Il est donc possible de faire n'importe quoi en matière de protection de la vie privée de millions d'internautes, et ne pas recevoir la moindre condamnation de la part de la CNIL. Le gendarme de la vie privée, qui avait déjà clôturé son enquête contre TMG sans lui infliger de sanctions, a décidé d'absoudre les ayants droit qui l'avaient trompé sur la nature des mesures de sécurité mises en oeuvre dans les systèmes de collecte d'adresses IP renvoyées à l'Hadopi.

Ils s'en sortent avec une simple claque sur les doigts. L'an dernier, la découverte d'une faille sur des serveurs de TMG avait permis de révéler que la société nantaise chargée de collecter les adresses IP renvoyées à la Hadopi n'avait pas suffisamment sécurisé ses données. La CNIL avait alors procédé à un contrôle les 17 et 18 mai 2011, et avait décidé le 16 juin de mettre en demeure à la fois le prestataire TMG, et ses clients ayants droit.

Dans un communiqué accablant, la CNIL avait dit avoir découvert à l'occasion de ce contrôle "un certain nombre de manquements aux obligations de sécurité, incompatibles avec l'activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures". 

On s'attendait donc à ce qu'il en ressorte des sanctions. On ne peut pas d'un côté mettre en place un dispositif qui sanctionne les particuliers qui ne respectent pas la loi sur le droit d'auteur, et blanchir les professionnels qui violent la loi sur le respect de la vie privée. Mais non. Tout a été réglé entre gens de bonne compagnie, sans faire de vagues, et sans sanction.

Dans un premier temps, dès le mois d'octobre 2011, la CNIL avait clôturé sa mise en demeure contre TMG, lui permettant de reprendre la collecte et la transmission des adresses IP (pendant ce temps, l'Hadopi avait continué à envoyer des avertissements grâce au stock d'adresses IP déjà envoyées par la société nantaise et gardées en réserve). L'entreprise avait échappé à toute sanction.

Une plainte toujours en cours.. contre un journaliste trop curieux

Mais pour tenter de garder la tête haute, alors que le laxisme de la CNIL dans la riposte graduée a toujours été trouble, la CNIL avait tenu à préciser que la procédure restait ouverte à l'encontre des ayants droit. Ce sont eux, en effet, qui avaient pris des engagements de sécurisation auprès du gendarme de la vie privée pour obtenir son feu vert pour la collecte des adresses IP, et qui ne les ont pas tenus.

Or un an plus tard, la CNIL annonce ce vendredi qu'elle a également mis fin au au volet de la procédure contre les ayants droit, sans prononcer de sanction. Elle explique simplement que les sociétés de gestion des ayants droit ont "détaillé les procédures mises en œuvre pour améliorer la sécurité de leur système d'information", que cela a été vérifié sur place, et donc que "compte tenu de cette mise en conformité, il a été décidé de procéder à la clôture de ces procédures". Circulez, il n'y a plus rien à voir.

En revanche, selon nos informations, la CNIL n'a toujours pas retiré sa plainte déposée contre nos confrères d'Electron Libre, qui avaient pu mettre la main sur le rapport établi suite au contrôle de TMG, qui démontrait notamment que la base de données utilisée pour la riposte graduée n'était protégée que par un seul mot de passe utilisé vraisemblablement par tous les employés, et avec un chiffrage qui n'était "pas des plus poussés".

Partager sur les réseaux sociaux

Articles liés