Incendie OVH – RGPD – Données de santé
A la suite de l’incendie ayant détruit une partie des datacenters d’OVH, la CNIL a rappelé, dans un récent communiqué, que « La destruction de données personnelles (temporaire ou définitive), y compris accidentelle, constitue une violation de données au sens du RGPD. »
Elle précise également dans quels cas de figure une notification à la CNIL est nécessaire :
- Si des données personnelles ont été définitivement perdues ;
ou
- Si elles sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.
De même, le responsable de traitement doit informer les personnes concernées par ladite destruction si celle-ci est susceptible « d’engendrer des risques élevés » pour ces personnes ; à cet égard la CNIL donne comme exemple « la perte définitive de données de santé d’un patient ».
Maître Sophie LALANDE est à votre disposition pour vous accompagner dans vos démarches en qualité de responsable de traitement.