OVHcloud Estrasburgo: Tras un nuevo incidente, el Cnil recuerda el RGPD

De Caribdis a Escila para OVH. Apenas recuperado de un incendio que devastó parte del centro de datos de Estrasburgo y afectó a varios miles de sitios, el anfitrión enfrentó un nuevo incidente en la noche del viernes 19 de marzo. De hecho, se detectó humo en una habitación que almacenaba baterías del contenedor SBG 1. Los bomberos intervinieron rápidamente y contuvieron el problema. En un comunicado, el grupo explicó que “no se deben deplorar heridos entre los equipos de OVHcloud o sus socios. Dos personas de seguridad que fueron molestadas por los humos fueron examinadas por profesionales de la salud ”. Él enfatiza que esta habitación no se usó y se usó para el almacenamiento de baterías.

Si aún no se ha determinado el origen del humo, OVH ha decidido rápidamente suspender las operaciones de relanzamiento en este sitio y migrar los servidores a otros sitios como Graveline, Roubaix y Strasbourg 4. A principios de semana, el anfitrión se ha reanudado su plan de recuperación. Observamos que la demanda de soluciones bare metal es tan fuerte que los plazos de entrega se alargan, advierte OVHcloud. En las próximas semanas, la empresa Roubaix planea entregar cerca de 15.000 servidores a sus clientes.

La CNIL recuerda las obligaciones del GDPR

A pesar de este nuevo incidente, la CNIL se invitó a participar en el asunto OVHcloud. Acaba de publicar una página dedicada en su sitio para recordar las obligaciones del GDPR en términos de notificación de violación en caso de indisponibilidad o destrucción de datos personales. La pregunta es: ¿debe notificarse a la CNIL después del incendio? El comité respondió afirmativamente, indicando dos puntos. La primera es que “los responsables del tratamiento que albergaron datos personales dentro de las infraestructuras afectadas deben documentar la infracción (los hechos, sus efectos y las medidas adoptadas para subsanarla) en un registro que se lleve internamente”. El otro punto se refiere a los subcontratistas que "deben informar a sus clientes de la incidencia para que puedan cumplir con sus propias obligaciones, incluida la de documentación en el registro de infracciones que lleva internamente cada uno de ellos".

La CNIL exime de notificaciones a quienes hayan activado un PRA o hayan restaurado datos mediante copias de seguridad. En el incendio del centro de datos de OVH en Estrasburgo, varios sitios no se habían suscrito precisamente a las opciones de copia de seguridad o PRA. ¿Cuál será su parte de responsabilidad y la de OVHcloud? ¿Este último hizo todo lo posible para garantizar la seguridad de su sitio? Es probable que en un futuro próximo se abra un litigio para responder a estas preguntas y establecer la jurisprudencia.