Journalisation des adresses IP sous le RGPD : pseudonyme, donnée personnelle, et ce qui est permis
Une adresse IP est une donnée personnelle au sens du RGPD. Les journaux de sécurité en ont souvent besoin pendant des semaines ou des mois. Comment concilier cela avec les principes de conservation des données ?
Une adresse IP est considérée comme une donnée personnelle au sens du RGPD. Les journaux de sécurité qui enregistrent des adresses IP constituent un traitement de données.
\n \nBases légales applicables
\n-
\n
- Intérêt légitime : sécurité, lutte contre la fraude, dépannage. La base la plus utilisée. \n
- Obligation légale : dans le cadre d'une réglementation spécifique (surveillance financière). \n
- Consentement : rarement nécessaire pour les journaux de sécurité. \n
Durées de conservation
\n-
\n
- Journaux d'accès web : 30 jours par défaut, jusqu'à 90 jours à des fins forensiques. \n
- Journaux d'authentification (tentatives de connexion) : 90 jours à 1 an. \n
- Journaux de pare-feu : 30 à 90 jours. \n
- Journaux d'audit pour la conformité : 3 ans (exigé par ISO). \n
Conserver plus longtemps = justification plus solide dans le registre des traitements et analyse des risques expliquant pourquoi c'est nécessaire.
\n \nPseudonymisation
\nPeut-on anonymiser le dernier octet (192.168.1.x → 192.168.1.0/24) ? Suffisant pour l'analytique. Généralement pas pour la sécurité — vous souhaitez pouvoir corréler une adresse IP spécifique.
\n \nDroits des personnes concernées
\nUne personne demande « quels journaux avez-vous sur moi ? » — vous devez pouvoir rechercher par leur adresse IP et par leur identifiant de compte. Documentez dans votre système comment vous procédez.
\n \nVoir aussi : pilier RGPD, durées de conservation.
Volledige gids: Cumplimiento GDPR para pymes: el mínimo práctico
Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →