a récente mise en demeure de la CNIL à l'attention de TMG et des sociétés qui lui sous-traitent la tâche d'identifier les contrevenants dans le cadre du dispositif de riposte graduée d'HADOPI, a été fort bien accueillie. Il faut dire que c'est une bonne surprise de la part d'une institution qui nous avait habitué à un silence assourdissant en matière de manquements aux obligations de protection des données personnelles.
Il apparaît donc que TMG n'a pas brillé lors de l'inspection réalisée par la CNIL suite à la publication d'une faille sur un de leurs serveurs, et de l'audit technique qui a suivi. Audit dont les conclusions ne seraient pas, et c'est un euphémisme, brillantes.
On peut certes se féliciter de voir la CNIL remplir son rôle en rappelant à l'ordre les représentants de ayant-droits de l'industrie audiovisuelle et leur sous-traitant. Tout comme on peut trouver intéressant de voir la SCPP se faire rappeler à l'ordre par l'HADOPI lorsque Marc Guez déclare en substance vouloir lui passer au-dessus la tête. C'est amusant, voire cocasse...
Ceci étant, quand on lit la mise en demeure de la CNIL, on découvre qu'à l'issue de son inspection et de l'audit technique, cette dernière a pu constater, et je cite, "la mauvaise application, par la société TMG, de la loi Informatique et Libertés". Or il me semble que c'est quelque chose de répréhensible et puni par le code pénal. On nous y explique plus exactement qu'on reproche à TMG "un manquement aux obligations relatives aux formalités préalables et une absence de durée de conservation pour certaines données à caractère personnel traitées", en plus de "la faiblesse des mesures de sécurité mises en œuvre" qui touche non seulement les traitements effectués pour le propre compte de la société mais également "pour le compte de ses clients dans le cadre du dispositif dit de réponse graduée". Ce sont ces manquements qui motivent la mise en demeure adressée à tout ce petit monde de revoir la copie pour se mettre en conformité avec la loi dans un délai de trois mois.
Je ne peux que difficilement me retenir d'aller regarder ce que nous dit le code pénal au sujet des manquements en question :
- pour le premier, l'article 226-16 du code pénal nous indique que "le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende" ;
- au sujet du second, l'article 226-20 nous dit que "le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende" ;
- enfin, l'article 226-17 nous apprend, en ce qui concerne le troisième, que "le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende".
Le célèbre article 34 en question étant évidemment celui qui impose de "prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".
Du coup, je trouve ça assez sympathique de la part de la CNIL de se contenter d'une mise en demeure face à ces trois violations de la législation en vigueur. Qui plus est sur un sujet, la sécurité du système de traitement des données personnelles par les exécutants du dispositif HADOPI, qui a été maintes fois discuté et commenté dans les mois qui ont précédé et même suivi le vote de la loi. Des violations qui sont toutes punies d'une peine pouvant aller jusqu'à cinq ans d'emprisonnement et trois cent mille euros d'amende. Bref, la SCPP et TMG s'en sortent plutôt bien de ce côté là, avec ce qui doit être une application de l'effet pédagogique de la riposte graduée au manquement aux obligations de protection des données personnelles...
Sauf que pendant ce temps, la machine ne s'arrête pas. Ainsi, Robert, 54 ans, va se rendre à Paris pour répondre à une convocation de l'HADOPI pour des téléchargements qu'il dit ne pas avoir effectués. Il risque 1500EUR d'amende et la suspension de son abonnement. Que quelqu'un se déclare innocent dans un tel cas n'a rien d'exceptionnel. Ce n'est pas le premier, ça ne sera pas le dernier non plus.
Ce qui est plus choquant à mon sens, c'est qu'on condamne des gens sur la base d'éléments produits par une société dont le système informatique a été publiquement reconnu vulnérable et, surtout, ne respectant les obligations légales en vigueur.
Tout ceci étant dit, je concède que ça fait quand même plaisir de voir la CNIL rentrer enfin dans le lard de quelqu'un... Même avec des gants...