L’incendie qui a eu lieu au data center de OVH à Strasbourg le 10 mars dernier a paralysé de nombreux sites sur le Web. Les utilisateurs qui ont perdu leurs données suite à l’incident doivent maintenant contacter la Cnil.

Si vos données personnelles ont été impactées par l’incendie qui a détruit un énorme datacenter à Strasbourg, il vous faut à présent contacter la Cnil (Commission nationale de l’informatique et des libertés). En effet, suite à la catastrophe, la Cnil a rappelé que la destruction de données personnelles, temporaire ou définitive, y compris accidentelle, constitue une violation de données au sens du RGPD.

OVH avait identifié et révélé la cause de l’incendie, ainsi que son plan pour relancer ses datacenters, mais cela n’a pas empêché un nouvel incendie de se déclarer le vendredi 19 mars dans l’un des centres de données d’OVH. Contrairement à l’incendie du 10 mars, celui-ci n’aurait pas eu de conséquences aussi désastreuses pour de nombreuses sociétés.

La Cnil rappelle les obligations du RGPD

La Cnil a mis en ligne un document expliquant dans quels cas de figure cette notification doit avoir lieu. Tout d’abord, les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent « documenter la violation dans un registre tenu en interne ». En d’autres termes, ils se doivent d’établir les faits, ses effets et les mesures prises pour y remédier.

De plus, les sous-traitants doivent informer leurs clients de l’incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre en interne. La CNIL a établi une liste des cas où elle doit être avertie :

• Si des données personnelles ont été définitivement perdues.
• Si les données sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.

Cependant, il n’est pas utile de notifier la Cnil dans les cas suivants :

• Si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service.
• Si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes (ex. : les conséquences sont limitées à l’impossibilité de passer une commande pendant quelques heures).

Bien que l’incendie ait secoué de nombreuses entreprises, OVH fait son possible pour apaiser la situation. Dans les prochaines semaines, OVHCloud prévoit de livrer près de 15 000 serveurs à ses clients. De plus, OVH a proposé à tous les clients concernés par cette catastrophe une infrastructure de remplacement.

Source : le figaro