Le message est court et discret, deux petits paragraphes seulement. Vendredi dernier, 16 novembre 2012, la Cnil a décidé de clore la mise en demeure adressée 17 mois auparavant, le 16 juin 2011, aux sociétés de perception et de répartition des droits d’auteurs (SPRD). A l’époque, des adresses IP surveillés dans le cadre de la loi Hadopi s’étaient retrouvées dans la nature, révélant une faille de sécurité dans le système de TMG, le prestataire technique chargé par les SPRD de repérer les pirates. Dans un communiqué, la Cnil précisait que « ce traitement concerne environ 25 000 adresses IP par jour ».
L’affaire avait fait grand bruit. La Hadopi a d’ailleurs décidé de suspendre son interconnexion avec TMG. De son côté, la Cnil a mis en demeure TMG et les SPRD, avant de procéder dans la foulée à des contrôles sur le site du prestataire, constatant « la faiblesse des mesures de sécurité mises en œuvre » dans le cadre du dispositif Réponse graduée. Mais assez rapidement, le dossier TMG s’est refermé. Les procédures mises en œuvre par la société ont été jugées « satisfaisantes » de sorte que la Cnil décide de clore la mise en demeure, sans prendre aucune sanction.
Tout va bien !
Pour autant, l’affaire n’était pas terminée. Il restait la mise en demeure adressée aux SPRD qui étaient, en réalité, les vraies responsables au regard de la Cnil. Ces SPRD sont au nombre de cinq : SCPP, Sacem, SDRM, SPPF et Alpa. C’est à eux de s’assurer que le dispositif « Réponse graduée » respecte bien la loi Informatique et liberté, en réalisant par exemple des contrôles et des audits de risques auprès de TMG et de leurs systèmes d’information.
C’est cette procédure qui vient maintenant de se terminer. La Cnil explique que « de nombreuses mesures correctives ont permis d’assurer le conformité du traitement. Les SPRD ont en effet détaillé les procédures mises en œuvre pour améliorer la sécurité de leur système d’information ». Une « vérification sur place par une délégation de la Commission » a même été réalisée. Bref, circulez, il n’y a plus rien à voir.
Initialement, la mise en demeure était exprimée « sous un délai de trois mois ». La procédure aura finalement prise plus d’un an, sans que l’on sache vraiment pourquoi. Et en définitive, aucune sanction n’aura été prise contre tous ces acteurs, alors qu’il y a eu réellement une fuite de données pour un dispositif informatique à caractère coercitif et qui implique le grand public. C’est un peu léger, non ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.