Hadopi : l’enquête de la CNIL sur TMG s’achève, pas celle sur les SPRD

La CNIL vient d’annoncer sur son site qu’elle clôturait son enquête sur la fuite TMG. Il aura fallu pour Trident Media Guard deux réunions explicatives en juillet et en septembre, pour démontrer que les mesures de sécurisation avaient été bien menées conformément aux dispositions de la loi de 1978 sur les données personnelles. L'affaire n'est cependant pas totalement terminée.

TMG faille sécurité négligence caractérisée

Après la mise en demeure du Président de la CNIL le 27 juin, la Commission avait précisé que « le contrôle de la CNIL a permis de constater que la faille de sécurité révélée n’affectait pas les serveurs utilisés dans le cadre de la réponse graduée ». Cependant, l’enquête sur place démontrait bien une insuffisance des mesures de sécurité déployées par TMG et les ayants droit dans le dispositif Hadopi.

Dans les locaux de TMG ces 17 et 18 mai 2011, la CNIL constatait « la faiblesse des mesures de sécurité déployées par cette société tant pour le traitement mis en œuvre pour son propre compte, que pour ceux créés pour le compte de ses clients, les sociétés de perception et de répartition des droits d’auteurs (SPRD), dans le cadre du dispositif dit de "réponse graduée". »

La CNIL mettait alors en demeure TMG et les ayants droit de correctement sécuriser leur infrastructure. Une infrastructure destinée à alimenter Hadopi en IP d’abonnés soupçonnés de mal sécuriser leur accès.

Depuis ce gros bug médiatique, juridique et technique, Hadopi s’était désolidarisé des ayants droit en coupant ses liaisons automatisées et basculant vers un système de transfert physique. Cette faille avait poussé les SPRD à lancer une étude sur TMG par un cabinet d’audit. De même la HADOPI organisait elle aussi sa propre enquête ficelée par un expert… afin de mettre « fin à la polémique ».

Le 10 juin 2010, dans son rapport sur le déploiement des radars de TMG sur les réseaux le rapporteur de la CNIL «considère qu’il serait préférable que le système de collecte soit « homologué » par un tiers de confiance pour renforcer la sécurité juridique des constats. Cette recommandation de la Commission pourra être précisée aux SPRD par le biais des lettres de notification qui accompagnent les autorisations. Cette information pourra également, le cas échéant, figurer sur la communication de la CNIL sur son site internet ». Dans une note de bas de page, le rapporteur regrettait que « les seules procédures d’audit prévues sur le système de TMG sont des audits internes trimestriels par les SPRD ».

Dans nos colonnes, la SCPP nous avouait que ce dispositif trimestriel n’avait jamais été mis en œuvre depuis l’activation des grandes oreilles de TMG.

Hadopi, par la voix d’Éric Walter, avait plusieurs fois promis ce contrôle dès le 7 octobre 2010 nous avons prévu nous-mêmes d'auditer TMG dans ces opérations, et la CNIL, à ma connaissance, peut effectuer également les vérifications qu'elle souhaite dans le cadre de ses compétences. En ce qui concerne notre audit, nous travaillons sur le protocole avec l'intention de le rendre le plus transparent et le plus objectif possible. Nous aurons l'occasion de communiquer dessus le moment venu, ce qui permettra à chacun de s'exprimer sur la méthode choisie, etc. »). 

En fait, Walter renvoyait mal la balle sur le dos de la CNIL coupable selon lui d'inaction. Interrogée, celle-ci nous expliquait en effet que son contrôle porte sur le « le traitement de l’information plus que la manière dont il est réalisé », davantage sur «le fichier qui en résulte plus que sur les moyens ».  La Rue de Texel se décidait finalement d’exercer ce contrôle X fois promis seulement après la découverte de la faille... Selon Walter, l’expertise était en fait « prête, [mais quand] la faille est survenue, on s’est concentrés dessus, ça a décalé vu que les journées ne sont pas extensibles »

Tout ce dossier n’est cependant pas terminé : l’audition de la CNIL se poursuit actuellement à l’encontre des SPRD. Puisque TMG est leur sous-traitant, les ayants droit sont responsables des bons et mauvais traitements infligés aux données personnelles qu’ils manipulent à titre privé.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !