Hadopi : la CNIL pourrait sanctionner les ayants droit pour TMG

Guillaume Champeau - publié le Lundi 24 Octobre 2011 à 10h39 - posté dans Peer-to-Peer

Si la CNIL a validé la mise en conformité de TMG à sa mise en demeure, elle prévient qu'elle poursuit toujours des investigations à l'encontre des ayants droit qui ont fait appel aux services de TMG pour collecter les adresses IP destinées à l'Hadopi. Ils n'ont pas respecté un certain nombre d'engagements formulés pour obtenir l'autorisation de la CNIL de procéder à ces collectes.

Nous le révélions ce matin. La CNIL a clôturé la procédure de mise en demeure de la société TMG, chargée par les ayants droit de collecter les adresses IP envoyées à l'Hadopi. A cette occasion, nous faisions remarquer que "visiblement, TMG n'a souffert d'aucune condamnation suite à la procédure de mise en demeure", alors qu' "il était apparu clairement que la société nantaise avait violé les engagements de sécurité pris pour elle par les ayants droit pour obtenir l'autorisation de collecter les adresses IP des internautes français".

En fait, la procédure n'est pas tout à fait close. Dans un communiqué publié ce lundi matin, la CNIL précise qu'elle "poursuit actuellement l’instruction de ces procédures ouvertes à l’encontre des SPRD en leur qualité de responsables des traitements sous-traités par TMG dans le cadre du dispositif de "réponse graduée"". En clair, les quatre sociétés d'ayant droits qui ont fait appel aux services de TMG pour la collecte des adresses IP (SCPP, SPPF, ALPA et SACEM/SDRM) sont juridiquement responsables des infractions découvertes par la CNIL, et ce sont elles qui devront peut-être payer les pots cassés.

En mai 2011, nous avions en effet rappelé les engagements de sécurité pris par les sociétés d'ayants droit dans leur demande d'autorisation de collecte des adresses IP pour la mise en oeuvre de la riposte graduée. Elles figurent en pages 7 et 8 du rapport d'autorisation du commissaire de la CNIL :

Le dispositif prévoit une sécurisation de l'accès physique aux serveurs par l'utilisation de badges, vidéosurveillance, alarmes ainsi que la journalisation des accès. Les serveurs et bases de données sont de plus protégés par des pare-feux et un système de détection des intrusions. Pour les agents assermentés, les accès à l'application et aux données personnelles sont effectués par une interface sécurisée (https) et avec un dispositif d'authentification forte. Les agents doivent s'authentifier une deuxième fois pour signer les constats. Par ailleurs, les accès de ces agents sont journalisés : date/heure de connexion et de déconnexion, identifiant du poste de travail et de l'utilisateur.

Les accès logiques du prestataire aux serveurs et bases de données sont également journalisés et des profils d'habilitation sont définis. La maintenance des équipements est effectuée par le prestataire et non pas l'hébergeur des serveurs. Les données personnelles (adresses IP) sont chiffrées et ne sont pas accessibles par le personnel de maintenance du prestataire. Les clés de chiffrement sont partagées en deux parties et détenues par deux personnes différentes [... ]

Enfin, des actions de sensibilisation aux problématiques de sécurité sont menées auprès de
TMG et des agents assermentés.

Votre rapporteur considère que les mesures de sécurité prises par les SPRD et le prestataire TMG sont satisfaisantes au regard de la loi Informatique et Libertés.

Or il semble qu'en contrôlant TMG, la CNIL a découvert qu'elle avait été flouée. "La CNIL a notamment constaté l’insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit 'de réponse graduée'. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG", avait-elle expliqué lors de la mise en demeure de TMG.

Par ailleurs, les ayants droit avaient pris l'engagement de procéder à des audits. Dans un rapport du 10 juin 2010, sur lequel elle s'était fondée pour donner son feu vert malgré des conclusions accablantes (ce dont elle ne s'est jamais justifiée), la CNIL expliquait qu'il serait "préférable que le système de collecte soit «homologué» par un tiers de confiance, pour renforcer la sécurité juridique des constats", ce qui n'avait jamais été fait jusqu'à cet été. Par ailleurs, les ayants droit avaient pris l'engagement de procéder à des "audits trimestriels". Or il n'y a eu qu'un seul audit avant la mise en demeure de TMG, réalisé lors de la phase de tests de la riposte graduée, avant septembre 2010. Les contrôles trimestriels promis n'ont pas eu lieu.
Publié par Guillaume Champeau, le 24 Octobre 2011 à 10h39
 
 
18
Commentaires à propos de «Hadopi : la CNIL pourrait sanctionner les ayants droit pour TMG»
 
la CNIL expliquait qu'il serait "préférable que le système de collecte soit "homologué" par un tiers de confiance, pour renforcer la sécurité juridique des constats"

mais comment faire pour homologuer un logiciel ouvert, libre et gratuit, en l’occurrence shareaza .... ? c'est l'un des moyen de collecte de TMG, qui utilise aussi un autre logiciel libre, gratuit et open source : emule.

en dehors du fait que TMG se contente d'exploiter des logiciels existants en automatisant l'utilsation a l'aide de scripts et qu'il ne sont donc pas foutus d’écrire leur propre outil, ces logiciels la sont écrit en c++ et ils passeront très difficilement, sinon pas du tout, les étapes d'une certification ...

