Actualités

Notification de violation de données suite à l’incendie du datacenter d’OVH

Suite à l’incendie d’OVH et la violation de données en cas d’indisponibilités ou de destruction de ces dernières, Mission RGPD vous rappelle les obligations en matière de notification. 

Une violation de données peut être constitué par plusieurs éléments, fuite de données, modification non désirée, une perte ou une destruction. C’est le cas lors de l’incendie du datacenter OVH. Les responsables de traitement ont subi une destruction de leurs données. Cette violation doit donc être documentée dans le registre des violations de données conformément à l’article 33 du RGPD.

Les cas où une notification n’est pas nécessaire auprès de la CNIL

 La CNIL rappelle les cas dans lesquels une notification auprès d’elle et des personnes concernées n’est pas nécessaire : 

  • si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service
  • si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes (blocage mineurs ou temporaires des services)
  • Les conséquences pour les personnes concernées n’engendrent pas de risque élevé

Les cas où une notification auprès de la CNIL est nécessaire après une violation de données

En revanche, une notification auprès de la CNIL est obligatoire dans les cas suivants : 

  • Si les données ont été définitivement perdues et qu’il est impossible de les restaurer 
  • Si les données sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.

De plus, si la violation est susceptible d’engendrer un risque élevé pour les personnes concernées, elles doivent également être informées par le responsable de traitement. 

Lors d’une violation de données, le responsable de traitement doit le notifier à la CNIL dans un délai de 72h. 

Si vous êtes sous-traitant et que la violation a eu lieu sur des données de vos clients, vous devez également alerter votre client et lui apporter conseil et assistance dans sa notification auprès de la CNIL et des personnes concernées. 

Si vous avez besoin de conseils pour le traitement des incidents visitez le site cybermalveillance.gouv.fr.

Author

Thibaut Vergne

Leave a comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *