Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Des conséquences RGPDiennes de l’incendie d’OVHcloud

Des conséquences RGPDiennes de l’incendie d’OVHcloud

Le 23 mars 2021 à 08h54

L’incendie qui a frappé les infrastructures d’OVHcloud à Strasbourg a aussi un versant RGPD. « La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD » rappelle la CNIL dans une note

Conséquences ? « Les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne ». De même, les sous-traitants « doivent informer leurs clients de l'incident » .

Dans certains cas, la notification à la CNIL, mais également l’alerte faite aux personnes concernées n’est pas nécessaire « si les conséquences restent limitées pour les personnes », par exemple lorsque les données ont pu être sauvées des flammes, « sans conséquence significative pour les personnes ».

Par contre, il faudra notifier la CNIL en cas de perte définitive ou si les données « sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes ».

De même « si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement ». La CNIL cite un exemple : une perte définitive de données de santé d’un patient.

Le 23 mars 2021 à 08h54

Commentaires (28)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

“Par contre, il faudra notifier la CNIL en cas de perte définitive ou si les données « sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes ».”
On comprend tout l’intérêt de souscrire à des services de backup et de faire des PRA pour éviter ce genre de problèmes !

votre avatar

“les sauvegardes”, ça existe…non ?

votre avatar

Justement la plupart des clients pensent que c’est “inclus” dans les offres cloug.

votre avatar

Mes clients qui pensaient que j’essayer juste de faire des sous en plus quand je leurs proposais de la sauvegarde :mdr2:

votre avatar

OVH précisait ces éléments dans les communications destinées aux clients.




N.B. : si vous avez perdu des données à caractère personnel, cette situation doit, conformément aux articles 33 et 34 du règlement général sur la protection des données (RGPD), être notifiée par le ou les responsables du traitement des données concernées :
• d’une part, à l’autorité de protection des données compétente dans les meilleurs délais et, si possible, dans les 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques concernées ;
• et, d’autre part, aux personnes concernées si la perte est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
Si vous n’êtes pas le responsable dudit traitement, celui-ci doit être informé de la perte dans les meilleurs délais afin de pouvoir procéder, si nécessaire, auxdites notifications.



https://www.cnil.fr/fr/les-violations-de-donnees-personnelles


votre avatar

XMalek a dit:


Justement la plupart des clients pensent que c’est “inclus” dans les offres cloug.


La plupart des clients, mais pas le pharmacien : « Mais… mais qu’est-ce que c’est que cette matière ? Mais c’est d’la merde ?! »

votre avatar

Tiens, ils sont où les commentateurs qui s’évertuaient à s’imaginer que l’incendie du datacenter de Strasbourg n’aurait aucune conséquence juridique vis-à-vis du RGPD ?



Certains ont la tête dur.



Il a même fallu que la CNIL fasse une communication spécifique pour rappeler à chacun - responsable de traitement et sous-traitants - les actions à entreprendre.



Les violations de données personnelles ne sont pas que le fait des accès non-autorisés mais toute indisponibilité ou perte de données personnelles.



La gestion des risques c’est pas pour les chiens.

votre avatar

et tu prouves comment qu’il y avait des données perso alors que t’as pas de backup ?



:troll:

votre avatar

Le registre des traitements qui est obligatoire pour consigner en détail l’ensemble des traitements de données personnelles réalisés ainsi que les mesures assurant notamment la sécurité des traitements.



L’absence de constitution d’un tel registre pour un responsable de traitement est en tant que tel une violation du RGPD.

votre avatar

J’ajouterai même que les bases de données contenant des données personnelles doivent de plus être déclarées à la CNIL.



D’où l’obligation de la prévenir… pour leur dire “eh…au fait…elle n’existe plus…”

votre avatar

Mais c’est pas OVH qui fait le traitement ou alors je ne comprend pas assez de quoi on parle
OVH ne sait même pas que ce sont des données perso.

votre avatar

Soit j’ai mal lu, soit j’ai mal comprit. Ovh (et ses clients) doivent informer de la perte de données par crémation ? Ils doivent envoyer un mail du genre “vous inquiétez par pour vos données, elles sont définitivement protégées par crémation” ?

votre avatar

Oui, cCf l’article sur la violation des données personnelles sur le site de la CNIL.




