Une parade à la riposte graduée ?
Suite à une importante brèche de sécurité ayant touché le prestataire technique de l’Hadopi (TMG), la CNIL a décidé de prononcer une mise en demeure, à l’encontre du dit prestataire et des principaux ayants-droits.
La CNIL (Commission nationale informatique et libertés) a décidé de frapper durement le centre névralgique de l’Hadopi. Une mise en demeure, prononcée le 16 juin dernier et rendue publique ce jour, vient ainsi toucher de plein fouet le prestataire technique nantais TMG (Trident Media Guard) ainsi que les organismes de représentation des ayants-droits, agissant en qualité de commanditaires (la SCPP, la SACEM, la SDRM, la SPPF et l’ALPA).
Le contrôle effectué par la CNIL au sein de TMG a mis en évidence « l’insuffisance des mesures de sécurité » déployées dans le cadre des relevés d’adresses IP, utilisés par l’Hadopi dans le cadre de la riposte graduée. Dans un communiqué, la CNIL met gravement en cause la société nantaise, accusée de négligence sécuritaire et de violation des règles établies par la Commission :
« Un contrôle a été effectué par la CNIL les 17 et 18 mai 2011 à Saint-Sébastien-sur-Loire, dans les locaux de TMG. Il a permis de constater la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG.
Surtout, le contrôle a permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG.
C’est cette absence de sécurité satisfaisante qui est à l’origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D). Les contrôleurs ont ainsi relevé un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures. »
Ce défaut manifeste de sécurisation des données avait été mis en avant par le blogueur Bluetouff, avant de faire l’objet d’une enquête approfondie de la part de la CNIL.
TMG devra désormais répondre de ses actes : « au vu de ces manquements, le président de la CNIL a mis en demeure la société TMG, sous un délai de trois mois, de pallier les lacunes constatées et de respecter l’ensemble des dispositions de la loi « Informatique et Libertés » ».
Les ayants-droits, ayant sous-traité auprès de la société TMG, sont également responsables et sont donc aussi touchés par la mise en demeure de la CNIL. Ils disposent d’un délai de trois mois pour veiller à ce que leur sous-traitant respecte ses engagements aux yeux de la loi, et propose un niveau de sécurité raisonnable, au regard des données traitées.
C’est un coup dur supplémentaire pour le processus de riposte graduée. Et déjà, les questions se multiplient : le processus d’envoi de mails et de courriers recommandés, actuellement maintenu par l’Hadopi, doit-il se poursuivre ? Au vu des défauts de sécurisation mis en avant par la CNIL, les relevés effectués jusqu’à présent sont-ils toujours juridiquement valables ?
Un flou artistique s’installe ; le doute est désormais permis sur la légitimité des avertissements émis par l’Hadopi… affaire à suivre !
Mise à jour (18h10) :
La CNIL vient d’indiquer, dans une précision publiée sur son site web, que le faille mise en évidence lors de son contrôle chez TMG « n’affectait pas les serveurs utilisés dans le cadre de la réponse graduée ». Ce sont les mesures de sécurité prises par le prestataire, vis-à-vis de ses données d’une manière générale, qui ont été estimées insuffisantes.
Pour le moment, si l’interconnexion entre TMG et la Commission de protection des droits de l’Hadopi reste suspendue, la fiabilité des données précédemment récoltées ne semble pas remise en cause. Et le processus de riposte graduée devrait donc se poursuivre tant que le stock de relevés d’adresses IP fourni à la Commission de protection des droits n’est pas épuisé…