L’entreprise française OVHCloud, anciennement OVH, a été victime le 10 mars dernier d’un incendie provoquant d’importantes conséquences notamment au regard des bases des données.
A cet égard, cet incident inquiète la CNIL qui doit alors être informée si des données personnelles ont été perdues de façon définitive. En effet, la CNIL est elle-même venue rappeler que « la destruction de données personnelles (temporaire ou définitive) y compris accidentelle, constitue une violation de données au sens du RGPD ».
Cependant, même si pour l’instant l’hébergeur, ainsi que ses clients, n’ont pas encore terminé le bilan des dégâts causés aux données hébergées, ni même déterminé l’ampleur des pertes. Il n’en reste pas moins que ces derniers doivent d’ores et déjà inscrire la violation dans un registre tenu en interne. En d’autres termes, il s’agit d’établir les faits ainsi que les effets qui en découlent mais également toutes les mesures prises pour remédier à cette situation.
Cette obligation concerne alors tous ceux qui sont touchés par l’incident de OVHCloud à la fois au premier rang et au second rang voire au-delà. La CNIL précise à cet égard que « Les sous-traitants doivent informer leurs clients de l’incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux ».
La conséquence majeure de cet incident concerne les données des plus petits clients de l’hébergeur comme des commerçants de quartier qui ont vu leurs fichiers partir en fumée. Et plus précisément lorsque les données présentent un risque élevé pour les personnes comme les données de santé par exemple. Dans ce cas, ces personnes doivent être directement informées par le responsable du traitement. Toutefois, à cet instant rien ne permet d’affirmer que de telles données ont été perdues.
Cependant, il faut préciser que toutes les entreprises touchées par l’incendie de Strasbourg ne sont pas concernées par ces obligations. En effet, dans le cas où les données ont pu être restaurées et la continuité du service assurée, les clients n’ont pas besoin d’être informé de cet incident.