La CNIL a mis en ligne un article sur le sujet le 22 mars, suite à l’incendie du 10 mars de l’incendie du centre de datacenters OVH à Strasbourg. L’autorité y rappelle les obligations en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles.
« La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD« , indique-t-elle. Les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées « doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne. », poursuit l’autorité. « Enfin, les sous-traitants doivent informer leurs clients de l’incident afin que ces derniers puissent remplir leurs propres obligations« , dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux.
Une notification à la Cnil ne s’applique pas si un plan de reprise d’activité (PRA) ou un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service ou si les données ont été restaurées à partir de sauvegardes – mais attention, « sans conséquence significative pour les personnes« . Et cela ne s’applique pas si les données « sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes. »
