Incendies à répétition chez OVH : les premières actions à mener par les entreprises impactées
Publié le :
16/04/2021
16
avril
avr.
04
2021
Le 19 mars dernier, un nouvel incendie s’est déclaré au sein du datacenter de Strasbourg du géant informatique français OVH. Le 10 mars 2021, une semaine auparavant, un violent
incendie avait déjà détruit une partie des serveurs de ce même datacenter affectant les sites et les données de « 12 à 16 000 clients ».
Dans ce contexte, quelles sont les conséquences de cet incendie pour les sociétés impactées ?
Quelles actions doivent-elles mettre en place de toute urgence ?
En tout premier lieu, elles doivent impérativement consulter les contrats qu’elles ont conclu soit directement avec OVH soit avec un sous-traitant prestataire d’hébergement pour le compte de leurs clients. Sachant que des options pouvaient être souscrites, celles qui directement ou par l’intermédiaire d’un prestataire avaient souscrit un hébergement avec sauvegarde auprès d’OVH sont logiquement censées être plus à l’abri que celles ayant écarté une telle option.
Il semblerait toutefois que certains clients ayant souscrit en direct ou par l'intermédiaire de
leur prestataire l’option de sauvegarde aient néanmoins perdu tout ou partie de leurs
données, les serveurs incluant l’offre de sauvegarde et ceux ne l’incluant pas se trouvant dans les mêmes salles ou à proximité.
Bien entendu, les clients ayant souscrit l’option de sauvegarde auprès d’OVH disposent d’une action en responsabilité à l’encontre de l’hébergeur. Il leur sera plus facile de démontrer les manquements d’OVH dans cette hypothèse.
Pour les clients ayant souscrit un hébergement simple (sans option de sauvegarde), la
question se pose de l’étendue des obligations d’OVH et du caractère essentiel de la prestation de sauvegarde attachée à l'hébergement.
Bien sûr, OVH peut tenter d’opposer à ses clients l’article 7.7 de ses Conditions Générales de Service qui exclue sa responsabilité en cas d’incendie, ce dernier constituant un cas de force majeure.
Pourtant si l’incendie a déjà été retenu comme cas de force majeure (évènement imprévisible et irrésistible) par la jurisprudence, cette qualification n’est pas automatique. Dans le cas d’OVH, les juges pourraient considérer qu’un incendie dans un datacenter n’est pas imprévisible compte tenu de la concentration en un même lieu de nombreux serveurs, baies informatiques, fils électriques et branchements.
Ils pourraient également s’interroger pour savoir si toutes les mesures de sécurité nécessaires pour éviter l’incendie ont été prises.
Il est donc loin d’être certain que la responsabilité d’OVH puisse être écartée sur le fondement de la force majeure.
Les clients ayant souscrit les prestations d’hébergement auprès d’un sous-traitant vont, quant à eux, pouvoir se retourner contre ce dernier et l’appeler en garantie (celui-ci se chargeant ensuite de porter l’action à l’encontre d’OVH).
En tout état de cause, il est conseillé aux entreprises impactées de commencer à calculer leur préjudice, de déclarer le sinistre à leur assurance et de faire le point sur leur contrat d’assurance notamment quant à l’indemnisation de la perte de données et quant aux moyens mis en œuvre pour leur reconstitution.
Enfin, les sociétés impactées par l’incendie OVH doivent penser aux actions à effectuer au regard du RGPD. Le 22 mars dernier la CNIL a publié sur son site une page intitulée « Incendie OVH : faut-il notifier à la CNIL ? » afin de rappeler les obligations des entreprises impactées en matière de notification de violation en cas d’indisponibilité ou de destruction de données personnelles.
Les responsables de traitement qui hébergeaient des données personnelles au sein du datacenter sont tenus de documenter la violation dans un registre tenu en interne.
Selon la CNIL, une notification à cette dernière est nécessaire :
- Si des données personnelles ont été définitivement perdues ;
- Si elles sont restées indisponibles suffisamment longtemps, de telle sorte que cela a engendré un risque pour les personnes.
contrats informatiques souscrits, de vérifier en cas de sous-traitance la chaîne des obligations (contrats miroirs) avant de s’engager à fournir à leurs clients des prestations informatiques qu’elles ne maitrisent pas, et de vérifier les modalités des contrats d’assurance dont elles disposent notamment en matière de cyber risques (incluant spécifiquement la perte et la reconstitution de données)
Historique
-
CNIL : 25 mai 2021 Fin de la dispense de trois ans pour l’AIPD
Publié le : 20/05/2021 20 mai mai 05 2021Droit des NTICActualités
La dispense de la CNIL arrive à expiration le 25 mai 2021. A compter de cette date, tous les traitements qui le nécessitent devront faire l’objet d’une analyse d'impact (AIPD). Ce 25 mai 2021 marque en effet la fin de la période de tolérance de trois ans accordée par la CNIL aux responsables d... -
Les mesures évoquées montrent bien que cet incendie ne peut en aucun cas être qualifié de force majeure puisqu’il était prévisible et mieux encore évitable. Désormais, #OVH va avoir du mal à se défausser de sa responsabilité.
Publié le : 12/05/2021 12 mai mai 05 2021Droit des NTIC
Cela fait une cinquantaine de jours qu’un incendie ravageur s’est déclaré dans le centre de données strasbourgeois d’OVH, détruisant entièrement un bâtiment et tous les serveurs qu’il contenait...Source : www.macg.co -
Incendies à répétition chez OVH : les premières actions à mener par les entreprises impactées
Publié le : 16/04/2021 16 avril avr. 04 2021Actualités
Le 19 mars dernier, un nouvel incendie s’est déclaré au sein du datacenter de Strasbourg du géant informatique français OVH. Le 10 mars 2021, une semaine auparavant, un violent incendie avait déjà détruit une partie des serveurs de ce même datacenter affectant les sites et les données de « 12 à...
-
Webinaire Site internet et conformité #RGPD : Focus sur les #Cookies - 25 Février 2021 - Inscrivez-vous vite !
Publié le : 24/02/2021 24 février févr. 02 2021Actualités
Les Cookies : Quelles sont les règles applicables ? Comment auditer mon site Web ? Quelles sont les modalités d'une politique cookies ? À propos de cet événement Site internet et conformité RGPD : Focus sur les Cookies Le site web est un élément de communication incontournable de l’entrepr...Source : www.eventbrite.fr -
Webinaire Site internet et conformité #RGPD - 4 Février 2021 - Inscrivez-vous vite !
Publié le : 29/01/2021 29 janvier janv. 01 2021Actualités
A l’occasion d’un webinaire de 45 minutes, le Cabinet CHABERT & Associés-avocats dédié au droit des nouvelles technologies (Me BIALEK en charge du département « données personnelles » ) et le Cabinet de conseil DPO CONSULTING spécialisé en protection des données personnelles (M. Sylvain CHEMTOB... -
Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED
Publié le : 15/12/2020 15 décembre déc. 12 2020Droit des NTIC
Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans...Source : www.cnil.fr