Logs mail : quelle durée de conservation selon la CNIL en 2026 ?
En 2026, la CNIL recommande de conserver les logs de messagerie électronique entre 6 mois et 1 an pour les usages de sécurité informatique, sans excéder 12 mois sauf obligation légale spécifique. Au-delà, le responsable de traitement doit justifier d'une finalité documentée et proportionnée au regard du RGPD.
Cette durée n'est pas arbitraire : elle s'inscrit dans un équilibre délicat entre les impératifs de cybersécurité, la détection des incidents et le respect de la vie privée des employés et utilisateurs. Trop courts, les logs ne permettent pas d'identifier une compromission silencieuse. Trop longs, ils deviennent une base de surveillance disproportionnée.
La question de la conservation des journaux de messagerie concerne toutes les organisations qui gèrent une infrastructure e-mail : entreprises, collectivités, associations, prestataires SaaS. Voici ce que la réglementation impose concrètement en 2026.
Pourquoi conserver les logs mail : finalités légitimes et encadrement RGPD
La conservation de logs mail n'est légale que si elle répond à une finalité déterminée, explicite et légitime, conformément à l'article 5 du RGPD. Collecter des journaux « au cas où » sans objectif précis expose l'organisation à des sanctions de la CNIL pouvant atteindre 4 % du chiffre d'affaires mondial.
Les finalités reconnues comme légitimes
- Sécurité informatique : détection d'intrusions, analyse post-incident, investigation forensique en cas de compromission ou d'exfiltration de données.
- Lutte contre le spam et les menaces : journalisation des flux entrants/sortants pour identifier les sources malveillantes, les tentatives de phishing ou les campagnes de malware.
- Conformité légale : certains secteurs (finance, santé, défense) sont soumis à des obligations de conservation plus longues fixées par des textes sectoriels (DSP2, HDS, IGI 1300).
- Preuve en cas de litige : les logs peuvent constituer un élément de preuve recevable devant les juridictions françaises, à condition d'avoir été collectés loyalement.
Ce que les logs mail contiennent réellement
Un journal de messagerie typique enregistre : l'adresse IP source, les adresses e-mail expéditeur/destinataire, l'horodatage, la taille du message, le statut de livraison (bounce, spam, délivré) et les entêtes SMTP. Il ne doit pas contenir le corps du message, sauf exception judiciaire encadrée.
Cette distinction est fondamentale : les métadonnées de messagerie sont moins sensibles que le contenu, mais elles restent des données personnelles au sens du RGPD dès lors qu'elles permettent d'identifier un individu.
Durée de conservation : le tableau de référence 2026
Il n'existe pas de durée unique légalement fixée pour tous les logs mail. La durée applicable dépend de la finalité du traitement et du cadre sectoriel. Voici une synthèse opérationnelle :
| Finalité du log | Durée recommandée CNIL | Base légale |
|---|---|---|
| Sécurité informatique (SIEM, SOC) | 6 à 12 mois | Intérêt légitime / obligation légale |
| Anti-spam et filtrage | 3 à 6 mois | Intérêt légitime |
| Conformité sectorielle (finance) | 5 ans | Obligation légale (AMF, DSP2) |
| Litige ou contentieux | Durée de la procédure + 1 an | Obligation légale |
| Archivage légal (secteur public) | 10 ans | Code du patrimoine |
Ces durées sont des maximums justifiables, non des obligations de conservation minimales. L'organisation doit documenter son choix dans son registre des traitements (article 30 RGPD) et le soumettre à révision périodique.
Où stocker les logs mail : exigences techniques et géographiques
Le lieu de stockage des journaux de messagerie est un point de conformité souvent négligé. Depuis les décisions Schrems II (2020) et la mise à jour du cadre EU-US Data Privacy Framework (2023), le transfert de logs vers des serveurs situés hors de l'Espace Économique Européen (EEE) est encadré strictement.
Hébergement en Europe : la règle de base
La CNIL recommande que les logs contenant des données personnelles soient hébergés sur des infrastructures localisées au sein de l'EEE. L'utilisation de services cloud américains (AWS, Azure, Google Cloud) est possible uniquement si des clauses contractuelles types (CCT) actualisées sont en place et si une analyse d'impact sur les transferts a été conduite.
En pratique, de nombreuses PME françaises stockent leurs logs sur des solutions SaaS dont les serveurs sont aux États-Unis, sans avoir réalisé cette analyse. C'est un risque de non-conformité majeur identifié par la CNIL dans ses contrôles 2024-2025.
Chiffrement et contrôle d'accès
Les journaux de messagerie doivent être protégés par :
- Un chiffrement au repos (AES-256 minimum) et en transit (TLS 1.2 ou supérieur).
