La CNIL a finalement décidé de ne sanctionner ni TMG ni les sociétés de gestions collectives après la faille de sécurité constatée chez ce prestataire en amont de Hadopi.

« Le 16 juin 2011, la CNIL a adressé des mises en demeure aux sociétés de perception et de répartition des droits d'auteurs (SPRD). En effet, elle avait constaté à l'occasion d'un contrôle l'insuffisance des mesures de sécurité entourant le dispositif dit " de réponse graduée " qui vise à lutter contre le téléchargement illégal sur internet » indique aujourd’hui la CNIL dans un communiqué. Celle-ci estime désormais que les différents patchs apportés au dispositif permettent désormais de passer l’éponge : « depuis, de nombreuses mesures correctives ont permis d'assurer la conformité du traitement. Les SPRD ont en effet détaillé les procédures mises en œuvre pour améliorer la sécurité de leur système d'information. (…) Compte tenu de cette mise en conformité, il a été décidé de procéder à la clôture de ces procédures. »

La CNIL rappelle qu’elle avait « décidé de ne pas rendre publiques ces mises en demeure au regard des éléments techniques contenus dans ces dernières. Pour autant elle avait jugé utile d'informer le public sur son action » compte tenu de la masse d’adresses IP gérée chaque jour par cette entreprise.

Les 5 SPRD responsables de leur sous-traitant TMG

TMG est le sous-traitant de la SCPP, de la SACEM, de la SDRM, de la SPPF et de l’ALPA, les cinq entités autorisées à relever automatiquement des adresses IP. À la suite d’un contrôle exercé sur place, la CNIL avait cependant constaté une « insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit de réponse graduée ». Tous avaient donc été mis en demeure puisqu’ils sont responsables des mauvais traitements de leur sous-traitant.

Justement. Après un contrôle sur place en mai 2011 à Saint Sébastien sur Loire dans les locaux de TMG, la CNIL avait constaté « un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG. » En creux, on devine que TMG conservait sans limite des informations personnelles et avait procédé à des traitements de données personnels sans les autorisations ou déclarations préalables. On ne peut que deviner, la CNIL ayant refusé d’en dire plus. En tout cas, son examen avait surtout « permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG ».

À l’époque, la Commission informatique et liberté estimait que « c’est cette absence de sécurité satisfaisante qui est à l’origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D) » (voir notre actualité).  Et la commission de pointer un « manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures ». Ce qui est tout de même un comble au regard des relevés sensibles menés par cette entité.

Des audits internes uniquement lors des tests avant Hadopi

Rappelons que les ayants droit se devaient de réaliser des contrôles trimestriels chez leur prestataire, c’est ce qui ressortait de l’autorisation CNIL initiale. Après la découverte d’une faille de sécurité, Marc Guez (SCPP) nous avouait que les contrôles n’avaient été effectués que durant les tests de mise en œuvre et qu’aucun audit externe n’était venu déranger le doux ronronnement des activités de TMG, au grand regret de la CNIL.

Les SPRD et TMG peuvent donc désormais souffler et reprendre de plus belle leur activité. Voilà qui est merveilleux et c’est tant mieux puisqu’en face, Hadopi a mis à jour son système informatique pour absorber la totalité des adresses IP flashées chaque jour par cette fine équipe.