Incendie chez OVH : Que faire si vous êtes concernés ?
Le géant français de l’hébergement et du Cloud a fait les frais d’un incendie qui pourrait bien lui coûter sa place de numéro 8 mondial.

C’est un coup dur pour OVH. Dans la nuit de mardi à mercredi, un incendie s’est déclaré sur son site strasbourgeois entraînant de lourdes conséquences pour l’entreprise et ses clients. L’un de ses quatre centres de traitement est parti en fumée, un second a été partiellement endommagé et quatre de ses douze salles de serveurs ont été détruites. Afin de limiter la propagation du feu, l’électricité a été coupée sur tout le site, ce qui a rendu indisponible de nombreux sites internet. Au total, pas moins de 3,6 millions de pages web en France et dans le monde, sont devenues inaccessibles.

Ce n’est pas la première fois qu’OVH rencontre des problèmes avec ce data center. En 2017, déjà, une panne d’alimentation avait impacté des milliers de sites français et avait contraint OVH à indemniser les victimes.

Cependant, cette fois, l’ampleur des dégâts est beaucoup plus importante puisque certaines données ne pourront jamais être récupérées….

Si vous êtes impactés et que vous ne savez pas par où commencer, voici quelques conseils pour vous aider !

 

1) Vérifier l’étendue du préjudice

Avant toute chose, il est important de constater l’étendue des dégâts. Faites un état des lieux, notamment concernant :

  • Les services touchés
  • Les prestataires et fournisseurs impactés
  • Les clients impactés

La nature et le nombres de données touchées

  • Les contrats avec les prestataires et les clients pour analyser la responsabilité de l’entreprise

 

2) Vérifier ses contrats

La récupération de vos données dépend en partie des options que vous avez souscrites dans vos différents contrats d’hébergement.

L’un des documents les plus importants est la convention de niveau de services, appelée également « Service Level Agreement » (SLA).  Cette convention permet de garantir aux clients de prestataires informatiques la sécurité du stockage et de la gestion de leurs données.

Deux options de récupération de données peuvent être y prévues :

  • Un procédé dit de back up selon lequel l’hébergeur s’engage à restaurer les données à la dernière sauvegarde effectuée ;
  • Un procédé de redondance (ou copie miroir) selon lequel la sauvegarde des données se fait simultanément sur un autre serveur.

Cette responsabilité incombe au client qui, s’il le souhaite, devra recourir à des options contractuelles spécifiques. C’est pourquoi il est important de vérifier les options auxquelles vous avez souscrites.

Cette absence d’obligation légale est néanmoins contestable. Comment ne peut-il pas y avoir d’obligation légale de sauvegarde des données alors mêmes que le but premier des hébergeurs est justement d’héberger ces dernières ? L’hébergeur n’est-il pas tenu de veiller à en informer le client ?

 

3) Notifier la violation des données à la CNIL

L’article 33 du règlement général sur la protection des données (RGPD) impose aux responsables de traitement de notifier à la CNIL toutes violations de données personnelles.

Pour rappel, deux conditions doivent être réunies pour caractériser une violation de données :

  • Un traitement de données personnelles doit avoir été mis en œuvre
  • Une violation de ces données est survenue (on entend par violation toute perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).

En l’espèce, cette violation est bien caractérisée puisqu’OVH conserve les données de ses clients (ce qui rentre dans la notion de « traitement ») et fait face aujourd’hui à un énorme problème d’indisponibilité de ces dernières.

La notification doit être transmise à la CNIL via son téléservice dans les meilleurs délais. Néanmoins, un aménagement en deux temps peut être mis en place dans le cas d’investigations complémentaires.

Le responsable de traitement doit, dans un premier temps, procéder à une notification initiale dans un délai de 72 heures suivants la constatation de la violation. Si la notification intervient plus de 72 heures après la constatation, il faudra y indiquer les motifs du retard.

Ensuite, une notification complémentaire pourra être réalisée pour ajouter de nouvelles informations.

 

3) Notifier le préjudice aux clients

Dans le cas où la violation présente un risque élevé pour les droits et libertés des personnes, l’article 34 du RGPD prévoit une notification directe de cette violation aux personnes concernées.

La notification aux personnes concernées doit a minima contenir et exposer, en des termes clairs et précis, les éléments suivants :

  • La nature de la violation ;
  • Les conséquences probables de la violation ;
  • Les coordonnées de la personne à contacter (DPO ou autre) ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.*

Cette notification devra être complété par des recommandations afin de prévenir et d’atténuer les conséquences de cette violation.

 

4) vérifier la police d’assurance

C’est le moment de ressortir les polices d’assurance de vos placards ! L’objectif ici est de vérifier que la perte de données soit bien prise en compte par votre assurance.

En cas de réponse positive, il suffit de contacter l’assurance afin d’évaluer les dommages et trouver une solution.

Dans le cas contraire, la perte sera à vos frais.

 

5) Engager la responsabilité d’OVH

L’article 7.7 des conditions générales d’OVH caractérise l’incendie comme force majeure et exclut dont toute responsabilité de l’hébergeur.

OVH s’engage également à indiquer par écrit les circonstances de l’évènement et l’évolution de la situation aux clients concernés.

Si la situation critique dure plus de 30 jours, le client est libre de mettre fin aux services d’OVH.

La seule possibilité pour engager la responsabilité d’OVH ici est-elle donc de prouver la faute grave d’OVH ?

