L’incendie qui a frappé les infrastructures d’OVHcloud à Strasbourg a aussi un versant RGPD. « La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD » rappelle la CNIL dans une note.
Conséquences ? « Les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne ». De même, les sous-traitants « doivent informer leurs clients de l'incident » .
Dans certains cas, la notification à la CNIL, mais également l’alerte faite aux personnes concernées n’est pas nécessaire « si les conséquences restent limitées pour les personnes », par exemple lorsque les données ont pu être sauvées des flammes, « sans conséquence significative pour les personnes ».
Par contre, il faudra notifier la CNIL en cas de perte définitive ou si les données « sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes ».
De même « si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement ». La CNIL cite un exemple : une perte définitive de données de santé d’un patient.
Commentaires (28)
#1
“Par contre, il faudra notifier la CNIL en cas de perte définitive ou si les données « sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes ».”
On comprend tout l’intérêt de souscrire à des services de backup et de faire des PRA pour éviter ce genre de problèmes !
#2
“les sauvegardes”, ça existe…non ?
#2.1
Justement la plupart des clients pensent que c’est “inclus” dans les offres cloug.
#3
Mes clients qui pensaient que j’essayer juste de faire des sous en plus quand je leurs proposais de la sauvegarde
#4
OVH précisait ces éléments dans les communications destinées aux clients.
#5
La plupart des clients, mais pas le pharmacien : « Mais… mais qu’est-ce que c’est que cette matière ? Mais c’est d’la merde ?! »
#6
Tiens, ils sont où les commentateurs qui s’évertuaient à s’imaginer que l’incendie du datacenter de Strasbourg n’aurait aucune conséquence juridique vis-à-vis du RGPD ?
Certains ont la tête dur.
Il a même fallu que la CNIL fasse une communication spécifique pour rappeler à chacun - responsable de traitement et sous-traitants - les actions à entreprendre.
Les violations de données personnelles ne sont pas que le fait des accès non-autorisés mais toute indisponibilité ou perte de données personnelles.
La gestion des risques c’est pas pour les chiens.
#6.1
#6.2
Le registre des traitements qui est obligatoire pour consigner en détail l’ensemble des traitements de données personnelles réalisés ainsi que les mesures assurant notamment la sécurité des traitements.
L’absence de constitution d’un tel registre pour un responsable de traitement est en tant que tel une violation du RGPD.
#6.3
J’ajouterai même que les bases de données contenant des données personnelles doivent de plus être déclarées à la CNIL.
D’où l’obligation de la prévenir… pour leur dire “eh…au fait…elle n’existe plus…”
#6.4
Mais c’est pas OVH qui fait le traitement ou alors je ne comprend pas assez de quoi on parle
OVH ne sait même pas que ce sont des données perso.
#7
Soit j’ai mal lu, soit j’ai mal comprit. Ovh (et ses clients) doivent informer de la perte de données par crémation ? Ils doivent envoyer un mail du genre “vous inquiétez par pour vos données, elles sont définitivement protégées par crémation” ?
#7.1
Oui, cCf l’article sur la violation des données personnelles sur le site de la CNIL.
#7.2
C’est exactement ça. il faut notifier que les données personelles ont été détuites dans une durée non contractuelle.
#7.3
c’est une durée max en générale il n’y a pas de durée min de conservation non ?
Et comment ils font si les données personnelles perdu contenaient justement l’adresse de contact du client ?
#7.4
Ben tu notifies la CNIL qu’il ya XXX cas ou les personnes n’ont pas été retrouvées. le but est de notifier au maximum
#8
Les incendies qui ont frappés : il y a eu un nouvel incendie le 19 mars.
#8.1
C’était pas juste de la fumé ?
#9
Y’a pas de fumée sans feu..
#10
ah, la sauvegarde dans le cloud, y a que ça de vrai! ^^
#11
J’applaudis la référence cinémtographique
elle vient de loin celle la mais elle est excellente 
#12
Toutes proportions gardées, ça veut dire qu’un site qui supprime le compte d’un client, alors que le client demandait juste une limitation du traitement des données, n’est pas en règle avec le RGPD ?
(#truestory, j’ai demandé que mes données ne soient pas partagées avec les partenaires marketing, on me répond “comme vous l’avez demandé on a supprimé votre compte”)
#12.1
Le prestataire n’avait peut être d’autre choix que de supprimer pour respecter ta demande
#12.2
Quel prestataire ? J’ai fait la demande à la société qui gère le site (c’est un site e-commerce). Je demande que mes données ne soient pas partagées à des fins de marketing, la seule solution d’y arriver est de supprimer mon compte ? Dans ce cas tous mes comptes devraient être fermés, car je fais systématiquement la même demande (vu que personne ne respecte mes choix, de ne pas recevoir la newletter, de ne pas partager mon e-mail avec les sites “faites-nous part de votre expérience”,…).
#12.3
Ca dépends quel site, et comment ils gèrent la chose, je sais que chez certains de mes clients, leur outil est tellement mal fait, que le seul moyen de ne pas spammer les client en faisant explicitement la demande est de supprimer le compte
Autant pour moi, je fais une mise à jour de mon logiciel interne (cerveau…)
#12.4
Je confirme, ce n’est pas du tout en règle avec le RGPD. Un droit à la limitation (article 18) et un droit d’effacement (article 17), ce n’est pas pareil. Vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle (en France, la CNIL).
#13
Euh non. Ca, c’était avant le 25 mai 2018. Et cela concernait plus largement tout “fichier” au sens large (qu’il soit numérique, papier, etc.)
Depuis le RGPD, il n’y a plus de déclaration à faire (sauf très rare cas, notamment dans le domaine de la santé)
#14
Maintenant ils ont les jambes moll.