C’est un coup dur pour OVH. Dans la nuit de mardi à mercredi, un incendie s’est déclaré sur son site strasbourgeois entraînant de lourdes conséquences pour l’entreprise et ses clients. L’un de ses quatre centres de traitement est parti en fumée, un second a été partiellement endommagé et quatre de ses douze salles de serveurs ont été détruites. Afin de limiter la propagation du feu, l’électricité a été coupée sur tout le site, ce qui a rendu indisponible de nombreux sites internet. Au total, pas moins de 3,6 millions de pages web en France et dans le monde, sont devenues inaccessibles.
Ce n’est pas la première fois qu’OVH rencontre des problèmes avec ce data center. En 2017, déjà, une panne d’alimentation avait impacté des milliers de sites français et avait contraint OVH à indemniser les victimes.
Cependant, cette fois, l’ampleur des dégâts est beaucoup plus importante puisque certaines données ne pourront jamais être récupérées….
Si vous êtes impactés et que vous ne savez pas par où commencer, voici quelques conseils pour vous aider !
1) Vérifier l’étendue du préjudice
Avant toute chose, il est important de constater l’étendue des dégâts. Faites un état des lieux, notamment concernant :
- Les services touchés
- Les prestataires et fournisseurs impactés
- Les clients impactés
La nature et le nombres de données touchées
- Les contrats avec les prestataires et les clients pour analyser la responsabilité de l’entreprise
2) Vérifier ses contrats
La récupération de vos données dépend en partie des options que vous avez souscrites dans vos différents contrats d’hébergement.
L’un des documents les plus importants est la convention de niveau de services, appelée également « Service Level Agreement » (SLA). Cette convention permet de garantir aux clients de prestataires informatiques la sécurité du stockage et de la gestion de leurs données.
Deux options de récupération de données peuvent être y prévues :
- Un procédé dit de back up selon lequel l’hébergeur s’engage à restaurer les données à la dernière sauvegarde effectuée ;
- Un procédé de redondance (ou copie miroir) selon lequel la sauvegarde des données se fait simultanément sur un autre serveur.
Cette responsabilité incombe au client qui, s’il le souhaite, devra recourir à des options contractuelles spécifiques. C’est pourquoi il est important de vérifier les options auxquelles vous avez souscrites.
Cette absence d’obligation légale est néanmoins contestable. Comment ne peut-il pas y avoir d’obligation légale de sauvegarde des données alors mêmes que le but premier des hébergeurs est justement d’héberger ces dernières ? L’hébergeur n’est-il pas tenu de veiller à en informer le client ?
3) Notifier la violation des données à la CNIL
L’article 33 du règlement général sur la protection des données (RGPD) impose aux responsables de traitement de notifier à la CNIL toutes violations de données personnelles.
Pour rappel, deux conditions doivent être réunies pour caractériser une violation de données :
- Un traitement de données personnelles doit avoir été mis en œuvre
- Une violation de ces données est survenue (on entend par violation toute perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).
En l’espèce, cette violation est bien caractérisée puisqu’OVH conserve les données de ses clients (ce qui rentre dans la notion de « traitement ») et fait face aujourd’hui à un énorme problème d’indisponibilité de ces dernières.
La notification doit être transmise à la CNIL via son téléservice dans les meilleurs délais. Néanmoins, un aménagement en deux temps peut être mis en place dans le cas d’investigations complémentaires.
Le responsable de traitement doit, dans un premier temps, procéder à une notification initiale dans un délai de 72 heures suivants la constatation de la violation. Si la notification intervient plus de 72 heures après la constatation, il faudra y indiquer les motifs du retard.
Ensuite, une notification complémentaire pourra être réalisée pour ajouter de nouvelles informations.
3) Notifier le préjudice aux clients
Dans le cas où la violation présente un risque élevé pour les droits et libertés des personnes, l’article 34 du RGPD prévoit une notification directe de cette violation aux personnes concernées.
La notification aux personnes concernées doit a minima contenir et exposer, en des termes clairs et précis, les éléments suivants :
- La nature de la violation ;
- Les conséquences probables de la violation ;
- Les coordonnées de la personne à contacter (DPO ou autre) ;
- les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.*
Cette notification devra être complété par des recommandations afin de prévenir et d’atténuer les conséquences de cette violation.
4) vérifier la police d’assurance
C’est le moment de ressortir les polices d’assurance de vos placards ! L’objectif ici est de vérifier que la perte de données soit bien prise en compte par votre assurance.
En cas de réponse positive, il suffit de contacter l’assurance afin d’évaluer les dommages et trouver une solution.
Dans le cas contraire, la perte sera à vos frais.
5) Engager la responsabilité d’OVH
L’article 7.7 des conditions générales d’OVH caractérise l’incendie comme force majeure et exclut dont toute responsabilité de l’hébergeur.
OVH s’engage également à indiquer par écrit les circonstances de l’évènement et l’évolution de la situation aux clients concernés.
Si la situation critique dure plus de 30 jours, le client est libre de mettre fin aux services d’OVH.
La seule possibilité pour engager la responsabilité d’OVH ici est-elle donc de prouver la faute grave d’OVH ?
Pas vraiment puisqu’ici, la force majeure ne couvre pas le manquement professionnel, mais uniquement l’indisponibilité des données pendant la durée de la force majeure. OVH est censé avoir mis en place un plan de reprise d’activité afin de pallier aux difficultés et de continuer à remplir ses obligations après la force majeure.
En effet, le manque de diligence professionnelles et l’état de l’art applicable font que tout service de cloud doit normalement assurer les conditions de base de sécurité, notamment celle de ne pas mettre les serveurs de secours au même endroit que les services généraux.
De plus, si OVH est uniquement en simple sous-traitant, vous pouvez engager la responsabilité de l’entreprise prestataire. Néanmoins, une fois encore, il est primordial de vérifier les conditions qui vous lient à ce responsable de traitement.
Dans tous les cas, le plus sûr est de se rapprocher de son conseil pour faire le point.
Conclusion
Cette affaire vient nous rappeler certains points importants concernant le traitement de donner, dont :
- La nécessité d’appliquer la règle de sauvegarde 3-2-1, à savoir au moins 3 copies de ses données, sur deux supports différents et une sauvegarde hors site.
- Le Cloud, bien qu’étant une notion immatérielle, est matérialisé par des infrastructures physiques qui sont potentiellement sujet à des soucis (d’où l’importance de veiller à avoir des garde-fous et des contrats lisibles et équilibrés)
- La nécessité pour les services informatiques de mettre en œuvre une résilience automatique, à savoir d’avoir les capacités de fonctionner en cas d’incident technique
Chez Garoé Avocats nous travaillons en synergie avec les membres de notre écosystème, partenaires, clients et entreprises passionnés qui ont besoin de notre assistance technique et de notre expertise dans de nombreux domaines.
Si vous souhaitez en discuter avec nous, n’hésitez pas à nous contacter via notre page contact ou par mail à contact@garoe-law.com