Centre d'aide OVHcloud

Bonjour, comment pouvons-nous vous aider ?

Cas d'usage

Dès lors que des données à caractère personnel sont concernées, le responsable du traitement doit documenter dans un registre interne la violation en question.

 

Mon serveur dédié est resté inaccessible pendant plusieurs jours, mais ne contient pas de données personnelles. Dois-je notifier ?

Non, l’obligation de notification d’une violation s’applique lorsqu’une violation de la sécurité entraîne, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données doit avoir lieu. Si vous ne traitez pas de données à caractère personnel, il n’y a donc pas d’obligation de notification.

 

Mon infrastructure est considérée comme « non-récupérable » suite à l’incendie, je n’avais pas réalisé de sauvegarde. Une notification auprès de l’autorité de contrôle est-elle nécessaire ?

Une notification auprès de l’autorité de contrôle est nécessaire si :

  • des données personnelles sont définitivement perdues (pas de sauvegarde) ; ou
  • elles sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes physiques concernées.

Toutefois, si cette perte ou indisponibilité n’est pas susceptible de présenter un risque pour les droits et libertés des personnes physiques concernées (exemple : données de faible importance comme des données techniques), alors la notification n’est pas requise.

Lorsqu’elle est nécessaire, la notification doit être réalisée par le responsable du traitement dans les meilleurs délais et si possible dans les 72 heures après avoir pris connaissance de la violation.

Si vous êtes sous-traitant, c’est-à-dire que vous traitez les données concernées sur instruction d’un organisme tiers, par exemple votre client, vous devez lui notifier l’incident dans les meilleurs délais, afin qu’il puisse procéder aux notifications requises, ou s’il n’est pas responsable du traitement, prévenir ce dernier.

Par ailleurs, si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent également être directement informées. Le niveau de risque s’évalue notamment en tenant compte du type de données concernées, de la population concernée (clients, patients, salariés, mineurs, personnes vulnérables) et des conséquences potentielles de la violation pour les personnes concernées (par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé).

 

Je suis responsable du traitement et mon infrastructure est considérée comme « non-récupérable » suite à l’incendie, mais je dispose de sauvegardes. Dois-je effectuer une notification auprès de l’autorité de contrôle ?

Si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service et que les données ont pu être ou vont pouvoir être restaurées à partir des sauvegardes, sans conséquence significative pour les personnes, la notification n’est pas nécessaire.

 

J’utilise les services Exchange d’OVH, et les mails qui m’étaient adressé ou que j'ai envoyé pendant l'incident sont parvenus tardivement à destination. Dois-je le notifier à mon autorité de protection des données ?

La mise en œuvre des PRA et PCA d’OVH a permis de restaurer les données à partir des sauvegardes. Les conséquences pour les personnes concernées ont donc été réduites (impossibilité temporaire d’accéder aux courriels). Aucune notification n’est a priori nécessaire en ce cas, sauf si un risque pour les personnes concernées est avéré.

 

Mes services courriels ont été inaccessibles plusieurs heures après l'incident, mais aucune perte n’a eu lieu. Dois-je notifier cette indisponibilité ?

Non, seules les « violation de données à caractère personnel » doivent être notifiées. L’indisponibilité temporaire n’est pas définie comme une violation par l’article 4(12) du RGPD.

 

 

Avez-vous trouvé cette aide utile ? ou
Génial ! Ravi d’avoir pu vous aider.
Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes.
Dites-nous pourquoi vous n'avez pas trouvé votre réponse. Vos demandes d'assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket".