La Cnil constate l’insuffisance de la sécurité de TMG (màj)

Suite à la découverte d'adresses IP sur un de ses serveurs, TMG, le prestataire agissant pour les ayants-droit dans le cadre de la lutte contre le téléchargement illégal, la Cnil avait été saisie. Elle constate désormais « l'insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit de réponse graduée ».

La Commission informatiques et Libertés vient de donner sa position sur l'affaire des adresses IP retrouvées sur l'un des serveurs de TMG. Dans un communiqué, elle explique que TMG n'aurait pas mis en place de mesures suffisantes afin de protéger les données qu'elle recueille dans le cadre de la lutte contre le téléchargement illégal.

Suite à la publication de ces informations, la Cnil avait fait une visite auprès de TMG. Elle livre, cette fois ses conclusions en constatant « la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG ».

Pour rappel, la société TMG (Trident Media Guard) est la seule société habilitée par la Cnil à collecter les adresses IP des internautes qui téléchargent illégalement du contenu protégé sur les réseaux P2P. En mai dernier, le site Reflets montrait qu'un serveur appartenant à la société nantaise TMG n'aurait pas été suffisamment sécurisé et laissait apparaître des informations comme des adresses IP pouvant appartenir à des internautes français.

La Cnil va plus loin en établissant un lien direct entre les découvertes du blogueur et le manque de sécurité : « C'est cette absence de sécurité satisfaisante qui est à l'origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D). Les contrôleurs ont ainsi relevé un certain nombre de manquements aux obligations de sécurité, incompatibles avec l'activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures ».

Enfin, contrairement à la ligne de défense de TMG qui ne parlait que des serveurs « test », la Cnil estime également que ces serveurs étaient bien utilisés pour le compte d'ayants-droit (SDRM, SPPF, ALPA) dans le cadre de la riposte graduée, et dont l'Hadopi utilise les données recueillies.

Mises en demeure, les sociétés ayant mandaté TMG pour agir dans le cadre de la riposte graduée ont désormais trois mois pour « assurer une parfaite sécurité » précise la Cnil.

Mise à jour : Dans un nouveau communiqué, la Cnil revient quelque peu sur se déclarations et tient à préciser que « le contrôle de la CNIL a permis de constater que la faille de sécurité révélée n'affectait pas les serveurs utilisés dans le cadre de la réponse graduée ».

Elle précise qu' « en revanche, il a permis de relever que les mesures de sécurité prises par TMG en tant que sous-traitant des sociétés de droits d'auteur, responsables de traitement, ne sont pas suffisantes au regard de la nature des données et des risques présentés par le traitement ».

Version initiale publiée à 16h06.