La CNIL vient de nous indiquer qu’elle mettait en demeure les sociétés de perception et de répartition des droits d’auteurs et leur sous-traitant, TMG.
« Le président de la CNIL a mis en demeure, le 16 juin dernier, les sociétés de perception et de répartition des droits d’auteurs et leur sous-traitant, la société TMG pour insuffisance des mesures de sécurité. En effet, à la suite d’un contrôle effectué au sein de la société TMG, la CNIL a notamment constaté l’insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit « de réponse graduée ». Les organismes mis en demeure ont trois mois pour assurer une parfaite sécurité de celui-ci.
Dans un communiqué qu’elle vient de nous envoyer, la CNIL livre les premiers détails de son contrôle. La société TMG est le sous-traitant de la SCPP, de la SACEM, de la SDRM, de la SPPF et de l’ALPA,
TMG a mal appliqué la loi Informatique et Libertés
« Un contrôle a été effectué par la CNIL les 17 et 18 mai 2011 à Saint Sébastien sur Loire dans les locaux de TMG. Il a permis de constater la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG. »
La CNIL souligne que « surtout, le contrôle a permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG ».
Absence de sécurité satisfaisante à l'origine de la fuite
« C’est cette absence de sécurité satisfaisante qui est à l’origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D). Les contrôleurs ont ainsi relevé un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures ».
Des contrôles promis mais jamais effectués.
La CNIL avait souhaité un audit de TMG dès le 10 juin 2010. Cet audit n'avait jamais été fait. De plus les ayants droit se devaient de faire un contrôle tous les trois mois, or il n'a été fait que durant les phases de tests. Sans que l'Hadopi n'y trouve rien à redire (publiquement).
Mise en demeure
La CNIL explique au passage que la faille a été plus importante : « les insuffisances des mesures de sécurité n’affectaient pas seulement les traitements mis en œuvre par TMG, pour son compte, mais aussi les traitements mis en œuvre pour le compte de ses clients – les SPRD – dans le cadre du dispositif dit « de réponse graduée ». »
Les SPRD s'étaient vus autorisés à faire flasher des IP à la chaîne, ils sont donc responsables des choix de leur sous traitant. « Les SPRD restent responsables de la bonne application de la loi Informatique et Libertés au traitement mis en œuvre par leur sous-traitant. Ce sont elles qui ont obtenu une autorisation de la CNIL pour pouvoir mettre en œuvre ce dispositif. »
Un délai de 3 mois...
« Au vu de ces manquements, le président de la CNIL a mis en demeure la société TMG, sous un délai de trois mois, de pallier les lacunes constatées et de respecter l’ensemble des dispositions de la loi Informatique et Libertés. »
Le président de la CNIL a décidé de mettre en demeure ces sociétés, sous un délai de trois mois. Les SPRD et TMG devront faire en sorte que "les garanties suffisantes" soient apportées " pour assurer la sécurité des données traitées". De plus, les SPRD "devront veiller au respect, par le sous-traitant retenu, des mesures de sécurité qui seront définies".
Pas de publication du rapport
« La CNIL a décidé, au regard des éléments techniques contenus dans ces mises en demeure, de ne pas les rendre publiques. Pour autant, elle juge utile d’informer le public de son action. »
Il n'y aura donc pas d'autres sanctions que ce rappel. De plus, le rapport d'expertise de la CNIL n'est pas publié. La CNIL s'est refusée à tout commentaire supplémentaire.
« Le président de la CNIL a mis en demeure, le 16 juin dernier, les sociétés de perception et de répartition des droits d’auteurs et leur sous-traitant, la société TMG pour insuffisance des mesures de sécurité. En effet, à la suite d’un contrôle effectué au sein de la société TMG, la CNIL a notamment constaté l’insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit « de réponse graduée ». Les organismes mis en demeure ont trois mois pour assurer une parfaite sécurité de celui-ci.
Dans un communiqué qu’elle vient de nous envoyer, la CNIL livre les premiers détails de son contrôle. La société TMG est le sous-traitant de la SCPP, de la SACEM, de la SDRM, de la SPPF et de l’ALPA,
TMG a mal appliqué la loi Informatique et Libertés
« Un contrôle a été effectué par la CNIL les 17 et 18 mai 2011 à Saint Sébastien sur Loire dans les locaux de TMG. Il a permis de constater la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG. »
La CNIL souligne que « surtout, le contrôle a permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG ».
Absence de sécurité satisfaisante à l'origine de la fuite
« C’est cette absence de sécurité satisfaisante qui est à l’origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D). Les contrôleurs ont ainsi relevé un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures ».
Des contrôles promis mais jamais effectués.
La CNIL avait souhaité un audit de TMG dès le 10 juin 2010. Cet audit n'avait jamais été fait. De plus les ayants droit se devaient de faire un contrôle tous les trois mois, or il n'a été fait que durant les phases de tests. Sans que l'Hadopi n'y trouve rien à redire (publiquement).
Mise en demeure
La CNIL explique au passage que la faille a été plus importante : « les insuffisances des mesures de sécurité n’affectaient pas seulement les traitements mis en œuvre par TMG, pour son compte, mais aussi les traitements mis en œuvre pour le compte de ses clients – les SPRD – dans le cadre du dispositif dit « de réponse graduée ». »
Les SPRD s'étaient vus autorisés à faire flasher des IP à la chaîne, ils sont donc responsables des choix de leur sous traitant. « Les SPRD restent responsables de la bonne application de la loi Informatique et Libertés au traitement mis en œuvre par leur sous-traitant. Ce sont elles qui ont obtenu une autorisation de la CNIL pour pouvoir mettre en œuvre ce dispositif. »
Un délai de 3 mois...
« Au vu de ces manquements, le président de la CNIL a mis en demeure la société TMG, sous un délai de trois mois, de pallier les lacunes constatées et de respecter l’ensemble des dispositions de la loi Informatique et Libertés. »
Le président de la CNIL a décidé de mettre en demeure ces sociétés, sous un délai de trois mois. Les SPRD et TMG devront faire en sorte que "les garanties suffisantes" soient apportées " pour assurer la sécurité des données traitées". De plus, les SPRD "devront veiller au respect, par le sous-traitant retenu, des mesures de sécurité qui seront définies".
Pas de publication du rapport
« La CNIL a décidé, au regard des éléments techniques contenus dans ces mises en demeure, de ne pas les rendre publiques. Pour autant, elle juge utile d’informer le public de son action. »
Il n'y aura donc pas d'autres sanctions que ce rappel. De plus, le rapport d'expertise de la CNIL n'est pas publié. La CNIL s'est refusée à tout commentaire supplémentaire.
