Des conséquences RGPDiennes de l’incendie d’OVHcloudCrédits : 3D_generator/iStock

L’incendie qui a frappé les infrastructures d’OVHcloud à Strasbourg a aussi un versant RGPD. « La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD » rappelle la CNIL dans une note

Conséquences ? « Les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne ». De même, les sous-traitants « doivent informer leurs clients de l'incident » .

Dans certains cas, la notification à la CNIL, mais également l’alerte faite aux personnes concernées n’est pas nécessaire « si les conséquences restent limitées pour les personnes », par exemple lorsque les données ont pu être sauvées des flammes, « sans conséquence significative pour les personnes ».

Par contre, il faudra notifier la CNIL en cas de perte définitive ou si les données « sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes ».

De même « si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées par le responsable de traitement ». La CNIL cite un exemple : une perte définitive de données de santé d’un patient.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !