La CNIL a mis en ligne un article sur le sujet le 22 mars, suite à l’incendie du 10 mars de l’incendie du centre de datacenters OVH à Strasbourg. L’autorité y rappelle les obligations en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles.
“La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD“, indique-t-elle. Les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées “doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne.”, poursuit l’autorité. “Enfin, les sous-traitants doivent informer leurs clients de l’incident afin que ces derniers puissent remplir leurs propres obligations“, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux.
Une notification à la Cnil ne s’applique pas si un plan de reprise d’activité (PRA) ou un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service ou si les données ont été restaurées à partir de sauvegardes – mais attention, “sans conséquence significative pour les personnes“. Et cela ne s’applique pas si les données “sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.”