La notification aux personnes concernées doit a minima contenir et exposer, en des termes clairs et précis, les éléments suivants :
la nature de la violation ;
les conséquences probables de la violation ;
les coordonnées de la personne à contacter (DPO ou autre) ;
les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.



Elle doit être complétée, dès lors que cela est nécessaire, de recommandations à destination des personnes pour atténuer les effets négatifs potentiels de la violation et leur permettre de prendre les précautions qui s’imposent



Exemples de recommandations : changement de mot de passe des utilisateurs d’un service, vérification de l’intégrité des données de leur compte en ligne, sauvegarde de ces données sur un support personnel


votre avatar

C’est exactement ça. il faut notifier que les données personelles ont été détuites dans une durée non contractuelle.

votre avatar

c’est une durée max en générale il n’y a pas de durée min de conservation non ?
Et comment ils font si les données personnelles perdu contenaient justement l’adresse de contact du client ?

votre avatar

Ben tu notifies la CNIL qu’il ya XXX cas ou les personnes n’ont pas été retrouvées. le but est de notifier au maximum

votre avatar

L’incendie qui a frappé


Les incendies qui ont frappés : il y a eu un nouvel incendie le 19 mars.

votre avatar

C’était pas juste de la fumé ?

votre avatar

Y’a pas de fumée sans feu.. :non:

votre avatar

ah, la sauvegarde dans le cloud, y a que ça de vrai! ^^

votre avatar

serpolet a dit:


La plupart des clients, mais pas le pharmacien : « Mais… mais qu’est-ce que c’est que cette matière ? Mais c’est d’la merde ?! »


J’applaudis la référence cinémtographique :bravo: elle vient de loin celle la mais elle est excellente :incline:

votre avatar

Toutes proportions gardées, ça veut dire qu’un site qui supprime le compte d’un client, alors que le client demandait juste une limitation du traitement des données, n’est pas en règle avec le RGPD ?
(#truestory, j’ai demandé que mes données ne soient pas partagées avec les partenaires marketing, on me répond “comme vous l’avez demandé on a supprimé votre compte”)

votre avatar

Le prestataire n’avait peut être d’autre choix que de supprimer pour respecter ta demande :prof:

votre avatar

Quel prestataire ? J’ai fait la demande à la société qui gère le site (c’est un site e-commerce). Je demande que mes données ne soient pas partagées à des fins de marketing, la seule solution d’y arriver est de supprimer mon compte ? Dans ce cas tous mes comptes devraient être fermés, car je fais systématiquement la même demande (vu que personne ne respecte mes choix, de ne pas recevoir la newletter, de ne pas partager mon e-mail avec les sites “faites-nous part de votre expérience”,…).

votre avatar

Ca dépends quel site, et comment ils gèrent la chose, je sais que chez certains de mes clients, leur outil est tellement mal fait, que le seul moyen de ne pas spammer les client en faisant explicitement la demande est de supprimer le compte :bravo:



Autant pour moi, je fais une mise à jour de mon logiciel interne (cerveau…)

votre avatar

Je confirme, ce n’est pas du tout en règle avec le RGPD. Un droit à la limitation (article 18) et un droit d’effacement (article 17), ce n’est pas pareil. Vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle (en France, la CNIL).

votre avatar

th3squal a dit:


J’ajouterai même que les bases de données contenant des données personnelles doivent de plus être déclarées à la CNIL.



D’où l’obligation de la prévenir… pour leur dire “eh…au fait…elle n’existe plus…”


Euh non. Ca, c’était avant le 25 mai 2018. Et cela concernait plus largement tout “fichier” au sens large (qu’il soit numérique, papier, etc.)



Depuis le RGPD, il n’y a plus de déclaration à faire (sauf très rare cas, notamment dans le domaine de la santé)

votre avatar

Equilibrium a dit:



Certains ont la tête dur.


Maintenant ils ont les jambes moll. :transpi:

Des conséquences RGPDiennes de l’incendie d’OVHcloud

Fermer