- Un contrôle d'accès strict basé sur les rôles (RBAC) : seules les personnes légitimes (équipe sécurité, DPO, auditeurs) peuvent consulter les logs.
- Une traçabilité des accès aux logs eux-mêmes : qui a consulté quoi, quand et pourquoi.
Selon le rapport DBIR 2024 de Verizon, 68 % des violations de données impliquent des accès non autorisés à des journaux ou des systèmes de monitoring. La sécurité des logs est donc elle-même un enjeu de sécurité.
Obligations documentaires : registre, PIA et information des utilisateurs
La conservation de logs mail génère des obligations documentaires précises que tout DPO doit maîtriser en 2026.
Le registre des traitements (article 30 RGPD)
Chaque traitement de logs doit figurer dans le registre avec : la finalité, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité. Ce registre est le premier document demandé lors d'un contrôle CNIL.
L'analyse d'impact (DPIA)
Une DPIA est obligatoire si les logs permettent une surveillance systématique des salariés ou si leur volume est particulièrement important. La CNIL a publié une liste de traitements nécessitant une DPIA obligatoire ; la journalisation à grande échelle des communications y figure explicitement.
L'information des personnes concernées
Les employés et utilisateurs doivent être informés de la collecte de logs via la politique de confidentialité ou la charte informatique de l'entreprise. Cette information doit préciser la durée de conservation, les finalités et les droits exercés (accès, effacement, limitation).
« La conformité en matière de logs mail n'est pas une option technique — c'est une obligation de gouvernance. Chez FrozenSpam, nous considérons que chaque journal d'anti-spam doit être traité avec la même rigueur qu'un traitement de données RH : finalité documentée, durée justifiée, accès contrôlé. La sécurité et la conformité ne sont pas opposées, elles se renforcent mutuellement. »
Spam, phishing et logs : le cas particulier des solutions anti-spam
Les solutions anti-spam comme FrozenSpam génèrent leurs propres journaux : tentatives de connexion bloquées, messages rejetés, challenges envoyés, adresses IP sources malveillantes. Ces logs ont une valeur sécuritaire élevée mais doivent respecter les mêmes règles de conservation.
La spécificité des logs anti-spam est qu'ils contiennent souvent des adresses e-mail d'expéditeurs tiers (spammeurs, mais aussi faux positifs) qui n'ont pas consenti à figurer dans votre base de données. La CNIL considère que la finalité de sécurité constitue une base légale suffisante pour ce traitement, à condition que la durée soit proportionnée — généralement 3 à 6 mois pour les logs de filtrage.
Un système anti-spam par défi-réponse (challenge-response) présente l'avantage de ne journaliser que les interactions authentifiées, réduisant significativement le volume de données à conserver et simplifiant la conformité RGPD.
Sanctions et contrôles CNIL : ce qui attend les non-conformes en 2026
La CNIL a renforcé ses contrôles sur la durée de conservation depuis 2023. En 2024, elle a prononcé plusieurs mises en demeure concernant des organisations conservant des logs « par défaut » sans durée définie ni purge automatique.
- Amende administrative : jusqu'à 20 millions d'euros ou 4 % du CA mondial (RGPD, article 83).
- Mise en demeure publique : publiée sur le site de la CNIL, avec impact réputationnel immédiat.
- Injonction de cesser le traitement : suspension forcée pouvant paralyser l'activité de messagerie.
La bonne nouvelle : une organisation qui documente correctement ses traitements, applique des durées justifiées et met en place une purge automatique des logs est quasiment à l'abri de sanctions. La conformité est accessible avec une gouvernance structurée.
Conclusion : ce qu'il faut retenir sur la conservation des logs mail en 2026
La conservation des logs mail obéit à des règles précises en 2026 : 6 à 12 mois pour la sécurité informatique, hébergement dans l'EEE, chiffrement obligatoire, documentation dans le registre des traitements et information des utilisateurs. Chaque dérogation à ces principes doit être justifiée par une base légale spécifique.
La CNIL ne sanctionne pas les organisations qui collectent des logs pour se protéger — elle sanctionne celles qui le font sans cadre, sans limite et sans transparence. Adopter une solution anti-spam conforme dès la conception (privacy by design) est le moyen le plus efficace de concilier sécurité et conformité RGPD.
Vous souhaitez évaluer la conformité de votre infrastructure de messagerie et tester une solution anti-spam conçue pour respecter ces exigences ? Démarrez votre pilote gratuit FrozenSpam ou consultez nos formules adaptées à votre organisation.