La Cnil a diffusé une note sur son site web rappelant les règles du RGPD aux sites web. S'ils ont perdu des données personnelles, il faut le signaler à l'autorité.

Week-end compliqué pour OVH. Dix jours après l’incendie dans son centre de données à Strasbourg, qui a causé la destruction des serveurs dans l’un des quatre secteurs du site, l’hébergeur français a fait face à un autre incident dans la soirée du 19 au 20 mars : de la fumée s’échappait de batteries défectueuses. Fort heureusement, le problème a pu être contenu très tôt par les pompiers.

Pour les gérants de sites qui accueillaient des données personnelles, et dont les serveurs font partie des infrastructures détruites ou endommagées, la période n’est également pas la plus tranquille. Outre l’inventaire des dégâts, la perte d’activité et les répercussions économiques, ils doivent également faire face à des obligations administratives. C’est ce que rappelle la Cnil ce lundi 22 mars.

OVH Strasbourg
Ce qu’il reste du SBG2, détruit par les flammes. // Source : StrasTV

Un incendie dont les effets concernent le RGPD

Les dispositions du Règlement général sur la protection des données (RGPD) prévoient en effet une obligation de notification en cas d’indisponibilité ou de destruction de données personnelles, y compris lorsque cette indisponibilité ou destruction est la conséquence d’un feu dans un data center. En France, c’est vers la Commission nationale de l’informatique et des libertés qu’il faut se tourner.

Le RGPD expose à l’article 33 les circonstances dans lesquelles une notification à l’autorité de contrôle d’une violation de données personnelles doit avoir lieu. Or, dans la définition de ce qu’est une violation de données à caractère personnelle figurent la destruction, la perte, l’altération, la divulgation non autorisée et l’accès frauduleux, de manière illégale ou bien accidentelle.

La Cnil a préparé une fiche pour préciser dans quels cas de figure cette notification doit avoir lieu, car elle n’est pas systématiquement requise, y compris dans le cas de l’incendie chez OVH. C’est le cas si l’activité a pu être maintenue malgré la perte provisoire du data center strasbourgeois, ou si des sauvegardes ont pu être déployées rapidement, de sorte que les effets sur les internautes ont été minimes.

Aux dernières nouvelles, OVH a pris la décision de ne plus relancer la partie de son data center (SBG1) qui se trouvait à proximité du conteneur où étaient placées ces fameuses batteries à l’origine de l’incident du 19 mars. Les serveurs concernés sont relocalisés dans SBG4 (l’une des deux zones épargnées, avec SBG3), ou dans d’autres data centers du groupe, à Roubaix et Gravelines.

Partager sur les réseaux sociaux

La suite en vidéo