La CNIL tombe (finalement) sur le dos des ayants-droits et de TMG

Après l’HADOPI qui a expliqué dans un language peu diplomatique aux ayants-droits qu’ils feraient bien d’arrêter de raconter du caca de taureau, c’est au tour de la CNIL de les renvoyer dans leurs cordes. Alors qu’une représentante de la CNIL nous assurait il y a encore quelques jours que l’institution ne donnerait probablement pas d’informations sur le contrôle engagé auprès de Trident Media Guard (TMG), il semble que la décision inverse ait finalement pris le pas. Dans un long communiqué, la CNIL explique :

Le président de la CNIL a mis en demeure, le 16 juin dernier, les sociétés de perception et de répartition des droits d’auteurs et leur sous-traitant, la société TMG pour insuffisance des mesures de sécurité. En effet, à la suite d’un contrôle effectué au sein de la société TMG, la CNIL a notamment constaté l’insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit « de réponse graduée ». Les organismes mis en demeure ont trois mois pour assurer une parfaite sécurité de celui-ci.

Il ne s’agit bien entendu que d’une supposition, mais il semble bien que la riposte graduée soit au point mort depuis l’article de Reflets mettant en doute la sécurité informatique de TMG et de ses serveurs de test.

Pour une fois, la CNIL évoque, à mots couverts, il ne faut pas non plus pousser, l’article de la Loi Informatique et Libertés qui impose aux entreprises de mettre en place les mesures nécessaires à une bonne protection des données collectées :

[Le contrôle] a permis de constater la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG.

Surtout, le contrôle a permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG.

C’est cette absence de sécurité satisfaisante qui est à l’origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D). Les contrôleurs ont ainsi relevé un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant  la bonne application de ces mesures.

On attend avec impatience les prochaines gadgetophrases de patrons d’entreprises prises en flagrant délit de non protection des données personnelles collectées sur des serveurs (de test, comme toujours).

Sur un plan juridique, Reflets serait intéressé par l’avis d’un avocat spécialisé, mais il semble très improbable qu’un juge condamne un internaute à une coupure d’Internet sur la base de données collectées par une entreprise qui s’est aussi bien distinguée dans le domaine de la sécurité informatique et dont les relevés sont tout de même légèrement sujets à caution.

Dans son communiqué,la CNIL assaisonne les ayants-droits qui sont considérés comme responsables des actes de leur sous-traitant de choc :

les SPRD restent responsables de la bonne application de la loi Informatique et Libertés au traitement mis en œuvre par leur sous-traitant. Ce sont elles qui ont obtenu une autorisation de la CNIL pour pouvoir mettre en œuvre ce dispositif.

Une lecture entre les lignes du communiqué de la CNIL laisse également entendre que TMG pourrait ne pas toujours être le prestataire retenu pour le flashage des internautes téléchargeurs :

Le président de la CNIL a donc mis en demeure ces sociétés, sous un délai de trois mois, de veiller à ce que le sous-traitant retenu dans le cadre du dispositif dit « de réponse graduée » présente des garanties suffisantes pour assurer la sécurité des données traitées. Ces sociétés devront également veiller au respect, par le sous-traitant retenu, des mesures de sécurité qui seront définies. 

Elle ne désigne pas TMG, comme si le nom du prestataire importait peu, et comme s’il pouvait changer.

Fidèle à a sa tradition de transparence, la CNIL souligne en fin de communiqué qu’elle ne dévoilera pas les aspects techniques liés à ce contrôle. On se doute que ce serait terrible…

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).


14 thoughts on “La CNIL tombe (finalement) sur le dos des ayants-droits et de TMG”

        1. Bonjour, nous avons en effet le document technique de la CNIL. Un document qui démontre bien que 1) le serveur exposé n’appartenait pas à la riposte graduée. 2) le doc est suffisamment fourni en détails pour représenter un risque. Car TMG n’avait visiblement pas compris qu’il fallait sécuriser un minimum tout ça…

          1. Hello pour le 1° j’en doute pas un instant… par contre les iop du lan du TMG, mon petit doigt me dit qu’ils n’ont pas d’overlay… je n’ai pas eu ce rapport mais je subodore bien ce qu’il y a dedans tu sais ;)

            2° Là encore le risque ne vient pas _que_ de TMMG, une certaine experience de ce genre de choses m’invite à penser que le maillon faible est également du côté de l’alpa.
            Passons maintenant aux trucs moins drôles. Depuis quelques mois au sénat est bloqué la proposition Escoffier qui, comme aux USA, impliquera que les entreprises ayant subi un incident provocant une fuite de données personnelles auront pour obligation de rendre public le dit incident.

            En ce sens, ne pas rendre public ce document n’est pas admissible. Si TMG est troué, TMG déconnecte sa daube et répare, je vois pas où est le problème.

            Ton argument ne tient donc pas la route, tu gobes gentiment ce que te dit la CNIL… moi pas.

  1. On se demande où ça va, tout ça…
    Hadopi contre SCPP,
    et tout le monde contre TMG (qui l’a bien cherché).

    Ils ont un plan B derrière la tête ?
    Ou c’est vraiment un bordel innommable ?

    Ou alors, le pourrissement est voulu pour « sortir d’hadopi » ? (cette hypothèse m’étonnerait quelque peu, quand même)

  2. «  »[Le contrôle] a permis de constater la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG. » »

    >> Mon petit doigt m’a dit que c’est notamment le manque de déclaration CNIL pour leur FAKE, et aussi les statsistiques qu’ils fournissent à leur clients français autres que les SRPD (Alpa, SDRM, SACEM, SCPP).

    Mon petit doigt m’a dit également que les titres qui ont fuités a l’époque n’étaient pas des tests pour l’Hadopi mais en réalité des protections pour ses clients directs. Et encore une fois leur serveur ont été facilement répéré, encore des test PTDR ^^
    http://www.pcinpact.com/actu/news/56462-edonkey-peerates-hadopi-tmg-p2p.htm

    Enfin, mon majeur me demande pourquoi il y a quelques 3 ans Monsieur Jerome ROger et la SCPP ont attaqué en justice Shareaza (et sourceforge)…
    Mon majeur voudrais savoir si c’est normal que le prestataire qui est retenu par la SCPP utilise Shareaza pour recupérer les IP des vilains petits pirates… C’est le monde à l’envers…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *