Dans la leçon précédente, on a posé le besoin de savoir et la pseudonymisation. Ces principes restent abstraits sans deux pratiques techniques qui les rendent opérationnels : journaliser les accès aux renseignements personnels, et révoquer les accès au bon moment. Ce sont les deux faces de la traçabilité.
L'enjeu est concret. En cas d'incident, sans journaux, on ne peut pas répondre aux questions essentielles : qui a vu quoi, quand, et combien de personnes sont touchées. Sans révocation systématique, des accès oubliés restent ouverts pendant des mois ou des années, et constituent des entrées exploitables.
La journalisation : ce que la loi exige sans le dire mot pour mot
L'article 10 exige des mesures de sécurité raisonnables compte tenu de la sensibilité, de la finalité et de la quantité. La loi ne liste pas les mesures précises ; elle laisse à l'entreprise le soin de les définir. La pratique attendue, et confirmée par les orientations de la CAI, inclut toujours la journalisation des accès aux données sensibles.
Pourquoi ? Parce que sans journal :
- on ne peut pas détecter les accès anormaux (un compte qui consulte des dossiers qui n'ont rien à voir avec son rôle, à 3 h du...