Qu’est-ce qu’une violation de données à caractère personnel ?

L’article 4(12) du RGPD définit la « violation de données à caractère personnel » comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »

Dès lors, si des infrastructures du centre de données de Strasbourg sur lesquelles vous hébergiez des données à caractère personnel ont été touchées par l’incendie et ne sont pas récupérables, et que vous ne disposez pas par ailleurs desdites données (sur un autre environnement de sauvegarde ou autre), la destruction ou perte de données est constitutive d’une perte de disponibilité ou d’intégrité des données et relève du régime des violations de données à caractère personnel.

À noter que si vous avez subi une indisponibilité temporaire de services sans perte de données à caractère personnel, soit que les services aient pu être rétablis (comme par exemple les services de courriels OVHcloud), soit que vous ayez pu redémarrer vos services sur d’autres infrastructures et rétablir l’accessibilité de vos données, sans que cela n’impacte significativement les personnes concernées, ceci relève d’une violation de données au regard du RGPD qui doit être consignée dans un registre tenu par le responsable de traitement, mais elle ne constitue pas forcément et par principe une violation de données susceptible d’une notification à la CNIL, ou à l’autorité de protection des données compétente. La réalisation d’une telle notification relève de critères d’appréciation spécifiques décrits au point 3 ci-après.