La CNIL devrait décider de l’ouverture éventuelle d’une procédure de sanctions contre TMG dans environ un mois. Les ayants droit qui utilisent les services de TMG pour l’Hadopi ne sont pas à l’abri de subir les foudres de la Commission, s’ils n’ont pas suffisamment cadré les précautions à prendre avec leur prestataire pour assurer la confidentialité des données.

Interrogé par Le Point, le secrétaire général de la CNIL Yann Padova a expliqué le déroulé du contrôle effectué par ses services au sein de la société nantaise TMG, mandatée par les ayants droit pour la collecte des droits d’auteur, et ses éventuelles conséquences. « Nous voulons essentiellement faire une analyse des mesures de sécurité prises par TMG pour protéger les données. Dans trois à quatre semaines, nous aurons une idée, et nous nous orienterons soit vers une clôture du dossier, soit vers une mise en demeure, c’est-à-dire une procédure de sanction. Pour l’instant, nous ne pouvons pas en dire plus », explique M. Padova.

Il semble donc question d’enquêter principalement sur les raisons pour lesquelles des données ont pu être divulguées par TMG, davantage que sur les raisons pour lesquelles ces données ont été collectées en premier lieu, et conservées, semble-t-il, au delà d’un délai raisonnable. Nous avions en effet découvert des adresses IP françaises, et des données parfois vieilles de trois ans, qui n’ont plus de raison d’être stockées.

Les ayants droit, dans un scénario jugé peu probable par l’Hadopi, pourraient voir leurs autorisations de collecte des adresses IP retirées, si leur contrat avec TMG n’est pas suffisamment cadré. « Les premiers concernés sont les sociétés de perception de droits, surtout si elles n’ont pas bien verrouillé contractuellement les mesures de sécurité à prendre par leur prestataire« , glisse ainsi le secrétaire général de la CNIL.

Rappelons que dans son rapport préalable à la délivrance des autorisations, basé sur les dossiers fournis par les ayants droit, la CNIL avait consacré un chapitre à la protection des données. Il prévoyait notamment que « les serveurs et bases de données sont protégés par des pare-feux et un système de détection des intrusions« , et que « les données personnelles (adresses IP) sont chiffrées« . Or si les contrôles de la CNIL démontrent que des adresses IP liées à la riposte graduée sont stockées en clair, il devrait y avoir sanction. De même le rapport prévoyait un contrôle trimestriel effectué par les ayants droit, ce qui n’a jamais été fait.

En attendant que la CNIL prenne sa décision, l’Hadopi continue (c’est en tout cas ce qu’elle dit) à fonctionner avec un stock d’adresses IP vieux de deux mois. Les ayants droit assurent par ailleurs continuer à transmettre des adresses IP à l’Hadopi sur support physique (mise à jour : il s’agirait de supports DVD).


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !