Si la CNIL a validé la mise en conformité de TMG à sa mise en demeure, elle prévient qu'elle poursuit toujours des investigations à l'encontre des ayants droit qui ont fait appel aux services de TMG pour collecter les adresses IP destinées à l'Hadopi. Ils n'ont pas respecté un certain nombre d'engagements formulés pour obtenir l'autorisation de la CNIL de procéder à ces collectes.

Nous le révélions ce matin. La CNIL a clôturé la procédure de mise en demeure de la société TMG, chargée par les ayants droit de collecter les adresses IP envoyées à l’Hadopi. A cette occasion, nous faisions remarquer que « visiblement, TMG n’a souffert d’aucune condamnation suite à la procédure de mise en demeure », alors qu’ « il était apparu clairement que la société nantaise avait violé les engagements de sécurité pris pour elle par les ayants droit pour obtenir l’autorisation de collecter les adresses IP des internautes français ».

En fait, la procédure n’est pas tout à fait close. Dans un communiqué publié ce lundi matin, la CNIL précise qu’elle « poursuit actuellement l’instruction de ces procédures ouvertes à l’encontre des SPRD en leur qualité de responsables des traitements sous-traités par TMG dans le cadre du dispositif de « réponse graduée »« . En clair, les quatre sociétés d’ayant droits qui ont fait appel aux services de TMG pour la collecte des adresses IP (SCPP, SPPF, ALPA et SACEM/SDRM) sont juridiquement responsables des infractions découvertes par la CNIL, et ce sont elles qui devront peut-être payer les pots cassés.

En mai 2011, nous avions en effet rappelé les engagements de sécurité pris par les sociétés d’ayants droit dans leur demande d’autorisation de collecte des adresses IP pour la mise en œuvre de la riposte graduée. Elles figurent en pages 7 et 8 du rapport d’autorisation du commissaire de la CNIL :

Le dispositif prévoit une sécurisation de l’accès physique aux serveurs par l’utilisation de badges, vidéosurveillance, alarmes ainsi que la journalisation des accès. Les serveurs et bases de données sont de plus protégés par des pare-feux et un système de détection des intrusions. Pour les agents assermentés, les accès à l’application et aux données personnelles sont effectués par une interface sécurisée (https) et avec un dispositif d’authentification forte. Les agents doivent s’authentifier une deuxième fois pour signer les constats. Par ailleurs, les accès de ces agents sont journalisés : date/heure de connexion et de déconnexion, identifiant du poste de travail et de l’utilisateur.

Les accès logiques du prestataire aux serveurs et bases de données sont également journalisés et des profils d’habilitation sont définis. La maintenance des équipements est effectuée par le prestataire et non pas l’hébergeur des serveurs. Les données personnelles (adresses IP) sont chiffrées et ne sont pas accessibles par le personnel de maintenance du prestataire. Les clés de chiffrement sont partagées en deux parties et détenues par deux personnes différentes [… ]

Enfin, des actions de sensibilisation aux problématiques de sécurité sont menées auprès de
TMG et des agents assermentés.

Votre rapporteur considère que les mesures de sécurité prises par les SPRD et le prestataire TMG sont satisfaisantes au regard de la loi Informatique et Libertés.

Or il semble qu’en contrôlant TMG, la CNIL a découvert qu’elle avait été flouée. « La CNIL a notamment constaté l’insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit ‘de réponse graduée’. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG« , avait-elle expliqué lors de la mise en demeure de TMG.

Par ailleurs, les ayants droit avaient pris l’engagement de procéder à des audits. Dans un rapport du 10 juin 2010, sur lequel elle s’était fondée pour donner son feu vert malgré des conclusions accablantes (ce dont elle ne s’est jamais justifiée), la CNIL expliquait qu’il serait « préférable que le système de collecte soit « homologué » par un tiers de confiance, pour renforcer la sécurité juridique des constats« , ce qui n’avait jamais été fait jusqu’à cet été. Par ailleurs, les ayants droit avaient pris l’engagement de procéder à des « audits trimestriels« . Or il n’y a eu qu’un seul audit avant la mise en demeure de TMG, réalisé lors de la phase de tests de la riposte graduée, avant septembre 2010. Les contrôles trimestriels promis n’ont pas eu lieu.

Partager sur les réseaux sociaux

Articles liés