L’ISO27002:2013, section 12.4 est claire. On en déduit que les « log files » peuvent contenir des données sensibles et des informations personnelles ayant pour conséquence que des mesures appropriées de la protection de la vie privée devraient être prises.
L’ISO27002 recommande que les log files devraient contenir entre autres :
- Les identifiants des utilisateurs,
- Les activités du système,
- Les dates, heures, et détails des évènements clés,
- L’identité ou l’emplacement du dispositif, si possible, ainsi que l’identifiant du système,
- Les enregistrements des tentatives d’accès au système,
- Les enregistrements des tentatives d’accès aux données et ressources,
- Les modifications de la configuration du système
- Etc
Tenant compte des catégories d’informations appelées à être contenues dans ces log files, l’Autorité de Protection des Données fédérale considère que les données de journalisation sont « des données à caractère personnel ».
Cette qualification semble évidente : « prétendre que les personnes physiques ne sont pas identifiables alors que la finalité du traitement est précisément de les identifier serait une contradiction absolue.
Il est dès lors essentiel de considérer ces informations comme concernant des personnes physiques identifiables et d’appliquer les règles de protection des données à leur traitement.
En conséquence, en cas de sous-traitance, des dispositions conventionnelles en matière de sécurité sont d’une importance cruciale pour assurer aux acteurs la possibilité de prouver que le fait qui a provoqué le dommage engage ou pas sa responsabilité.
Cette responsabilité est importante pour enquêter sur les violations de données à caractère personnel, lorsque les clients, les fournisseurs et les sous-traitants peuvent tous assumer une part de responsabilité opérationnelle.
Pour réduire ce risque au minimum, le contrat entre le fournisseur d’informatique (cloud ou pas) et son client devrait prévoir des mesures techniques et organisationnelles, de manière à garantir la journalisation et l’audit des opérations de traitement des données à caractère personnel effectuées par les employés du fournisseur d’informatique ou par les sous-traitants.
