La CNIL annonce mercredi avoir mis en demeure depuis le 16 juin la société TMG et les ayants droit qui font appel à ses services pour collecter les adresses IP sur les réseaux P2P. Elle dénonce des failles de sécurité, y compris dans le cadre de la riposte graduée de l’Hadopi.

Coup de tonnerre pour la riposte graduée. La Commission nationale de l’informatique et des libertés (CNIL) a annoncé ce mercredi 6 juillet avoir mis en demeure les sociétés de perception et de répartition des droits d’auteurs et leur sous-traitant, la société TMG. Cette dernière est chargée de collecter, pour le compte des ayants droit, les adresses IP des internautes échangeant des fichiers protégés par le droit d’auteur sur les réseaux P2P.

Dans son message, la CNIL contredit l’argumentaire des ayants droit et de la société Hervé Schauer Consultants (HSC), chargée de contrôler Trident Media Guard (TMG). Alors que les ayants droit avaient assuré, début juin, que les failles de l’entreprise nantaise n’étaient pas liées à la riposte graduée mais à un simple serveur de test sans aucune relation avec la plate-forme dédiée à l’Hadopi, la CNIL annonce le contraire.

« La CNIL a notamment constaté l’insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit ‘de réponse graduée' » déclare l’autorité de contrôle. « Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG » ajoute-t-elle.

Cela signifie que toutes les obligations légales de déclarations et / ou d’autorisations préalables, conformément aux exigences de la loi de 1978 et nécessaires pour la collecte des adresses IP, n’ont pas été respectées. Nous avions notamment démontré que des adresses IP françaises figuraient dans les données qui ont fuité. Quant à la durée de conservation, c’est un problème que nous avions déjà soulevé en démontrant que certaines adresses IP relevées remontent à avril 2008.

C’est un avis extrêmement sévère de la CNIL. « Un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures » écrit-elle.

La Haute Autorité pourrait être directement impactée puisque « la CNIL a constaté que les insuffisances des mesures de sécurité n’affectaient pas seulement les traitements mis en œuvre par TMG, pour son compte, mais aussi les traitements mis en œuvre pour le compte de ses clients – les sociétés de gestion des droits d’auteur- dans le cadre du dispositif dit « de réponse graduée« .

Cependant, une question essentielle demeure à ce stade : la mise en demeure de se conformer d’ici le 16 septembre 2011 aux prescriptions de la CNIL vaut-elle suspension des autorisations de collecte des adresses IP ? Le communiqué n’est pas clair sur ce point. Contactée, l’Hadopi nous dit ne pas communiquer sur les décisions prises par la CNIL, ni sur ses éventuelles conséquences.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !