[b]Dispositif de "réponse graduée" : la CNIL met en demeure les sociétés de perception et de répartition des droits d’auteurs et leur sous-traitant, TMG 06 juillet 2011[/b]Le président de la CNIL a mis en demeure, le 16 juin dernier, les sociétés de perception et de répartition des droits d’auteurs et leur sous-traitant, la société TMG pour insuffisance des mesures de sécurité. En effet, à la suite d’un contrôle effectué au sein de la société TMG, la CNIL a notamment constaté l’insuffisance des mesures de sécurité entourant le traitement mis en œuvre dans le cadre du dispositif dit « de réponse graduée ». Les organismes mis en demeure ont trois mois pour assurer une parfaite sécurité de celui-ci.
La Commission nationale de l’informatique et des libertés a été informée, le 16 mai 2011, de l’existence d’une faille de sécurité qui affecterait un des serveurs informatiques de la société TRIDENT MEDIA GUARD (TMG). La société TMG est le sous-traitant de la SCPP, de la SACEM, de la SDRM, de la SPPF et de l’ALPA, qui sont des sociétés de perception et de répartition des droits d’auteur (SPRD). Ces sociétés interviennent dans le cadre du dispositif dit « de réponse graduée » visant à lutter contre le téléchargement illégal sur internet.
Un contrôle a été effectué par la CNIL les 17 et 18 mai 2011 à Saint-Sébastien-sur-Loire, dans les locaux de TMG. Il a permis de constater la mauvaise application, par la société TMG, de la loi Informatique et Libertés à ses propres traitements. Il a ainsi été constaté un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées par TMG.
Surtout, le contrôle a permis de constater la faiblesse des mesures de sécurité mises en œuvre par TMG.
C’est cette absence de sécurité satisfaisante qui est à l’origine de la faille de sécurité présentée par un de ses serveurs informatiques dédiés aux opérations de recherche et développement (R&D). Les contrôleurs ont ainsi relevé un certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures.
Au vu de ces manquements, le président de la CNIL a mis en demeure la société TMG, sous un délai de trois mois, de pallier les lacunes constatées et de respecter l’ensemble des dispositions de la loi « Informatique et Libertés ».
Lors du contrôle, la CNIL a constaté que les insuffisances des mesures de sécurité n’affectaient pas seulement les traitements mis en œuvre par TMG, pour son compte, mais aussi les traitements mis en œuvre pour le compte de ses clients – les SPRD – dans le cadre du dispositif dit « de réponse graduée ».
En effet, les SPRD ont confié par contrat à la société TMG les opérations de détection des échanges illégaux de contenus protégés par un droit d’auteur ou un droit voisin sur les réseaux « pee-to-peer ». Ce traitement concerne environ 25 000 adresses IP (« internet protocol ») par jour.
Néanmoins, les SPRD restent responsables de la bonne application de la loi Informatique et Libertés au traitement mis en œuvre par leur sous-traitant. Ce sont elles qui ont obtenu une autorisation de la CNIL pour pouvoir mettre en œuvre ce dispositif.
Le président de la CNIL a donc mis en demeure ces sociétés, sous un délai de trois mois, de veiller à ce que le sous-traitant retenu dans le cadre du dispositif dit « de réponse graduée » présente des garanties suffisantes pour assurer la sécurité des données traitées. Ces sociétés devront également veiller au respect, par le sous-traitant retenu, des mesures de sécurité qui seront définies.
La CNIL a décidé, au regard des éléments techniques contenus dans ces mises en demeure, de ne pas les rendre publiques. Pour autant, elle juge utile d’informer le public de son action.