Piste d'audit pour la rédaction : quoi journaliser, pourquoi et combien de temps ?

Un auditeur débarque et demande : « montrez-moi comment vous avez anonymisé les données clients pour le rapport X. » Sans piste d'audit, vous vous retrouvez les mains vides. Voici ce que vous devez journaliser.

Dans le cadre d'une rédaction automatisée ou à grande échelle, une piste d'audit est bien plus qu'un atout : c'est votre protection en cas de réclamation GDPR ou d'audit ISO.

Ce que vous enregistrez pour chaque action de rédaction

• L'utilisateur qui a effectué la rédaction.
• L'horodatage.
• Le fichier original (nom + hash).
• Le fichier rédigé (nom + hash).
• Les patterns appliqués ou les zones manuelles (résumé, pas le texte original).
• Le nombre de correspondances rédigées.
• Le motif de rédaction (texte libre, optionnel).
• Le cas échéant : les destinataires du document résultant.

Ce que vous ne journalisez PAS

• Le texte original qui a été rédigé — cela irait à l'encontre de tout l'exercice.
• Les images du contenu rédigé.

Durée de conservation

• À des fins ISO 27001 : 3 ans minimum.
• Pour la responsabilité GDPR : 3 à 5 ans selon le contexte.
• Plus longtemps si la rédaction porte sur des documents fiscaux (7 ans).

Stockage

Journal centralisé, à accès restreint. Pas dans le PDF lui-même (ce serait une contradiction dans les termes), mais dans une base de données ou un fichier journal avec contrôle d'accès.

Vérification

Échantillonnage périodique : sélectionnez 10 % des rédactions récentes, ouvrez l'entrée du journal, comparez avec le fichier : ce qui a été enregistré correspond-il à la réalité ?

Outils : notre PDF Redact Business plan fournit un journal d'audit qui enregistre, pour chaque rédaction, les informations requises à des fins ISO. Consultez également le guide complet sur la rédaction.