Incendie chez OVH : une violation de données selon la Cnil

par | 23 03 2021 | Données personnelles

La destruction du datacentre strasbourgeois est susceptible de constituer une violation de données, avec le lot d’obligations légales que cela implique. La Cnil en fait le rappel dans une publication. 

Les affaires d’OVH ne s’arrangent pas. Juste avant ce week-end, un départ de fumée sur son site de Strasbourg le contraignait à interrompre un temps ses opérations et à fermer son datacentre Strasbourg 1, de conception similaire à Strasbourg 2, réduit en cendres dans la nuit du 9 au 10 mars. Voilà désormais que la Cnil s’en mêle et éclaire certaines questions en rappelant que la destruction de données personnelles, “y compris accidentelle”, relève de la violation de données au sens du RGPD. 

Dans son article, la Cnil ne vise pas spécifiquement OVH et ne fait que rappeler des points de droit et des obligations des responsables de traitement. Notamment que ceux-ci doivent documenter la violation dans un registre, tandis que les sous-traitants doivent informer leurs clients afin qu’ils s’acquittent de ladite obligation. 

Quand notifier la Cnil ?

Sur les notifications à la Cnil et la communication aux personnes, la Cnil précise que celle-ci n’est pas nécessaire si un PRA est mis en œuvre, ou si un PCA a permis la continuité des activités. De même, si les données ont été restaurées à partir de sauvegardes et qu’il n’y a pas de conséquence significative sur les personnes. 

Mais, dans le cas de perte définitive des données personnelles, ou si celles-ci sont restées indisponibles une période significative, la Cnil doit être notifiée. “Le niveau de risque s’évalue notamment en tenant compte du type de données concernées et des conséquences potentielles de la violation (par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé)”.

12 Commentaires

  1. mbo

    Le problème se situe au niveau du responsable des données : c’est avant tout le client qui est le responsable.

    S’il stocke des données à caractère personnel, c’est sa responsabilité qui est en tout premier lieu engagée. Après il peut se décharger à différents degrés de celles-ci en souscrivant des prestations de qualité (redondance, sauvegardes en différents lieux, tests de failovers et de restaurations…) chez un ou plusieurs hébergeurs.
    La responsabilité d’OVH n’est engagée que pour ces prestations là, dans la limite de ce qui est écrit dans le contrat (bien lire les petites lignes), pas pour le serveur à 4€/mois où le client paie pour du low cost sans prestation et donc assume toute la responsabilité.

    Réponse
  2. LoungeLezard

    Un article sur le sujet de la responsabilité de la perte données hébergées du client qui souscrit un hébergement de base serait le bienvenu. Que disent les autres hébergeurs, que proposent-ils ? J’ai du mal à croire les commentaires qui prétendent que la sauvegarde des données hébergées est à la charge du client.

    Réponse
    • CamouflageKK

      En effet, OVH est à responsabilité égale avec ses clients en matière de protection données personnelles, du fait qu’il les héberge, et donc les traite pour leur compte. Son rôle et ses obligations dans ce domaine s’établissent par cette analyse rudimentaire des faits, et par aucune clause en petits caractères décrétée de façon unilatérale au détour de CGU pour l’en dégager.

      Réponse
  3. Toto le haricot

    OVH est mort de toute façon. Qui voudrait encore bosser avec des gens incompétents au point de mettre les données et leur backup dans la même salle, ou simplement dans le même immeuble. J’ai bossé chez deux hebergeurs différents et je n’ai jamais vu ça. Mais bon c’est pas cher…enfin quand on perd toutes ses données ça coûte un.peu quand même…

    Réponse
  4. Michel

    Un client, simple commerçant, n’est ni un juriste, ni un informaticien.
    Un prestataire a un devoir s’informer clairement un client néophyte.
    Les clauses en “petits caractères” : légal mais ni moral, ni commerçant. L’attitude du prestataire peut beaucoup nuire à son image de marque et lui faire perdre des clients.

    Réponse
  5. Franz

    Ça fait des années que je ne travaille plus avec eux… j’ai bien fait… c’est sur ils ont développé leurs offres et leur dimensionnement de façon impressionnante durant toutes ces années… mais à quel prix… la médiocrité en gestion et prévention des risques… on a là un AZF des offres cloud… j’espère que ça servira de leçon pour tous les autres!

    Réponse
    • marcel28

      Mesdames, Messieurs les censeurs arrêtez de persifler, aucun intérêt de taper sur OVH sauf si vous êtes concurrent. Le risque 0 n’existe pas et tous les datacenters ont eu ou auront des incidents plus ou moins graves malgré les préventions, les études de risques, les PCA, les PRA,..
      Dans le passé les grandes bibliothèques ont brûlé ou ont disparu dans des catastrophes naturelles.
      Il faudrait peut être se poser les bonnes questions en regard de la redondance des informations, comment reconstituer les données, pourquoi je n’ai pas de backup dans mon SI, etc, …. !!!!. Toujours le choix bénéfice/risque/coûts. On assume ses choix, on prend de bonnes assurances, on fait valider par une structure juridique les clauses d’hébergement, … ce qui montre aussi que les entreprises sont devenues irresponsables. Si une perte de donnée fragilise une entreprise, c’est à elle à réfléchir à sa stratégie de recovery/PCA/PRA qui aura un coût élevé et qui sera probablement retoquée par la finance + actionnaires. Je n’engage que moi sur cette analyse.

