L’Hadopi remise en cause par une mise en demeure de la CNIL (MàJ)

4

Une parade à la riposte graduée ?

Suite à une importante brèche de sécurité ayant touché le prestataire technique de l’Hadopi (TMG), la CNIL a décidé de prononcer une mise en demeure, à l’encontre du dit prestataire et des principaux ayants-droits.

La CNIL (Commission nationale informatique et libertés) a décidé de frapper durement le centre névralgique de l’Hadopi. Une mise en demeure, prononcée le 16 juin dernier et rendue publique ce jour, vient ainsi toucher de plein fouet le prestataire technique nantais TMG (Trident Media Guard) ainsi que les organismes de représentation des ayants-droits, agissant en qualité de commanditaires (la SCPP, la SACEM, la SDRM, la SPPF et l’ALPA).

Le contrôle effectué par la CNIL au sein de TMG a mis en évidence « l’insuffisance des mesures de sécurité » déployées dans le cadre des relevés d’adresses IP, utilisés par l’Hadopi dans le cadre de la riposte graduée. Dans un communiqué, la CNIL met gravement en cause la société nantaise, accusée de négligence sécuritaire et de violation des règles établies par la Commission :

« Un contrôle a été effectué par la CNIL les 17 et 18 mai 2011 à Saint-Sébastien-sur-Loire, dans les locaux de TMG. Il a permis de constater la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG.

Surtout, le contrôle a permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG.

C’est cette absence de sécurité satisfaisante qui est à l’origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D). Les contrôleurs ont ainsi relevé un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures. »

Ce défaut manifeste de sécurisation des données avait été mis en avant par le blogueur Bluetouff, avant de faire l’objet d’une enquête approfondie de la part de la CNIL.

TMG devra désormais répondre de ses actes : « au vu de ces manquements, le président de la CNIL a mis en demeure la société TMG, sous un délai de trois mois, de pallier les lacunes constatées et de respecter l’ensemble des dispositions de la loi « Informatique et Libertés » ».

Les ayants-droits, ayant sous-traité auprès de la société TMG, sont également responsables et sont donc aussi touchés par la mise en demeure de la CNIL. Ils disposent d’un délai de trois mois pour veiller à ce que leur sous-traitant respecte ses engagements aux yeux de la loi, et propose un niveau de sécurité raisonnable, au regard des données traitées.

C’est un coup dur supplémentaire pour le processus de riposte graduée. Et déjà, les questions se multiplient : le processus d’envoi de mails et de courriers recommandés, actuellement maintenu par l’Hadopi, doit-il se poursuivre ? Au vu des défauts de sécurisation mis en avant par la CNIL, les relevés effectués jusqu’à présent sont-ils toujours juridiquement valables ?

Un flou artistique s’installe ; le doute est désormais permis sur la légitimité des avertissements émis par l’Hadopi… affaire à suivre !


Mise à jour (18h10) :

La CNIL vient d’indiquer, dans une précision publiée sur son site web, que le faille mise en évidence lors de son contrôle chez TMG « n’affectait pas les serveurs utilisés dans le cadre de la réponse graduée ». Ce sont les mesures de sécurité prises par le prestataire, vis-à-vis de ses données d’une manière générale, qui ont été estimées insuffisantes.

Pour le moment, si l’interconnexion entre TMG et la Commission de protection des droits de l’Hadopi reste suspendue, la fiabilité des données précédemment récoltées ne semble pas remise en cause. Et le processus de riposte graduée devrait donc se poursuivre tant que le stock de relevés d’adresses IP fourni à la Commission de protection des droits n’est pas épuisé…

Source : CNIL

via Numerama

Partager

A propos de l'auteur

[Responsable de la rédaction]
Sévit également sur Café Gaming et Point de vue social.

4 commentaires

  1. Remise en cause? Malheureusement je n'y croit pas à la lecture du post suivant: Loi Hadopi : des dommages et intérêts sans possibilité de se défendre http://www.itespresso.fr/loi-hadopi-des-dommages-et-interets-sans-possibilite-de-se-defendre-44150.html

  2. Le pire c'est que sur la sécurité en soit, la CNIL est loin d'être l'organisme de référence ! Pourquoi dans le domaine des jeux en ligne, on a demandé aux opérateurs de faire valider toute la chaîne de ce qu'ils mettaient en place, avec un cahier des charges de sécurisation hyper précis, une qualification CSPN des produits qu'ils utilisent, mais pour quelque chose d'aussi sensible TMG fait juste n'importe quoi. Si c'était l'ANSSI (Agence nationale de la sécurité des systèmes d’information) qui était passé les auditer, je pense qu'ils auraient passé un des ces quarts d'heure en comparaisons duquel la revue par la CNIL a juste été une rigolade (et à mon sens, il aurait dû être indispensable que leurs outils soient audités sous le contrôle de l'ANSSI avant même qu'ils soient opérationnels). Pour comparer par exemple, le radar automatique qui vous flashe n'est légal que parce qu'il est homologué et régulièrement contrôlé. Ici, c'est comme si vous étiez flashé par un appareil qui n'a jamais été certifié de manière indépendante, ni contrôlé. Même sans remettre en cause le fond, la manière de faire de l'Hadopi pour constater les infractions est indéfendable.

  3. wiki a écrit :
    La CNIL est une autorité administrative indépendante française. elle est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques
    wiki a écrit :
    Trident Media Guard (TMG) est une société française spécialisée dans le contrôle d'échange entre utilisateurs d'internet Elle vise à « fournir un service aux grandes sociétés ». Elle a été choisie pour relever les infractions au droit d'auteur sur Internet. Elle a pour mission de relever les adresses IP procédant à un téléchargement illicite, puis d'envoyer ces informations à la Haute Autorité. Depuis le début du mois d'avril 2010, TMG a mis en ligne 6 serveurs chargés de recueillir des informations sur les échanges de données utilisant des protocoles peer-to-peer. Trident Media Guard & Thierry Lhermitte ont reçu conjointement le prix Orwell Mention spéciale internet lors des Big Brother Awards 2010.
    Qui sera le plus fort entre celui chargé de protéger les gens et celui chargé de les espionner ???

  4. C'est fort tu te fait contrôler par hadopi et tes données perso se retouvent un peu partout sur le net car ils ont pas protégées leurs stocks de données....

  5. Réagir sur le forum