L'affichage des adresses e-mail dans un fichier journal d'application est-il autorisé par le RGPD?
Je travaille sur une application entièrement basée sur l'interaction utilisateur. Dans mes journaux d'application, j'enregistre chaque interaction et j'imprime l'adresse e-mail pour identifier de manière unique quel utilisateur a fait quelle interaction.
Ce journal d'application ne sera visible par personne d'autre que:
- Moi
- Le prochain propriétaire de l'application si je vendais le projet
- Un administrateur que je pourrais embaucher si la charge de travail devient trop importante
Un exemple d'enregistrement de journal est quelque chose comme ceci:
2019-01-24 14: 27: 20.954 INFO 32256 --- [any-info] s.p.s.t.d.m.s.SomeClassThatPrintsTheLog: Enregistrement de l'utilisateur avec l'adresse e-mail [email protected].
Est-ce autorisé par le RGPD ou dois-je masquer l'adresse e-mail imprimée de quelque manière que ce soit? Ou utiliser une autre solution?
Le but du RGPD est de protéger autant que possible les informations personnelles identifiables (PII). L'interaction d'un utilisateur spécifique avec votre application est à peu près sûre de tels PII.
Si vous avez vraiment besoin de consigner ces informations, vous devez informer votre utilisateur de ce processus, c'est-à-dire de l'objectif de la collecte de données, de la durée pendant laquelle les informations sont stockées et de qui a accès aux données. Et vous et la personne à qui vous vendez l'application ne devez jamais utiliser les données à d'autres fins comme convenu par l'utilisateur. Et bien sûr, vous devez protéger correctement les informations contre toute utilisation abusive, c'est-à-dire une utilisation en dehors du but spécifié. Cela inclut spécifiquement mais non seulement si quelqu'un pirate votre application ou votre serveur et vole ces données.
Étant donné que l'utilisation des données est limitée et que la protection (et les amendes) peuvent être coûteuses, il pourrait être plus facile de ne pas stocker ces informations en premier lieu. Une alternative consiste à pseudonymiser au moins le PII autant que possible, c'est-à-dire de manière à ce que les données enregistrées soient toujours utilisables pour vous mais qu'aucune association à un utilisateur spécifique ne puisse être faite même lorsque vous disposez de toutes les données enregistrées. Mais comme on ne sait pas vraiment ce que vous utilisez ces journaux, aucune recommandation ne peut être faite pour un processus spécifique de pseudonymisation.
Sachez cependant que le simple remplacement de chaque adresse e-mail unique par un autre identifiant unique peut ne pas être une pseudonymisation suffisante. En fonction des données que vous enregistrez, il peut être possible de créer des profils utilisateur et en fonction de traits spécifiques dans les profils, associez-les à des utilisateurs réels. Voir fuite de données de recherche AOL pour un exemple comment une telle tentative de pseudonymisation simple a mal tourné.
La journalisation des données n'est pas le problème sous GDPR. La partie qui importe est ce qui arrive au journal, qui peut le voir, combien de temps il est stocké, à quoi le journal est utilisé et si vous pouvez satisfaire les droits de la personne concernée une fois que vous traitez et stockez les données.
Si vous devez enregistrer l'e-mail afin de fournir votre service, il n'y a aucun problème à le connecter. Mais si vous enregistrez les données, vous devez être très clair dès le début, avec vous-même et les personnes concernées, ce qui va leur arriver.
L'article 5 du RGPD précise les principes de base du traitement des données.
Article 5 "Principes relatifs au traitement des données personnelles"
(1) Les données personnelles sont:
... (b) collectées à des fins spécifiées, explicites et légitimes et non traitées ultérieurement d'une manière incompatible avec ces finalités; poursuite du traitement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, ne sont pas considérées comme incompatibles avec les objectifs initiaux ("limitation de la finalité");
Le stockage des fichiers journaux d'informations personnelles dans le but de diagnostiquer des problèmes avec votre application n'est pas incompatible avec le but d'origine, mais protège les données en utilisant des mesures organisationnelles ... en fonction du risque ".
Mais ne stockez pas vos journaux pour toujours. Par exemple. Les personnes concernées (le terme GDPR pour une personne) ont le droit d'être oubliées. Cela signifie également qu'ils devraient éventuellement être supprimés des journaux, des sauvegardes, etc. Je pense que si vous conservez des données au cours des 90 derniers jours - cela devrait aller.
Et enfin, si vous construisez un système qui traite les informations personnelles sur les citoyens de l'UE, je vous recommande fortement de suivre un cours de 1-2 jours sur le sujet, pour apprendre les différences entre le responsable du traitement, le processeur, la personne concernée, les informations personnelles et informations personnelles sensibles, etc.
Voici quelques citations du RGPD (non souligné dans l'original).
Considérant 78:
La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige que mesures techniques et organisationnelles appropriées soient prises pour garantir le respect des exigences du présent règlement. Afin de pouvoir démontrer la conformité au présent règlement, le responsable du traitement devrait adopter des politiques internes et mettre en œuvre des mesures qui respectent notamment les principes protection des données dès la conception et protection des données par défaut. De telles mesures pourraient consister, entre autres, à minimiser le traitement de données à caractère personnel, pseudonymiser les données à caractère personnel dès que possible, la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, permettant à la personne concernée de surveiller le traitement des données, permettant au responsable du traitement de créer et améliorer les fonctions de sécurité.
Article 25 (Protection des données dès la conception et par défaut), paragraphe 1:
Compte tenu de l'état de la technique, du coût de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques résultant du traitement, le responsable du traitement: à la fois au moment de la détermination des moyens de traitement et au moment du traitement lui-même, mettre en œuvre mesures techniques et organisationnelles appropriées, telles que pseudonymisation, qui sont conçues pour mettre en œuvre principes de protection des données, tels que la minimisation des données, de manière efficace et intégrer les garanties nécessaires dans le traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées.
Qu'est-ce que ça veut dire? Que si vous n'avez pas de bonnes raisons d'inclure des adresses e-mail dans les journaux, vous ne devriez probablement pas le faire. Vous pouvez enregistrer l'ID utilisateur à la place, qui a un niveau de pseudonymisation plus élevé, et vous permettrait toujours d'identifier l'utilisateur si vous en aviez besoin. Les identifiants sont probablement la bonne chose à utiliser de toute façon pour identifier de manière unique un utilisateur, indépendamment du RGPD, car je suppose que vous pouvez vous attendre à ce qu'un utilisateur ait toujours le même identifiant, tandis que l'adresse e-mail peut généralement être modifiée.
Cela dit, même si je ne suis pas avocat, je ne pense pas que vous puissiez avoir beaucoup de mal à enregistrer des adresses e-mail, tant que vous êtes en mesure de démontrer que tout est stocké et traité de manière suffisamment sécurisée. D'un autre côté, de bons choix de conception vous aideront certainement à démontrer que vous avez suivi les meilleures pratiques en matière de sécurité et de confidentialité, et que vous n'avez pas mis en danger les données de vos utilisateurs en traitant inutilement leurs données personnelles.