L’incendie qui a frappé les infrastructures d’OVHcloud à Strasbourg a aussi un versant RGPD. « La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD » rappelle la CNIL dans une note.
Conséquences ? « Les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne ». De même, les sous-traitants « doivent informer leurs clients de l'incident » .
Dans certains cas, la notification à la CNIL, mais également l’alerte faite aux personnes concernées n’est pas nécessaire « si les conséquences restent limitées pour les personnes », par exemple lorsque les données ont pu être sauvées des flammes, « sans conséquence significative pour les personnes ».
Par contre, il faudra notifier la CNIL en cas de perte définitive ou si les données « sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes ».
De même « si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement ». La CNIL cite un exemple : une perte définitive de données de santé d’un patient.
