La destruction du datacentre strasbourgeois est susceptible de constituer une violation de données, avec le lot d’obligations légales que cela implique. La Cnil en fait le rappel dans une publication.
Les affaires d’OVH ne s’arrangent pas. Juste avant ce week-end, un départ de fumée sur son site de Strasbourg le contraignait à interrompre un temps ses opérations et à fermer son datacentre Strasbourg 1, de conception similaire à Strasbourg 2, réduit en cendres dans la nuit du 9 au 10 mars. Voilà désormais que la Cnil s’en mêle et éclaire certaines questions en rappelant que la destruction de données personnelles, “y compris accidentelle”, relève de la violation de données au sens du RGPD.
Dans son article, la Cnil ne vise pas spécifiquement OVH et ne fait que rappeler des points de droit et des obligations des responsables de traitement. Notamment que ceux-ci doivent documenter la violation dans un registre, tandis que les sous-traitants doivent informer leurs clients afin qu’ils s’acquittent de ladite obligation.
Quand notifier la Cnil ?
Sur les notifications à la Cnil et la communication aux personnes, la Cnil précise que celle-ci n’est pas nécessaire si un PRA est mis en œuvre, ou si un PCA a permis la continuité des activités. De même, si les données ont été restaurées à partir de sauvegardes et qu’il n’y a pas de conséquence significative sur les personnes.
Mais, dans le cas de perte définitive des données personnelles, ou si celles-ci sont restées indisponibles une période significative, la Cnil doit être notifiée. “Le niveau de risque s’évalue notamment en tenant compte du type de données concernées et des conséquences potentielles de la violation (par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé)”.