Hadopi : la CNIL pourrait sanctionner les ayants droit pour TMG
Si la CNIL a validé la mise en conformité de TMG à sa mise en demeure, elle prévient qu'elle poursuit toujours des investigations à l'encontre des ayants droit qui ont fait appel aux services de TMG pour collecter les adresses IP destinées à l'Hadopi. Ils n'ont pas respecté un certain nombre d'engagements formulés pour obtenir l'autorisation de la CNIL de procéder à ces collectes.
Nous le révélions ce matin.
En fait, la procédure n'est pas tout à fait close.
En mai 2011, nous avions en effet rappelé les engagements de sécurité pris par les sociétés d'ayants droit dans leur demande d'autorisation de collecte des adresses IP pour la mise en œuvre de la riposte graduée.
Le dispositif prévoit une sécurisation de l'accès physique aux serveurs par l'utilisation de badges, vidéosurveillance, alarmes ainsi que la journalisation des accès. Les serveurs et bases de données sont de plus protégés par des pare-feux et un système de détection des intrusions. Pour les agents assermentés, les accès à l'application et aux données personnelles sont effectués par une interface sécurisée (https) et avec un dispositif d'authentification forte. Les agents doivent s'authentifier une deuxième fois pour signer les constats. Par ailleurs, les accès de ces agents sont journalisés : date/heure de connexion et de déconnexion, identifiant du poste de travail et de l'utilisateur. Les accès logiques du prestataire aux serveurs et bases de données sont également journalisés et des profils d'habilitation sont définis. La maintenance des équipements est effectuée par le prestataire et non pas l'hébergeur des serveurs. Les données personnelles (adresses IP) sont chiffrées et ne sont pas accessibles par le personnel de maintenance du prestataire. Les clés de chiffrement sont partagées en deux parties et détenues par deux personnes différentes [... ] Enfin, des actions de sensibilisation aux problématiques de sécurité sont menées auprès de TMG et des agents assermentés. Votre rapporteur considère que les mesures de sécurité prises par les SPRD et le prestataire TMG sont satisfaisantes au regard de la loi Informatique et Libertés.
Or il semble qu'en contrôlant TMG, la CNIL a découvert qu'elle avait été flouée.
Par ailleurs, les ayants droit avaient pris l'engagement de procéder à des audits.