RGPD : est-ce que vous tracez les actions sur vos données personnelles ?

Le règlement européen en matière de protection des données personnelles impose de mettre en oeuvre une diversité de mesures de sécurité afin d’assurer une protection adéquate des données. Dans la série des mesures indispensables à mettre en oeuvre est la traçabilité des actions qui sont menées sur les données personnelles d’une organisation. Je vous explique cela dans cette courte vidéo :

Si l’on regarde le coeur de l’obligation de sécurité informatique imposée au responsable du traitement des données personnelles, il faut observer l’article 32 du règlement :

“Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…)”

Celui-ci impose de manière générale “le fait de mettre en place des mesures de sécurité adéquates aux risques causés par le traitement”. Ces mesures générales de sécurité informatique sont complétées par des dispositions plus spécifiques, dont cette de tracer l’ensemble des actions réalisées sur les données personnelles : “4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.”

Dans les précautions élémentaires de sécurité, la CNIL rappelle qu’il advient au responsable de traitement de mettre en place un système de journalisation :

“Prévoir un système de journalisation (c’est-à-dire un enregistrement dans des « fichiers journaux » ou « logs ») des activités des utilisateurs, des anomalies et des événements liés à la sécurité : ces journaux doivent conserver les évènements sur une période glissante ne pouvant excéder six mois (sauf obligation légale, ou risque particulièrement important) ; la journalisation doit concerner, au minimum, les accès des utilisateurs en incluant leur identifiant, la date et l’heure de leur connexion, et la date et l’heure de leur déconnexion ; dans certains cas, il peut être nécessaire de conserver également le détail des actions effectuées par l’utilisateur, les types de données consultées et la référence de l’enregistrement concerné.”

Ces recommandations sont importantes et doivent être mises en oeuvre de manière pratique et opérationnelle pour tous les traitements existants, au risque d’engager la responsabilité de l’organisation en cas d’atteinte.

Si ces points ne sont pas clairs pour vous, jetez un oeil à notre formation conformité RGPD pour disposer de processus précis d’implémentation de l’ensemble des obligations liées au RGPD.

Téléchargez la formation conformité RGPD

Téléchargez gratuitement notre formation conformité RGPD et éliminez vos risques rapidement

Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
Téléchargez la formation conformité RGPD (gratuit)
Téléchargez gratuitement notre mini formation conformité RGPD et réduisez vos risques rapidement, avec l'actualité de la conformité RGPD et nos offres de produits/service exclusives !
VOS CGV (gratuites)