Sécurité - La Cnil a livré les conclusions du contrôle réalisé en mai chez TMG, prestataire chargé de relever les IP pour le compte des ayants droits. Le constat est sévère : de multiples manquements en matière de sécurité et de respect de la loi informatique et libertés.

Mandatée pour collecter les adresses IP des internautes téléchargeant illégalement sur les réseaux P2P, Trident Media Guard (TMG) est reconnu comme l'auteur de négligences caractérisées de sécurité. C'est en tout cas ce qui ressort du contrôle effectué en mai par la Cnil.

Pour rappel, ce contrôle avait été déclenché les 17 et 18 mai après la divulgation d'une faille de sécurité. Un des serveurs de TMG avait été mis en ligne, sans aucune protection. Et les conclusions de la Cnil, dont une synthèse a été mise en ligne sur son site, sont cinglantes pour TMG et les sociétés de perceptions des droits d'auteurs.

Absence de durée de conservation pour certaines données personnelles

L'autorité française a en effet décidé d'une mise en demeure de ces derniers. Motif : l'insuffisance des mesures de sécurité. La Cnil relève ainsi divers manquements aux obligations de sécurité, jugés incompatibles avec l'activité de TMG.

Sont cités le « manque de rigueur dans la mise à jour des équipements informatiques », des « mesures de sécurité physique défaillantes », mais aussi l'absence « de procédure formalisée garantissant la bonne application de ces mesures. »

Ces insuffisances en matière de sécurité concernent non seulement les traitements mis en œuvre par TMG pour son compte, mais également, ajoute la Cnil, ceux effectués pour le compte de ses clients dans le cadre de la riposte graduée.

Toutefois, la Cnil a aussi constaté durant son contrôle une mauvaise application de la loi Informatique et Libertés. Est reproché à la société nantaise un manquement « aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel. »

Hadopi et ayants droit n'avaient jamais mené d'audit

En conséquence, TMG a trois mois pour se mettre en conformité. Mais la mise en demeure concerne également les représentants des ayants droit (SACEM, SDRM, SPPF et ALPA). En effet, ces sociétés sont « responsables de la bonne application de la loi » et de la mise en œuvre par leur sous-traitant.

Les SPRD ont donc trois mois elles aussi pour s'assurer que TMG présente des garanties de sécurité suffisantes. Mais elles devront aussi à l'avenir veiller au respect par leur prestataire des mesures de sécurité définies.

Or, cette obligation de contrôle de TMG n'avait été appliquée ni par les ayants droit ni par la Hadopi. La haute autorité promettait pourtant des audits dès septembre 2010. La SCPP, cliente donc de TMG, reconnaissait en mai 2011, sur PC Inpact, qu'aucun contrôle n'avait été mené depuis la mise en production de la riposte graduée.