Hadopi : TMG peut reprendre une activité normale

Mise à jour : lire aussi "Hadopi : la CNIL pourrait sanctionner les ayants droit pour TMG"

--

La CNIL, qui avait sévèrement critiqué la société TMG qui collecte les adresses IP envoyées pour le compte des ayants droit à l'Hadopi, a clôturé lundi la procédure ouverte à l'encontre de la société nantaise.

Après un contrôle effectué les 17 et 18 mai 2011, suite à la divulgation de données de TMG sur un serveur non sécurisé, la CNIL avait décidé le 16 juin dernier de mettre en demeure le prestataire. Elle avait notamment dénoncé "un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures".

Suite à cette mise en demeure, TMG devait se conformer à ses obligations de sécurisation au plus tard le 16 septembre 2011. Interrogé par Numerama à plusieurs reprises depuis cette date, pour savoir où en était la procédure, la CNIL nous avait dit être encore en cours d'investigation, ce qui n'est aujourd'hui plus le cas. La procédure est close, ce qui permet à la société nantaise de reprendre le cours normal de ses activités.

"Le 29 juillet et le 13 septembre 2011, la société TMG a détaillé les procédures mises en œuvre pour améliorer la sécurité de son système d’information. La CNIL a conclu que les modifications apportées, compte tenu du risque présenté par le traitement, étaient satisfaisantes au regard des exigences de la loi "Informatique et Libertés"", détaille la CNIL dans un communiqué.

Après la découverte des failles de sécurité, l'Hadopi avait décidé de suspendre son interconnexion avec TMG, c'est-à-dire de ne plus recevoir les adresses IP des internautes à avertir directement par Internet. Depuis, les adresses IP étaient envoyées régulièrement par DVD à la Haute Autorité, qui devait importer les données pour les traiter. L'audit commandé par les ayants droit à HSC a par ailleurs été bouclé, sans que les conclusions soient rendues publiques. En toute logique, l'Hadopi devrait réactiver rapidement l'interconnexion.

Visiblement, TMG n'a souffert d'aucune condamnation suite à la procédure de mise en demeure. Pourtant, il était apparu clairement que la société nantaise avait violé les engagements de sécurité pris pour elle par les ayants droit pour obtenir l'autorisation de collecter les adresses IP des internautes français. La fin de la mise en demeure, qui semble clore le dossier, laisse en suspens nombre de questions, notamment sur l'attitude de la CNIL face à la loi Hadopi et sa mise en oeuvre.

Par ailleurs, TMG continue d'avoir un comportement étrange pour un prestataire dont l'activité-même consiste à traquer ceux qui ne respectent pas la loi. Alors que le code de commerce l'impose chaque année, sanctions à l'appui, TMG n'a pas déposé ses comptes depuis 2008 (pour l'année 2007), ce qui conforte un étrange sentiment d'opacité voire d'impunité.