De Charybde en Scylla pour OVH. A peine remis d’un incendie qui a ravagé une partie du datacenter de Strasbourg et impacté plusieurs milliers de sites, l’hébergeur a fait face à un nouvel incident au soir du vendredi 19 mars. En effet, de la fumée a été détectée dans un local stockant des batteries du conteneur SBG 1. Les pompiers sont rapidement intervenus et ont circonscrit le problème. Dans un communiqué, le groupe a expliqué qu’« aucun blessé n'est à déplorer parmi les équipes d'OVHcloud ou de ses partenaires. Deux personnes de la sécurité ayant été incommodées par les fumées ont été examinées par des professionnels de santé ». Il souligne que cette salle n'était pas utilisée et servait pour le stockage de batterie.

Si l’origine de la fumée n’est pas encore déterminée, OVH a décidé rapidement de suspendre les opérations de relance sur ce site et de migrer des serveurs sur d’autres sites comme Graveline, Roubaix et Strasbourg 4. En ce début de semaine, l’hébergeur a repris son plan de relance. On note que la demande pour des solutions de type bare metal est forte au point que les délais de livraison sont allongés, prévient OVHcloud. Dans les prochaines semaines, la société roubaisienne prévoit de livrer près de 15 000 serveurs à ses clients.

La Cnil rappelle les obligations du RGPD

Nonobstant ce nouvel incident, la Cnil s’est invitée dans l’affaire OVHcloud. Elle vient de publier une page dédiée sur son site pour rappeler les obligations du RGPD en matière de notification de violation en cas d’indisponibilité ou de destruction des données personnelles. La question étant : faut-il notifier à la Cnil suite à l’incendie ? La commission répond par l’affirmative en indiquant deux points. Le premier est que « les responsables de traitement qui hébergeaient des données personnelles au sein des infrastructures touchées doivent documenter la violation (les faits, ses effets et les mesures prises pour y remédier) dans un registre tenu en interne ». L’autre point est relatif aux sous-traitants qui « doivent informer leurs clients de l'incident afin que ces derniers puissent remplir leurs propres obligations, dont celle de documentation dans le registre des violations tenu en interne par chacun d’entre eux ».

La Cnil exempte de notifications ceux qui ont activé un PRA ou ont réalisé la restauration des données via des sauvegardes. Dans l’incendie du datacenter d’OVH à Strasbourg, plusieurs sites n’avaient justement pas souscrit aux options de sauvegarde ou de PRA. Quelle sera alors leur part de responsabilité et celle d’OVHcloud ? Ce dernier avait-il tout mis en œuvre pour garantir la sécurité de son site ? Il est probable que dans un proche avenir un contentieux soit ouvert pour répondre à ces questions et faire jurisprudence.