Une violation de données selon la Cnil
La destruction d’un datacenter est susceptible de constituer une violation de données, avec le lot d’obligations légales que cela implique. La Cnil en a fait le rappel dans une publication datée du 21 mars. Dans son article, la Cnil ne vise pas spécifiquement OVH et ne fait que rappeler des points de droit et des obligations des responsables de traitement. Notamment que ceux- ci doivent documenter la violation dans un registre, tandis que les sous- traitants doivent informer leurs clients afin qu’ils s’acquittent de ladite obligation.
Sur les notifications à la Cnil et la communication aux personnes, la Cnil précise que celle- ci n’est pas nécessaire si un PRA est mis en oeuvre, ou si un PCA a permis la continuité des activités. De même, si les données ont été restaurées à partir de sauvegardes et qu’il n’y a pas de conséquence significative sur les personnes.
Mais, dans le cas de perte définitive des données personnelles, ou si celles- ci sont restées indisponibles sur une période significative, la Cnil doit être notifiée. « Le niveau de risque s’évalue notamment en tenant compte du type de données concernées et des conséquences potentielles de la violation – par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé. ” G. P.