La gestion des journaux d'événements (ou logs) est un aspect essentiel de la protection des renseignements personnels, notamment dans le cadre de la Loi 25 du Québec.
Ces journaux contiennent des adresses IP, qui sont des renseignements personnels.
En cas d'usage négligent des journaux d'activités, la Commission d'accès à l'information du Québec peut imposer des pénalités aux entreprises ne respectant pas leurs obligations en matière de protection des données.
Traitement des journaux d'événements
Minimisation des données
- Ne collectez que les informations nécessaires à des fins précises.
- Anonymisez ou pseudonymisez les adresses IP pour réduire les risques d'identification.
Mesures de sécurité
- Protégez les journaux contre les accès non autorisés à l'aide du chiffrement et de mécanismes de surveillance.
- Implantez des protocoles d'authentification forte pour les accès aux journaux.
- Mettez en place des journaux d'audit pour tracer les accès et interventions sur les logs.
Transfert à des tiers
Si les journaux d'événements sont transférés à un fournisseur externe, comme un service de gestion des informations et des événements de sécurité (SIEM), il est essentiel de sélectionner des fournisseurs qui respectent les exigences de la Loi 25.
Privilégiez les entreprises ayant des certifications reconnues telles que ISO/IEC 27001 ou SOC 2 Type II.
Je vous invite à cliquer sur "Follow" pour continuer d'en apprendre plus sur le domaine de la sécurité de l'information.