Si l’incendie dans les locaux d’OVH a impacté votre activité et vos données, vous vous exposez sans doute à des sanctions de la part de la CNIL, si vous ne procédez pas aux notifications légales.
Qu’est-ce qu’une violation de données ?
Le RGPD en son article 4 définit la violation de données, en substance, comme toute « violation de la sécurité entrainant de manière accidentelle ou illicite, la destruction, la perte, l’altération, […] de données à caractère personnel […)».
Ainsi, les incendies des locaux d’OVH ont pu entraîner pour votre organisme la destruction ou la perte de certaines données, même si cette violation est accidentelle et n’est pas de votre propre fait. La violation de données doit être anticipée au sens de l’article 32 du RPGD, et il faut prévoir des mesures techniques et organisationnelles pour garantir un niveau de sécurité adapté aux risques.
De manière pratique, lorsque cet incendie a eu lieu, l’entreprise impactée a dû mettre en œuvre le Plan de Reprise d’Activité (PRA) et/ ou le Plan de Continuité d’Activité (PCA), pour assurer la continuité de l’activité.
Que prévoit la Loi Informatique et Libertés ?
Notification à la CNIL et aux personnes concernées.
L’article 33 du RGPD prévoit que le responsable de traitement qui fait face à une violation de données personnelles, doit le notifier à l’autorité compétente. Le sous-traitant qui fait face à une violation doit de son côté notifier à son client l’existence de l’incident, dans un bref délai.
Ces notifications ne sont pas systématiques, même en cas de destruction de données personnelles.
La CNIL informe qu’il existe deux hypothèses qui exonère l’entreprise d’une telle formalité :
- si l’entreprise a mis en œuvre un PRA ou un PCA qui a permis de continuer l’activité sans entrave, la notification n’est pas nécessaire. La notion « d’entrave » n’est pas clairement définie.
- si l’entreprise fait une restauration des données personnelles à partir de sauvegardes secondaires qui permettent un rétablissement « correct » ou « sans grandes conséquences » pour les personnes concernées. Précisons que la restauration doit avoir été effective, complète, et avoir bel et bien fonctionné.
De sorte que la notification à la CNIL n’est obligation que dans l’hypothèse où les données, à cause de l’incendie, ont été définitivement perdues, ou si elles sont restées indisponibles pendant une durée assez longue.
Enfin, si la violation entraîne un « risque élevé » pour les personnes concernées par les données, il faudra également notifier ces dernières.
Pour notifier à la CNIL, c’est par ici : https://notifications.cnil.fr/notifications/index
Une notification à la CNIL qui ouvre la voie à un contrôle de conformité…
En réalisant votre obligation de notification, il n’est pas impossible que la CNIL puisse être tentée de contrôler le niveau de conformité au RGPD de votre organisme, et ce de manière globale. Il est important dans ce cadre de s’assurer que toutes les obligations légales soient respectées pour ne pas s’exposer aux sanctions.
Quoi qu’il en soit : chaque violation de données doit être inscrite dans votre registre des violations, même si elle n’entraîne pas une notification CNIL !
Face à la complexité que peut entraîner la conformité en matière de données personnelles, le cabinet peut intervenir pour vous accompagner et vous donner tout conseil juridique en la matière.
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/incendie-ovh-faut-il-notifier-la-cnil