Incendie OVH : faut-il notifier à la CNIL ? La réponse ne va pas faire plaisir à certains !

Incendie OVH : faut-il notifier à la CNIL ? La réponse ne va pas faire plaisir à certains !

Suite à l’incendie du 10 mars 2021 ayant eu lieu dans un centre de données d’OVH à Strasbourg, la CNIL rappelle les obligations en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles.

La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD.

À ce titre, les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne.

Les sous-traitants doivent informer leurs clients de l’incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux.

Les cas dans lesquels une notification n’est pas nécessaire

La notification à la CNIL et la communication aux personnes n’est pas nécessaire si les conséquences restent limitées pour les personnes. Ainsi, il n’est pas nécessaire d’informer la CNIL :

  • si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service ; ou
  • si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes (ex. : les conséquences sont limitées à l’impossibilité de passer une commande pendant quelques heures).

Les cas dans lesquels une notification est nécessaire

En revanche, une notification à la CNIL est nécessaire :

  • si des données personnelles ont été définitivement perdues ; ou
  • si elles sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.

Par ailleurs, si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement.

Le niveau de risque s’évalue notamment en tenant compte du type de données concernées et des conséquences potentielles de la violation (par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé).

Notifier la violation de données à la CNIL

La CNIL a pour mission de recevoir les notifications de violations de données et de fournir des conseils en matière de communication aux personnes concernées mais ne fournit pas de service d’assistance ou de remédiation sur des incidents de cybersécurité.

Source : CNIL : Incendie OVH : faut-il notifier à la CNIL ?

Commentaire de Denis JACOPINI

Si vous avez tout perdu, il y a de fortes chances que la négligence ou l’incompétence d’un professionnel soit en cause.

Pensez aux audits sécurité et aux plans de reprise ou de continuité d’activités.

Il sera nécessaire de :

  • Analyser les causes de la perte de données
  • Envisager une amélioration des processus
  • Rechercher d’autres failles dans les mesures de sécurité mises en place.

Notre Expert peut vous accompagner dans ces démarches.

Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

Tags :

Laisser un commentaire

Suivez-nous sur les réseaux sociaux

 

Icone LinkedInIcone TwitterIcone Facebook

Consultez par catégorie

Dernières publications