Pas vraiment puisqu’ici, la force majeure ne couvre pas le manquement professionnel, mais uniquement l’indisponibilité des données pendant la durée de la force majeure. OVH est censé avoir mis en place un plan de reprise d’activité afin de pallier aux difficultés et de continuer à remplir ses obligations après la force majeure.

En effet, le manque de diligence professionnelles et l’état de l’art applicable font que tout service de cloud doit normalement assurer les conditions de base de sécurité, notamment celle de ne pas mettre les serveurs de secours au même endroit que les services généraux.

De plus, si OVH est uniquement en simple sous-traitant, vous pouvez engager la responsabilité de l’entreprise prestataire. Néanmoins, une fois encore, il est primordial de vérifier les conditions qui vous lient à ce responsable de traitement.

Dans tous les cas, le plus sûr est de se rapprocher de son conseil pour faire le point.

 

Conclusion 

Cette affaire vient nous rappeler certains points importants concernant le traitement de donner, dont :

  • La nécessité d’appliquer la règle de sauvegarde 3-2-1, à savoir au moins 3 copies de ses données, sur deux supports différents et une sauvegarde hors site.
  • Le Cloud, bien qu’étant une notion immatérielle, est matérialisé par des infrastructures physiques qui sont potentiellement sujet à des soucis (d’où l’importance de veiller à avoir des garde-fous et des contrats lisibles et équilibrés)
  • La nécessité pour les services informatiques de mettre en œuvre une résilience automatique, à savoir d’avoir les capacités de fonctionner en cas d’incident technique

 

Chez Garoé Avocats nous travaillons en synergie avec les membres de notre écosystème, partenaires, clients et entreprises passionnés qui ont besoin de notre assistance technique et de notre expertise dans de nombreux domaines.

Si vous souhaitez en discuter avec nous, n’hésitez pas à nous contacter via notre page contact ou par mail à contact@garoe-law.com

 

Notre actualité

Les NFT sont-ils dangereux ?

Les NFT sont-ils dangereux ?

Les NFT représentent-ils un danger pour la propriété intellectuelle ? C’est ce que laisse entendre le rapport remis au ministère de la Culture par le Conseil Supérieur de la propriété littéraire et artistique (CSPLA).

Legal Lunch Day – Comment donner du sens à son business?

Legal Lunch Day – Comment donner du sens à son business?

Notre célèbre Legal Lunch Day revient pour une troisième édition !   Notre associée Maître Delphine GALLIN vous donne rendez-vous le jeudi 19 mai entre 12h30 et 13h30 pour un webinar intitulé "Donner du sens à mon business ? A quoi ça sert ?".  Les crises...

Garoé est entreprise à mission

Garoé est entreprise à mission

Notre cabinet est entreprise à mission depuis le 1er janvier 2022 ! Désormais, nous nous engageons à inscrire l’activité juridique dans un écosystème responsable, respectueux des valeurs sociétales et environnementales.

Est-il légal de faire de la publicité pour un acte médical?

Est-il légal de faire de la publicité pour un acte médical?

A une époque où le paraître est roi, il est devenu rare de trouver une personne de notre entourage n’ayant jamais eu recours à de la chirurgie ou de la médecine esthétique. Lorsque la communication sur les interventions reste dans la sphère privée, les problématiques relevées restent simplement de l’ordre de la moralité. Cependant, lorsqu’elles deviennent publiques, plusieurs questions déontologiques et juridiques se posent.

Suspension du contrat de travail : véritable avantage pour l’employeur ?

Suspension du contrat de travail : véritable avantage pour l’employeur ?

L’Assemblée nationale a définitivement adopté dans la nuit de dimanche à lundi l’extension du passe sanitaire à de nouvelles activités professionnelles. L’une des mesures phares de cette loi concerne l’obligation pour les salariés des secteurs concernés de présenter...

Mon patron peut-il me licencier si je refuse de me faire vacciner ?

Mon patron peut-il me licencier si je refuse de me faire vacciner ?

Au mois de juin, au Houston Methodist Hospital, dans l’Etat du Texas, 178 professionnels de la santé qui refusent de se faire vacciner ont été suspendus par leur supérieur. Leur responsable laisse également planer au-dessus de leur tête la menace d’un licenciement. Cette actualité remet sur le tapis la question de savoir si un employeur peut contraindre et/ou sanctionner les salariés qui refuseraient de se faire vacciner.

Garoé vous donne aujourd’hui la réponse à cette question !

Comment optimiser votre relation avocat client ?

Comment optimiser votre relation avocat client ?

Chaque relation client/avocat est différente. Nous avons la chance de travailler avec des clients incroyables que nous admirons tant professionnellement qu’humainement. C’est une relation enrichissante qui nous permet d’apprendre mutuellement les uns et des autres et d’optimiser au maximum le travail que nous faisons ensemble.

L’ARPP lance son « Certificat de l’Influence Responsable »

L’ARPP lance son « Certificat de l’Influence Responsable »

La seconde édition de l’Observatoire de l’Influence Responsable vient d’être publiée. Dans le même temps, l’ARPP a décidé de lancer son certificat sur l’influence responsable attestant de la connaissance des bonnes pratiques par les différents acteurs concernés. Garoé vous donne quelques explications !

Contactez-nous

Contactez-nous

Nous sommes là pour vous aider.
Entrez les informations ci-dessous et un membre de notre équipe vous contactera rapidement.
(* obligatoire)

RGPD

Actualités

8 + 2 =