Que contient un journal d'audit ?
- Acteur — qui a effectué l'action : un membre de l'équipe, une clé d'API, une tâche planifiée ou l'un des agents IA.
- Action — ce qu'il a fait : envoyer une campagne, modifier un registre de consentement, éditer une règle de segment, mettre en pause une audience publicitaire.
- Cible — la ressource concernée, avec un identifiant stable : quel parcours, quel modèle, quel profil.
- Horodatage — quand cela s'est produit, à la seconde, dans un fuseau fixe ; UTC facilite les comparaisons.
- Contexte — le pourquoi, quand vous l'avez : les valeurs avant et après, la raison indiquée, la requête déclenchante.
Comment fonctionne un journal d'audit ?
Chaque action significative écrit une ligne, puis passe à la suivante — le journal n'est jamais modifié sur place. Cette conception en ajout uniquement est ce qui rend l'historique fiable : vous pouvez rejouer exactement ce qui s'est passé, dans l'ordre. Mais « en ajout uniquement » côté application n'équivaut pas à « inviolable ». Si quelqu'un ayant accès à la base peut réécrire des lignes, le journal prouve moins qu'il n'y paraît. Le rendre inviolable — stockage en écriture unique, chaînage par hachage, ou envoi des entrées vers un système séparé — est une étape de plus, et des référentiels d'ingénierie comme le guide de gestion des journaux du NIST traitent la protection de l'intégrité comme une exigence à part entière.
Comment auditer les décisions d'un agent IA ?
Quand des agents pilotent votre croissance, le journal d'audit est ce qui maintient une supervision avec humain dans la boucle après coup. Chaque action d'agent — un segment créé, un parcours lancé, un envoi proposé — est enregistrée avec le raisonnement qui la motive, et un orchestrateur consigne les passations entre rôles. Vous obtenez une trace de décisions que vous pouvez lire, questionner, réorienter ou annuler — au lieu d'une boîte noire qui a agi pendant votre sommeil.
Pourquoi c'est important pour une équipe de deux personnes
Le principe de responsabilité du RGPD impose de pouvoir démontrer la conformité, pas seulement de l'affirmer — et des régulateurs comme l'ICO britannique désignent les traces de ce que vous avez fait comme la preuve. Le journal d'audit est cette preuve, produite comme effet secondaire de l'usage normal plutôt qu'assemblée dans l'urgence avant un contrôle. Si vous auto-hébergez, il vit dans votre propre base ; la mise en pratique est détaillée dans RGPD et auto-hébergement, tandis que cette fiche se limite à définir le journal.