Week-end compliqué pour OVH. Dix jours après l’incendie dans son centre de données à Strasbourg, qui a causé la destruction des serveurs dans l’un des quatre secteurs du site, l’hébergeur français a fait face à un autre incident dans la soirée du 19 au 20 mars : de la fumée s’échappait de batteries défectueuses. Fort heureusement, le problème a pu être contenu très tôt par les pompiers.
Pour les gérants de sites qui accueillaient des données personnelles, et dont les serveurs font partie des infrastructures détruites ou endommagées, la période n’est également pas la plus tranquille. Outre l’inventaire des dégâts, la perte d’activité et les répercussions économiques, ils doivent également faire face à des obligations administratives. C’est ce que rappelle la Cnil ce lundi 22 mars.
Un incendie dont les effets concernent le RGPD
Les dispositions du Règlement général sur la protection des données (RGPD) prévoient en effet une obligation de notification en cas d’indisponibilité ou de destruction de données personnelles, y compris lorsque cette indisponibilité ou destruction est la conséquence d’un feu dans un data center. En France, c’est vers la Commission nationale de l’informatique et des libertés qu’il faut se tourner.
Le RGPD expose à l’article 33 les circonstances dans lesquelles une notification à l’autorité de contrôle d’une violation de données personnelles doit avoir lieu. Or, dans la définition de ce qu’est une violation de données à caractère personnelle figurent la destruction, la perte, l’altération, la divulgation non autorisée et l’accès frauduleux, de manière illégale ou bien accidentelle.
La Cnil a préparé une fiche pour préciser dans quels cas de figure cette notification doit avoir lieu, car elle n’est pas systématiquement requise, y compris dans le cas de l’incendie chez OVH. C’est le cas si l’activité a pu être maintenue malgré la perte provisoire du data center strasbourgeois, ou si des sauvegardes ont pu être déployées rapidement, de sorte que les effets sur les internautes ont été minimes.
Aux dernières nouvelles, OVH a pris la décision de ne plus relancer la partie de son data center (SBG1) qui se trouvait à proximité du conteneur où étaient placées ces fameuses batteries à l’origine de l’incident du 19 mars. Les serveurs concernés sont relocalisés dans SBG4 (l’une des deux zones épargnées, avec SBG3), ou dans d’autres data centers du groupe, à Roubaix et Gravelines.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
