Par contre, le doute subsiste encore quant à la destination de ces données. La société TMG a tenu à expliquer au site ITespresso que : « ces données proviennent d'un serveur de tests de la société dédié à son équipe de R&D. A aucun moment, les infrastructures utilisées par TMG dans le cadre de ses opérations n'ont été impactées, en particulier la plate-forme dédiée à la collecte d'infractions sur les réseaux P2P pour le compte des ayants-droits dans le cadre de la loi Hadopi ».
Selon TMG, aucune donnée personnelle ou nominative n'aurait donc « fuité ». Pourtant, le blogueur Bluetouff insiste. Dans une nouvelle note publiée sur son blog, il précise : « On peut aisément concevoir que le serveur qui offrait aux 4 vents certaines données était un serveur de test. Sauf que voilà, les IP diffusées et liées à des œuvres, n'étaient pas, elles, des IP d'internautes de test. On peut épiloguer un petit moment sur l'opportunité de procéder à des tests sur des échantillons d'internautes bien réels, mais ça c'est le travail de la Cnil ».
La Cnil a donc annoncé qu'elle se rendait sur place, dans les locaux de TMG afin de savoir quelles sont les données recueillies.
Pour rappel, afin d'être habilités à envoyer les premiers e-mails dans le cadre de la riposte graduée, les 4 ayants droits (SCPP, la SPPF, la SACEM et la SDRM) avaient demandé à la Cnil l'autorisation de prélever les adresses IP des internautes. La Cnil a avait alors autorisé la collecte tout en émettant quelques réserves.
Par exemple, la Cnil regrettait à l'époque que les « premières étapes de la riposte graduée (envoi d'email et de lettre recommandée) reposent donc uniquement sur la collecte opérée par le système de TMG. Votre rapporteur considère qu'il serait préférable que le système de collecte soit homologué par un tiers de confiance ». Cette fois, la Cnil ira donc faire des vérifications par elle-même.