Alors que la société OVHcloud préparait son introduction en Bourse sur le marché financier parisien [1], l’un de ses data centers a été entièrement ravagé par un incendie dans la nuit du 9 mars et quatre des huit salles d’un deuxième datacenter ont été endommagées, touchant ainsi l’activité de 3,6 millions de site internet [2].
Au-delà des dégâts causés par l’incendie sur les data centers, c’est l’activité du cloud français qui est impactée. En effet, par précaution, la société a coupé l’électricité sur le site, empêchant ainsi l’activité des deux autres datacenters du site, lesquels devraient être redémarrés selon le PDG de la société progressivement les 15 et 19 mars prochains.
Cette destruction est l’occasion de rappeler aux responsables de traitement et aux sous-traitants les impacts d’un tel incendie en matière de protection des données et notamment en cas de violation des données sur la relation avec les sous-traitants, tels que les hébergeurs, et sur les obligations en matière de sécurité.
Pour mémoire, l’article 4. 12) du RGPD définit « une violation de données à caractère personnel comme une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
S’agissant de l’incident d’OVHcloud, ce dernier pourrait – dans la mesure où des données à caractère personnel sont concernées – revêtir la qualification de violation de données. En effet, sauf à ce que les clients aient souscrit à des prestations de sauvegarde sur le même site ou un site différent, ou aient effectué de telles opérations en interne ou par le biais d’autres prestataires, l’incendie a engendré une perte de données pour les clients, notion explicitement visée par l’article précité.
Lorsqu’une violation de données à caractère personnel est constatée, il appartient au responsable de traitement de notifier la violation en question à l’autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.
Dans le cas présent, OVHcloud agit, bien généralement, en qualité de sous-traitant de ses clients, lequel est lui-même soumis à une obligation de notification aux responsables de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance [3]. Dans le contexte – très médiatisé – de l’incendie chez OVHcloud, l’on peut se demander quand il sera considéré que les responsables de traitement ont eu connaissance de la violation de données : dès la médiatisation du dommage, lors de la confirmation explicite par OVH cloud à ces derniers de ce que leurs données ont été endommagées ? Il ne peut être exclu que cet incident apporte quelques éclairages sur les obligations de notification de chacun, notamment dans un contexte d’hypermédiatisation de la perte des données.
L’on notera par ailleurs, que le défaut de notification d’une violation de données à caractère personnel, en sus d’être susceptible de faire l’objet d’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial total de l’exercice précédent, est également constitutif d’une infraction pénale pouvant donner lieu à 300 000 euros d’amende et cinq ans d’emprisonnement [4].
Aussi, l’interdépendance du responsable de traitement et du sous-traitant est l’occasion de rappeler qu’il appartient aux responsables de traitement – dans le cas présent, les clients d’OVH – de faire appel à des sous-traitants – dans le cas présent, OVH – présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement.
Cet incident n’est ainsi pas sans rappeler l’importance de la négociation des contrats entre responsables de traitements et sous-traitants. En effet, en vertu de l’article 28.3 du RGPD, le traitement par un sous-traitant est régi notamment par un contrat, lequel doit reprendre les clauses obligatoires prévues par l’article précité, en ce compris notamment le fait que le sous-traitant doive aider le responsable de traitement à remplir ses obligations en matière de violation des données et que le sous-traitant prenne les mesures requises par l’article 32.
A ce titre, l’article 32 du RGPD, relatif à la sécurité du traitement prévoit, que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins notamment :
« b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans délais appropriés en cas d’incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »
Aussi, la négociation des contrats de sous-traitance est primordiale pour les responsables de traitement, lesquels doivent non seulement s’assurer que le contrat réponde aux exigences formelles de l’article 28.3 mais également que celui-ci se révèle être un véritable outil pour la mise en œuvre pratiques des traitements effectués en leur nom et pour leur compte par les sous-traitants.
A cet égard, l’on relève notamment l’importance capitale d’analyser, et le cas échéant de négocier, les éventuelles clauses de responsabilité présentes au sein des contrats de sous-traitance. En effet, il est en pratique très fréquent que les contrats de sous-traitance prévoient des plafonds de limitation de responsabilité, lesquels ne sont notamment pas applicables en présence d’une faute lourde.
