A la suite de l’incendie du Data Center de OVH à Strasbourg, la Cnil rappelle que la destruction de données personnelles, temporaire ou définitive, y compris accidentelle, constitue une violation de données au sens du RGPD.
Notifier la Cnil si les risques sont élevés pour les personnes
Une notification à la Cnil est nécessaire si des données personnelles ont été définitivement perdues ou si elles sont restées indisponibles suffisamment longtemps de telle sorte que cela a engendré un risque pour les personnes. Si la violation est susceptible d’engendrer des risques élevés pour les personnes, celles-ci doivent être directement informées par le responsable de traitement. Le niveau de risque s’évalue en tenant compte du type de données concernées et des conséquences potentielles de la violation. Par exemple, la perte définitive de données de santé d’un patient est susceptible de présenter un risque élevé.
En revanche, la notification à la Cnil et la communication aux personnes n’est pas nécessaire si les conséquences restent limitées pour les personnes. Ainsi, il n’est pas nécessaire d’informer la Cnil si la mise en œuvre d’un plan de reprise d’activité (PRA) ou d’un plan de continuité d’activité (PCA) a permis d’assurer la continuité du service ; ou si les données ont été restaurées à partir des sauvegardes, sans conséquence significative pour les personnes. Par exemple, si les conséquences sont limitées à l’impossibilité de passer une commande pendant quelques heures.
Documenter les actions menées dans un registre interne
Par ailleurs, les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation, les faits, ses effets et les mesures prises pour y remédier, dans un registre tenu en interne. Les sous-traitants doivent informer leurs clients de l’incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux.
Les textes de référence :
> Article 34 du RGPD – Information des personnes suite à une violation de données personnelles
Top lectures en ce moment
-
Trois questions auxquelles les retailers doivent répondre face à l’IA agentique
-
Doctolib lance un assistant vocal de gestion des appels des patients
-
Stellantis adopte les agents IA, arcbouté sur une plateforme d’IA bâtie avec Dat...
L’actualité de la transformation
L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités
Saur, spécialiste de la distribution d’eau potable, fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie
Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA
GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…
Et vous, qu’en pensez-vous ?
Une idée, une réaction, une question ? Laissez-nous un mot ci-dessous.
Je réagis à cet article