- Contexte
Le récent incendie subi par l’hébergeur OVH nous amène à rappeler les contours de l’obligation de sécurité des datacenters et des prestataires d’hébergement du point de vue de la sécurité des données.
Les prestataires mettent en place des mesures techniques de sécurité dès la construction du bâtiment jusqu’à son utilisation. Sont ainsi concernés : les générateurs dédiés au backup, la ventilation, le refroidissement, la détection et la gestion des incendies.
Ils s’engagent dans ce cadre à garantir la sécurité, la confidentialité, l’intégrité et la disponibilité des données de leurs clients.
- Contenu de l’obligation
S’agissant des incendies, même s’il n’existe pas d’obligation légale spécifique concernant la protection des données et que les normes existantes en la matière n’ont pas de valeur obligatoire, l’état de l’art lui impose a minima de disposer d’un système de détection aussi précoce que possible, à même de contenir l’incendie dans un espace restreint et résistant au feu. Il doit également doter son datacenter d’un système d’extinction à gaz, par brouillard ou à eau conforme aux normes applicables (telles que la norme NF pour un système à gaz ou la norme NF pour un système par brouillard d’eau).
Il est possible et recommandé de rendre ces normes obligatoires aux termes du contrat conclu avec le prestataire d’hébergement et de prévoir des engagements de sauvegarde, de redondance et de reconstitution de données.
À défaut de clause spécifique, l’article 32 du RGPD prévoit dans tous les cas que « le responsable du traitement et le sous-traitant mettent en œuvre [pour assurer la protection des données] les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Cet article suggère qu’en terme de sécurité, les prestataires d’hébergement ne sont pas tenus à une obligation de résultat mais à une obligation de moyens dite « renforcée ». En cas d’incident de sécurité, il appartient aux prestataires d’hébergement de démontrer que les mesures de sécurité mises en place sont conformes à l’état de l’art ainsi qu’à des normes particulières.
Dans l’affaire de l’incendie du datacenter d’OVH, il est possible qu’une expertise judiciaire soit menée pour déterminer si de telles mesures ont été mises en place et si elles étaient adaptées.
Par Maud Lambert et Antoinette Chadenet
Le 12 mars 2021