++
Que de surprises ... (phrase à prendre au premier ou second degré, les deux sont valides).
la CNIL " pourrait " donc rien n'est sûr et à bien réfléchir ..........
@superadmin : en fait ce n'est pas un problème, on audit une version donnée. Par exemple l'Anssi l'a fait avec Keepass 1.6 (je crois que c'est la 1.6, à vérifier). Donc que ce soit ouvert, libre ou ce que tu veux, il suffit juste de faire certifier la version utilisée ;)
Entendu à la radio ,Thomas Dutronc aurait vendu 600 000 albums et la journaliste, d'ajouter , " malgré le piratage ";
Comme si que tout le monde pirate du Thomas Dutronc , un PRO HADOPI , ces mecs là c'est plus du repoussoir .
Ce n'est pas moi qui vais les engraisser , j'ai la liste .
Au trou les ayants droit. Ce sont eux les pirates.
Guillaume, le 24/10/2011 - 10:39

Par ailleurs, les ayants droit avaient pris l'engagement de procéder à des audits. Dans un rapport du 10 juin 2010, sur lequel elle s'était fondée pour donner son feu vert malgré des conclusions accablantes (ce dont elle ne s'est jamais justifiée), la CNIL expliquait qu'il serait "préférable que le système de collecte soit "homologué" par un tiers de confiance, pour renforcer la sécurité juridique des constats", ce qui n'avait jamais été fait jusqu'à cet été. Par ailleurs, les ayants droit avaient pris l'engagement de procéder à des "audits trimestriels". Or il n'y a eu qu'un seul audit avant la mise en demeure de TMG, réalisé lors de la phase de tests de la riposte graduée, avant septembre 2010. Les contrôles trimestriels promis n'ont pas eu lieu.



Ei ils prétendent pouvoir transmettre des dossiers de "contrevenants" [coupables de téléchargement illégal) accusés d'un défaut de sécurisation de leur connexion internet, sur la base de ce relevés effectués par un système de collecte non homologué ?

:smartass:
la CNIL a découvert qu'elle avait été flouée.
SANS BLAGUE !! Je vais pleurer.

Et si l'on parlait de l'argent des Francais qui sert a financer cette Mafia.

Nous Francais avons soulignés clairement notre position face a cette escroquerie et posons un ultimatum a cette organisation de crapules. Nous vous accordons 7 mois pour rembourser la totalité de l'argent qui nous a été volé.

Si notre requête n'est pas executée dans les temps, nous nous verrons dans l'obligation d'engager la force, et par la force nous viendrons récuperer l'argent de nos impots jusqu'au dernier centime.

"[...]
Aux armes, citoyens
Formez vos bataillons [...]"
Guillaume, le 24/10/2011 - 10:39
alors qu' "il était apparu clairement que la société nantaise avait violé les engagements de sécurité pris pour elle par les ayants droit pour obtenir l'autorisation de collecter les adresses IP des internautes français".
Mais qui est en faute en clair, les ayants droit ou TMG :Hein: ?
de tout manière depuis que sarko est au pouvoir, la CNIL n'est plus indépendante.
si la TMG venait a disparaitre hadopi ne serais plus ,comme une voiture qu'on enleverait le moteur!
sa m'etonne pas du tout!
Feront ils l'objet d'une riposte graduée? J'en doute !

Au trou les escrocs, voleurs et autres nantis de la "dollar musique" !!!
Guillaume, le 24/10/2011 - 10:39
Par ailleurs, les ayants droit avaient pris l'engagement de procéder à des audits. (...) Les contrôles trimestriels promis n'ont pas eu lieu.

Alors comme ça les ayants droit ne se seraient pas auto-contrôlés comme promis ? Rhôôô ben ça alors...
Et dire qu'il s'agit d'une société qui veut contrôler et sanctionner les pulsions téléchargeuses incontrôlées des internautes...:fun:

A supposer qu'ils l'aient fait, qu'est-ce qui est prévu en cas de mauvais contrôle ?
Annuler tous les constats depuis le précédent contrôle correct et envoyer des lettres (ou emails) d'excuses aux internautes hadoepiés ?:Hein:
huygens, le 24/10/2011 - 15:40
si la TMG venait a disparaitre hadopi ne serais plus ,comme une voiture qu'on enleverait le moteur!
sa m'etonne pas du tout!

... déjà là il faudrait que la voiture puisse avoir un conducteur avec le permis de conduire ...
Et qui pour sanctionner la CNIL quant à son aveuglement sur ce dossier ?
Parce que c'était quand même évident qu'elle allait se faire enfler dans les grandes largeurs. Mais comme on dit il n'y a pas de pire sourd que celui qui refuse d'entendre, pareil pour les aveugles.
Sovereign, le 24/10/2011 - 19:11
Et qui pour sanctionner la CNIL quant à son aveuglement sur ce dossier ?
Parce que c'était quand même évident qu'elle allait se faire enfler dans les grandes largeurs. Mais comme on dit il n'y a pas de pire sourd que celui qui refuse d'entendre, pareil pour les aveugles.

Bien dit! La surdité sélective je l'ai dit aussi c'est une caractéristique française très répandu chez les français (pour les autres je sais pas si tu te souviens bien.
Encore une fois les termes veulent bien dire ce qu'ils veulent dire : les "ayants-droit" et les autres. Les n'"ayants-aucun-droit".
Pathetique. Et au trous ces voleurs.
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
HiDownload Pro
Téléchargeurs et aspirateurs - Gestionnaire de téléchargement / capture streaming
 
Guitar Pro
MAO (Musique) - Editeur de tablatures
 
eMule 0.41a [Black Hand Kad]
eMule (et mods eMule) - Les meilleures fonctions rassemblées en un Mod
 
LC ISO Creator
Graver ou numériser - Créer vos images ISO facilement
 
Project64
Emulateurs - Emulateur n64
 
Octobre 2011
 
Lu Ma Me Je Ve Sa Di
26 27 28 29 30 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC