Aller au contenu
Guides · Glossaire

Journal d'audit

Un journal d'audit est un enregistrement horodaté, en ajout uniquement, de qui a fait quoi et quand — et, idéalement, pourquoi. Chaque action significative devient une entrée : un message envoyé, un consentement modifié, un réglage changé, la décision d'un agent. Comme les entrées sont seulement ajoutées, jamais modifiées, le journal est la preuve de ce qui s'est réellement passé.

Mis à jour le 8 juil. 20262 min de lecturePar fromHello
À retenir
  • Un journal d'audit enregistre qui a fait quoi, quand — et idéalement pourquoi —, une entrée en ajout uniquement par action.
  • C'est ainsi que l'on démontre la responsabilité RGPD et que l'on audite les décisions d'un agent IA après coup.
  • « En ajout uniquement » n'est pas « inviolable » : pour faire confiance au journal, protégez son intégrité, pas seulement l'édition dans l'interface.

Que contient un journal d'audit ?

  • Acteur — qui a effectué l'action : un membre de l'équipe, une clé d'API, une tâche planifiée ou l'un des agents IA.
  • Action — ce qu'il a fait : envoyer une campagne, modifier un registre de consentement, éditer une règle de segment, mettre en pause une audience publicitaire.
  • Cible — la ressource concernée, avec un identifiant stable : quel parcours, quel modèle, quel profil.
  • Horodatage — quand cela s'est produit, à la seconde, dans un fuseau fixe ; UTC facilite les comparaisons.
  • Contexte — le pourquoi, quand vous l'avez : les valeurs avant et après, la raison indiquée, la requête déclenchante.
Le journal d'audit et les notions qui l'entourent.

Comment fonctionne un journal d'audit ?

Chaque action significative écrit une ligne, puis passe à la suivante — le journal n'est jamais modifié sur place. Cette conception en ajout uniquement est ce qui rend l'historique fiable : vous pouvez rejouer exactement ce qui s'est passé, dans l'ordre. Mais « en ajout uniquement » côté application n'équivaut pas à « inviolable ». Si quelqu'un ayant accès à la base peut réécrire des lignes, le journal prouve moins qu'il n'y paraît. Le rendre inviolable — stockage en écriture unique, chaînage par hachage, ou envoi des entrées vers un système séparé — est une étape de plus, et des référentiels d'ingénierie comme le guide de gestion des journaux du NIST traitent la protection de l'intégrité comme une exigence à part entière.

Comment auditer les décisions d'un agent IA ?

Quand des agents pilotent votre croissance, le journal d'audit est ce qui maintient une supervision avec humain dans la boucle après coup. Chaque action d'agent — un segment créé, un parcours lancé, un envoi proposé — est enregistrée avec le raisonnement qui la motive, et un orchestrateur consigne les passations entre rôles. Vous obtenez une trace de décisions que vous pouvez lire, questionner, réorienter ou annuler — au lieu d'une boîte noire qui a agi pendant votre sommeil.

Pourquoi c'est important pour une équipe de deux personnes

Le principe de responsabilité du RGPD impose de pouvoir démontrer la conformité, pas seulement de l'affirmer — et des régulateurs comme l'ICO britannique désignent les traces de ce que vous avez fait comme la preuve. Le journal d'audit est cette preuve, produite comme effet secondaire de l'usage normal plutôt qu'assemblée dans l'urgence avant un contrôle. Si vous auto-hébergez, il vit dans votre propre base ; la mise en pratique est détaillée dans RGPD et auto-hébergement, tandis que cette fiche se limite à définir le journal.

FAQ

Questions fréquentes

  • Journal d'audit vs journal applicatif : quelle différence ?

    Un journal applicatif sert au débogage : il enregistre les événements techniques, les erreurs et les traces destinés aux développeurs. Un journal d'audit sert à la responsabilité : il enregistre les actions à portée métier — qui a modifié quoi — sous une forme montrable à un régulateur ou à un client. Les deux se recoupent mais répondent à des questions différentes.

  • Un journal d'audit est-il forcément inviolable ?

    Pas exactement. « En ajout uniquement » signifie que l'application ne modifie jamais les entrées passées, mais un administrateur de base pourrait encore les altérer. Un stockage inviolable — support en écriture unique, chaînage par hachage — offre une garantie plus forte. Pour une petite équipe, l'ajout uniquement avec un accès à la base restreint est un point de départ raisonnable.

  • Combien de temps conserver les journaux d'audit ?

    Aussi longtemps qu'ils servent, et pas au-delà. Les enquêtes de sécurité et la responsabilité RGPD fixent un plancher ; le coût de stockage et la minimisation des données fixent un plafond. Beaucoup d'équipes gardent les journaux liés à la sécurité un an ou plus, mais aucun chiffre légal unique n'existe — la conservation suit la raison pour laquelle vous les détenez.

  • Les journaux d'audit contiennent-ils des données personnelles ?

    Souvent oui — l'identité d'un acteur, l'ID de profil d'un client, parfois le contenu des messages. Le journal entre donc lui-même dans le champ du RGPD : sécurisez-le, limitez les accès et définissez une durée de conservation, comme tout autre stockage de données personnelles.

Découvrez la plateforme que l'équipe pilote.

Guides liés
Accès anticipé

Votre growthen autopilote.

L'accès anticipé ouvre progressivement, pour que l'équipe s'ajuste à de vrais cas d'usage. Les petites équipes aux grandes ambitions passent en premier.

déjà 500+ sur la liste

Pas prêt à laisser un e-mail ? C'est open source. Faites-la tourner vous-même dès aujourd'hui. Voir sur GitHub

Pas de spam. Un e-mail quand votre place s'ouvre. Désinscription à tout moment.