision, analyse d'attaques, ...) - 1 container avec une durée de conservation d'1 an maximum à présenter en cas d'injonction judiciaire
D'un point de vue technique, il est nécessaire d'avoir ses serveurs à l'heure et tout défaut doit être "loggé". Il est également requis/bon de mettre en place un système d'empreinte des fichiers de log pour s'assurer qu'ils n'ont pas été altérés. Dans le cas contraire, les logs pourraient ne pas être une preuve valide.
Les logs doivent être conservés dans un endroit sécurisé. Cela ne veut pas forcément dire un coffre fort, mais simplement un endroit où l'on pourra prouver que la personne qui y a accédé sans autorisation a du passer des barrières difficiles à franchir pour le faire et donc qu'elle était consciente de ce qu'elle faisait. De même, les personnes ayant accès aux logs dans le cadre de leur travail doivent être sensibilisés au fait qu'ils travaillent sur des données personnelles et que celles ci ne doivent pas être copiées/diffusées/altérées... En aucun cas les logs ne doivent servir à autre chose que ce à quoi ils sont destinés. Par exemple, un admin système n'a pas le droit d'analyser les logs pour savoir si une personne contacte régulièrement une autre personne par mail si les logs ne servent normalement qu'à faire des statistiques sur les différents SMTP contactés par le serveur smtp.
Maintenant, très honnêtement, il peut y avoir des avis contraires. Un avocat a fait une remarque pertinente en disant que la CNIL ne faisait pas la loi, mais que la loi faisait la CNIL. Donc, ce qui est dans la loi ne peut être remis en question par la CNIL. La notion de logs n'existant pas dans la loi, ça devient difficile de savoir quelle est leur législation.
Si vous avez d'autres avis sur la questions, je reste preneur de vos remarques.
Florian Coulmier