// ID CiTé
Veille juridique et professionnelle des Collectivités Territoriales







TIC - Réseaux - Téléphonie

Actu - Incendie OVH : faut-il notifier à la CNIL ?

Rédigé par ID CiTé le 23/03/2021



Actu - Incendie OVH : faut-il notifier à la CNIL ?
Suite à l’incendie du 10 mars 2021 ayant eu lieu dans un centre de données d’OVH à Strasbourg, la CNIL rappelle les obligations en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles.

La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données  au sens du RGPD.

À ce titre, les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne.

Les sous-traitants doivent informer leurs clients de l'incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux.

Les cas dans lesquels une notification n’est pas nécessaire
La notification à la CNIL et la communication aux personnes n’est pas nécessaire si les conséquences restent limitées pour les personnes. Ainsi, il n’est pas nécessaire d'informer la CNIL :
- si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service ; ou
- si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes (ex. : les conséquences sont limitées à l’impossibilité de passer une commande pendant quelques heures).

Les cas dans lesquels une notification est nécessaire
En revanche, une notification à la CNIL est nécessaire :
- si des données personnelles ont été définitivement perdues ; ou
- si elles sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.

Par ailleurs, si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement.

Le niveau de risque s’évalue notamment en tenant compte du type de données concernées et des conséquences potentielles de la violation (par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé).

Notifier la violation de données à la CNIL
Source >> CNIL
 







Les articles les plus lus des 7 derniers jours...