Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

La CNIL tombe (finalement) sur le dos des ayants-droits et de TMG

Après l'HADOPI qui a expliqué dans un language peu diplomatique aux ayants-droits qu'ils feraient bien d'arrêter de raconter du caca de taureau, c'est au tour de la CNIL de les renvoyer dans leurs cordes. Alors qu'une représentante de la CNIL nous assurait il y a encore quelques jours que l'institution ne donnerait probablement pas d'informations sur le contrôle engagé auprès de Trident Media Guard (TMG), il semble que la décision inverse ait finalement pris le pas.

Après l'HADOPI qui a expliqué dans un language peu diplomatique aux ayants-droits qu'ils feraient bien d'arrêter de raconter du caca de taureau, c'est au tour de la CNIL de les renvoyer dans leurs cordes. Alors qu'une représentante de la CNIL nous assurait il y a encore quelques jours que l'institution ne donnerait probablement pas d'informations sur le contrôle engagé auprès de Trident Media Guard (TMG), il semble que la décision inverse ait finalement pris le pas. Dans un long communiqué, la CNIL explique :

Le président de la CNIL a mis en demeure, le 16 juin dernier, les sociétés de perception et de répartition des droits d’auteurs et leur sous-traitant, la société TMG pour insuffisance des mesures de sécurité. En effet, à la suite d’un contrôle effectué au sein de la société TMG, la CNIL a notamment constaté l’insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit "de réponse graduée". Les organismes mis en demeure ont trois mois pour assurer une parfaite sécurité de celui-ci.

Il ne s'agit bien entendu que d'une supposition, mais il semble bien que la riposte graduée soit au point mort depuis l'article de Reflets mettant en doute la sécurité informatique de TMG et de ses serveurs de test.

Pour une fois, la CNIL évoque, à mots couverts, il ne faut pas non plus pousser, l'article de la Loi Informatique et Libertés qui impose aux entreprises de mettre en place les mesures nécessaires à une bonne protection des données collectées :

[Le contrôle] a permis de constater la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG. _Surtout, le contrôle a permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG.__ C’est cette absence de sécurité satisfaisante qui est à l’origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D). Les contrôleurs ont ainsi relevé un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant  la bonne application de ces mesures._

On attend avec impatience les prochaines gadgetophrases de patrons d'entreprises prises en flagrant délit de non protection des données personnelles collectées sur des serveurs (de test, comme toujours).

Sur un plan juridique, Reflets serait intéressé par l'avis d'un avocat spécialisé, mais il semble très improbable qu'un juge condamne un internaute à une coupure d'Internet sur la base de données collectées par une entreprise qui s'est aussi bien distinguée dans le domaine de la sécurité informatique et dont les relevés sont tout de même légèrement sujets à caution.

Dans son communiqué,la CNIL assaisonne les ayants-droits qui sont considérés comme responsables des actes de leur sous-traitant de choc :

les SPRD restent responsables de la bonne application de la loi Informatique et Libertés au traitement mis en œuvre par leur sous-traitant. Ce sont elles qui ont obtenu une autorisation de la CNIL pour pouvoir mettre en œuvre ce dispositif.

Une lecture entre les lignes du communiqué de la CNIL laisse également entendre que TMG pourrait ne pas toujours être le prestataire retenu pour le flashage des internautes téléchargeurs :

Le président de la CNIL a donc mis en demeure ces sociétés, sous un délai de trois mois, de veiller à ce que le sous-traitant retenu dans le cadre du dispositif dit "de réponse graduée" présente des garanties suffisantes pour assurer la sécurité des données traitées. Ces sociétés devront également veiller au respect, par le sous-traitant retenu, des mesures de sécurité qui seront définies. 

Elle ne désigne pas TMG, comme si le nom du prestataire importait peu, et comme s'il pouvait changer.

Fidèle à a sa tradition de transparence, la CNIL souligne en fin de communiqué qu'elle ne dévoilera pas les aspects techniques liés à ce contrôle. On se doute que ce serait terrible...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée