Les journaux d'activité informatique peuvent-ils être conservés sans limite de temps ?
Réponse courte
La conservation illimitée des journaux d'activité est interdite au Luxembourg : le principe de limitation de la conservation (article 5(1)(e) du RGPD) impose une durée strictement nécessaire à la finalité poursuivie, fixée préalablement et documentée dans le registre des traitements.
La durée de conservation des logs de connexion varie selon la finalité (sécurité, détection d'incidents, obligations légales) et n'est pas figée par un seuil unique : elle est généralement de 6 à 12 mois pour les finalités de sécurité, plus courte pour le contrôle d'activité. À l'expiration, les logs doivent être supprimés ou anonymisés de façon irréversible. Toute conservation prolongée doit être justifiée et documentée par un incident ou une procédure judiciaire en cours.
Définition
Les journaux d'activité (ou logs) sont des enregistrements informatiques retraçant les actions des utilisateurs sur les systèmes d'information : connexions, accès, modifications, suppressions, transferts. Lorsqu'ils permettent d'identifier directement ou indirectement une personne physique, ils constituent des données à caractère personnel au sens du RGPD.
Leur conservation relève du principe de limitation (article 5(1)(e) RGPD) et du principe d'accountability : la durée doit être justifiée, documentée et adaptée à la finalité poursuivie, sans seuil légal unique.
Questions fréquentes
Conditions d’exercice
La durée de conservation est fonction de la finalité ; aucun seuil unique n'est fixé par le Code du travail, mais la CNPD recommande une approche par finalité avec justification documentée pour toute durée supérieure à 12 mois.
| Condition | Exigence |
|---|---|
| Finalité déterminée | Sécurité, détection d'incidents, obligations légales |
| Limitation de la conservation | Durée strictement nécessaire (article 5(1)(e) RGPD) |
| Pas de seuil fixe | Durée variable selon la finalité, à justifier au cas par cas |
| Documentation | Durée fixée préalablement et inscrite au registre |
| Suppression | Effacement ou anonymisation irréversible à l'échéance |
| Conservation prolongée | Uniquement sur incident constaté ou procédure judiciaire |
Modalités pratiques
L'employeur définit dans une politique interne une grille de durées par finalité, validée par le DPO et soumise à la consultation de la délégation du personnel.
| Démarche | Précision |
|---|---|
| Politique de conservation | Document interne précisant les durées par finalité |
| Registre des traitements | Article 30 du RGPD, durée et justification consignées |
| Information des salariés | Notice mentionnant la durée de conservation des logs |
| Suppression automatisée | Mécanisme technique de purge à l'échéance |
| Traçabilité des accès | Journalisation des consultations des logs |
| Exception documentée | Justification écrite de toute conservation prolongée |
| Consultation de la délégation | Procès-verbal préalable (article L.414-9) |
Pratiques et recommandations
Définir une politique de conservation différenciée selon la finalité (sécurité, audit, obligations légales).
Automatiser la suppression des logs à l'échéance pour garantir la conformité technique.
Documenter toute conservation prolongée par un motif précis et tracé dans le registre.
Réévaluer annuellement la pertinence des durées avec le DPO et la délégation du personnel.
Limiter l'accès aux logs aux personnes habilitées avec traçabilité de chaque consultation.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés |
| Art. L.414-9 du Code du travail | Consultation/co-décision de la délégation du personnel |
| Loi modifiée du 1er août 2018 | Protection des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 5(1)(e), 6, 30, 32 |
| Lignes directrices CNPD | Cybersurveillance et conservation des logs |
Note
La conservation illimitée constitue une violation du principe de limitation et expose l'employeur à des sanctions administratives jusqu'à 4 % du chiffre d'affaires mondial. La durée doit être proportionnée à la finalité et documentée dans le registre, sous peine d'irrecevabilité des preuves issues des logs.