La Cnil dénonce la sécurité de la riposte graduée

INTERNET La Commission nationale de l'informatique et des libertés a mis en demeure les ayants droit et leur prestataire TMG. Ils ont trois mois pour sécuriser le mécanisme de collecte des adresses IP qui a été touché par une faille...

S. C.

— 

Le nouveau logo d'Hadopi, dévoilé le 3 mai 2010
Le nouveau logo d'Hadopi, dévoilé le 3 mai 2010 — DR

Nouveau coup dur pour la riposte graduée. La Cnil n’a franchement pas apprécié la bourde de la société nantaise TMG, chargée par les ayants droit de collecter les adresses IP des internautes pris en flagrant délit de téléchargement illégal. En mai dernier, elle avait ainsi divulgué par erreur des milliers de fichiers confidentiels car un serveur s’est retrouvé sans protection pendant plusieurs heures.

«Mauvais application de la loi» et «manque de rigueur»

Une faille de sécurité suffisamment importante pour que la Cnil ouvre une enquête au terme de laquelle elle a décidé de mettre en demeure la société et les ayants droits.

La Cnil a mené un contrôle dans les locaux de TMG, les 17 et 18 mai dernier, et a constaté «la mauvaise application de la loi Informatique et Libertés à ses propres traitements». En cause, notamment, «une absence de durée de conservation pour certaines données à caractère personnel». Plus grave, «le contrôle a permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG», déplore la Cnil. «C'est cette absence de sécurité satisfaisante qui est à l'origine de la faille de sécurité», écrit la Commission dans un communiqué publié mercredi soir. Si elle ne donne pas de détail, elle évoque toutefois «un manque de rigueur dans la mise à jour des équipements informatiques».

Résultat les ayants droit et TMG ont trois mois pour rectifier le tir et «veiller à ce que le sous-traitant retenu dans le cadre du dispositif dit ‘de réponse graduée' présente des garanties suffisantes pour assurer la sécurité des données traitées», écrit la Cnil. «Ces sociétés devront également veiller au respect, par le sous-traitant retenu, des mesures de sécurité qui seront définies.» Une rigueur nécessaire alors que la Cnil précise que TMG traite 25.000 IP par jour.