      Réponse
      • Robert

        C’est comme pour les épices.
        Vous avez des bons et des mauvais.

        Prenez david vanille, il va dans les plantations, de vanille, de poivres et de thés comme le prouve ses photos.

        Terre exotique par exemple, il n’a rien sur son site.

        Quand on pense que terre exotique achète chez david vanille ses épices

        Dans l’hébergement c’est pareil ovh leader avec pleins de problèmes et 1and1 il est hyper fiable mais personne en parle.

        Réponse
      • Olivier

        plancher en bois dans un datacenter, un système de conteneurs maritimes qui aurait dû être dégagé depuis la panne électrique de 2017, plus d’autres trucs qui viennent de sortir aujourd’hui…. ça commence à faire beaucoup.

        Lorsque des clients prennent depuis plusieurs années l’option backup automatisé dans une boîte qui se la pète leader de la french tech, et la seule fois où ils en ont besoin on leur annonce que ce n’est pas possible… et après on vient leur dire que c’est leur faute parce qu’ils n’ont pas fait de sauvegarde chez eux… faut courir vite après 😀

        Réponse
  6. Sébastien Pradères

    Bonjour,

    Bien sûr que la sauvegarde est de la responsabilité du client.

    C’est lui, lorsqu’il souscrit à un contrat de service qui exprime ce dont il a besoin.
    Le fournisseur cloud met à disposition l’infrastructure correspondante.

    Le paramétrage de la sauvegarde – qu’est-ce que je sauvegarde, a quelle fréquence – est également a charge du client.

    La sauvegarde a un coût non négligeable en fonction des volumes, de la redondance des serveurs, etc. et beaucoup n’en voient pas l’utilité …
    Comme en sécurité, c’est après coup qu’ils se disent qu’ils ont eu tord.

    Ce n’est pas parce qu’on héberge ses serveurs dans le cloud qu’il ne faut pas penser à tout celà.

    Réponse
  7. Rotoscopie

    Il est peut-être pertinent de se poser la question de cette “course au cloud” pour tout. L’infogérance dans le cloud par exemple n’est pas forcément la solution. Certes on peut comprendre que pour des questions de coût ce soit cette solution qui soit choisie. Mais la perte de maîtrise et le risque géré par un tiers est à prendre en compte. Perso pour mon utilisation le cloud c’est uniquement pour la sauvegarde… de ma sauvegarde locale. Et cet incident renforce ma conviction.

    PS: ce qui m’étonne c’est qu’OVH ne disposait pas de capteurs de température des batteries couplés à des extincteurs automatiques…

    Réponse
  8. Livo

    La question n’est pas à ce stade de savoir QUI est le vrai responsable du sinistre, ou qui a allumé l’allumette, ou s’il aurait fallu un vigile, des capteurs ou des sondes. Voyons ça sous l’angle des entreprises.

    Quand il ya une perte d’intégrité, de disponibilité, ou de confidentialité des données, on est automatiquement en situation d’incident ou de violation de données, avec des déclarations quasi-obligatoire à faire au régulateur, voir aux personnes concernées.

    Le RGPD (et la CNIL) ont pour but de protéger les droits et les libertés des personnes, de leur octroyer des droits, donc d’imposer des obligations aux entreprises de l’UE. Pour éviter des situations du genre, c’est pas moi qui suis responsable, c’est lui, ou encore, c’est vraiment la faute à pas de chance, désolé.

    Le seul propriétaire des données, c’est la personne concernée, celle dont les données ont été perdues ou détruites.
    Le responsable, c’est l’organisme à qui il les a confiées initialement, peu importe qu’il fasse appel ensuite à un sous-traitant ultérieur, il reste le seul responsable de traitement de bout en bout. (RT). On encadre d’ailleurs les relations de sous-traitance de façon très stricte dans l’art. 28 du RGPD.

    Enfin, le RGPD art. 32 impose que le RT prenne toutes les mesures utiles, selon l’état de l’art, pour en assurer la sécurité de bout en bout. Quand quelque chose se passe mal, il ya forcément un défaut de sécurité quelque part, l’obligation de sécurité du RT étant une quasi-obligation de résultat.

    Donc peu importe (façon de parler) si OVH a brûlé, c’est le RT qui aurait dû prendre toutes les précautions utiles avec par ex un backup déporté (et journalisé 😉 de toutes données dont il a la charge.… et assumer sa responsabilité quant aux contenus des serveurs qu’il utilise.

    Il appartient évidemment aussi à OVH de prendre de son côté toutes les mesures nécessaires pour que le contenant (le serveur) reste sécurisé et disponible, voir ininflammable.

    Même si on achète une voiture bas de gamme, moche et d’occasion chez un pro, on est en droit d’attendre qu’elle ait des freins et que la batterie ne foute pas le feu 🙂
    Billet Low cost ou pas, l’avion qu’on prend doit nous offrir exactement les mêmes conditions de sécurité qu’un billet première VIP sur Air-France !

    Réponse

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À LIRE AUSSI…

Vos abonnements

  • Vous n'êtes pas connecté

Derniers commentaires

Plus d’infos sur…

Inscription Newsletter