Pour une illustration, l’on peut mentionner un arrêt du Tribunal de commerce de Nanterre, du 23 avril 2019 Haulotte Group / Capgemini France [5]. La société Haulotte, fabricant de nacelles élévatrices, faisait appel à la société Euriware, reprise depuis par Capgemini, pour des prestations d’archivage et sauvegarde informatique. A la suite d’une panne informatique, plusieurs fichiers appartenant au client ont été endommagés, entrainant une perte significative d’informations techniques.
Afin que soit écarté le plafond de responsabilité fixé à une année de rémunération, soit 537.896,04 euros – alors que la société Haulotte sollicitait le paiement de la somme de 7 237 500 euros – la société Haulotte a soutenu que la société Capgemini avait commis une faute grave. Le tribunal rejeta toutefois l’argument au motif que le comportement de la société Capgemini montre une volonté de mettre un terme au dysfonctionnement constaté et qu’ainsi, son comportement n’est pas constitutif d’une faute grave et intense.
Cette décision est la démonstration de l’intérêt, lorsque cela est rendu possible en pratique de négocier les éventuels plafonds de responsabilité en amont, dans la mesure où, bien que des outils juridiques permettent d’en contester l’applicabilité, ces arguments demeurent tributaires de l’aléa judiciaire.
Cet incendie est de surcroit le rappel de ce que :
D’une part, si bon nombre de structures s’évertuent, conformément à leurs obligations, à mettre en place des politiques de sécurité accrues pour réduire le risque d’une cyberattaque, la violation de données recouvre aussi la réalité très pragmatique et patente de l’incendie et plus globalement, tous les risques naturels et/ou industriels qui pourraient engendrer la destruction des données. Aussi, une des leçons de cet incendie est l'informatique reste soumise aux lois du réel, que le « cloud » et l’informatique résiliente ont un coût incompressible.
D’autre part, si certains responsables de traitement font le choix d’externaliser leurs traitements par des solutions de cloud, ils demeurent toutefois responsables et soumis aux obligations du RGPD. Aussi, le recours à un prestataire tiers ne leur permet pas de s’exonérer d’auditer leurs sous-traitants et de contrôler les modalités de traitement de leurs données par des structures telles qu’OVH, bien au contraire. En vertu du principe d’accountability issu du RGPD, et malgré une responsabilisation de l’ensemble des acteurs de la chaîne contractuelle, il est ainsi primordial pour le responsable de traitement de garder une maîtrise des traitements effectués par ses sous-traitants.
Dès lors, si cet évènement devait donner lieu à des sanctions et/ou des engagements de responsabilité, il conviendra ainsi que soient déterminés les partages de responsabilité de chaque acteur en vertu des fautes et/ou violations commises par chacun d’entre eux. L’on peut à cet égard mentionner les délibérations « Darty » et Hertz » de la CNIL, à l’occasion desquelles ces deux sociétés ont été sanctionnées par l’autorité de contrôle notamment en raison de leur négligence dans le suivi des actions de leurs sous-traitants [6]. De l’intérêt de ne pas confondre externalisation d’une solution et déresponsabilisation.
Nos équipes se tiennent à votre disposition afin de vous accompagner dans la revue, la gestion et la négociation de vos contrats avec les sous-traitants ainsi que plus globalement, la mise en œuvre de l’ensemble de la documentation contractuelle utile à la mise en place d’une stratégie de compliance dynamique.
Nos pensées vont naturellement aux équipes d'OVH, à leurs clients, à tous ceux impactés par ce sinistre du datacenter et nos plus vifs remerciements aux pompiers, secouristes.
Notes :
[3] Article 33 du RGPD.
[4] Article 226-17-1 du Code pénal.
[5] Tribunal de commerce de Nanterre, 5ème ch., jugement du 23 avril 2019.
[6] Délibération SAN-2017-010 du 18 juillet 2017 et Délibération SAN-2018-001 du 8 janvier 2018.