En mai 2024, le Parlement europen a rvl une importante violation de donnes concernant sa plateforme de recrutement, exposant les donnes personnelles de plus de 8 000 membres du personnel. Des informations sensibles telles que des cartes d’identit, des casiers judiciaires et mme des certificats de mariage ont t compromises. Bien que la faille se soit produite plusieurs mois auparavant, le Parlement ne semble toujours pas en connatre la cause. Face cette situation, NOYB a dpos deux plaintes auprs du Contrleur europen de la protection des donnes (CEPD), citant des violations du RGPD, et a suggr que le CEPD impose des sanctions appropries pour prvenir de futurs manquements.
NOYB utilise les meilleures pratiques des groupes de dfense des droits des consommateurs, des militants de la protection de la vie prive, des pirates informatiques et des initiatives de technologie juridique et les fusionne en une plateforme europenne stable d’application de la loi. Avec les nombreuses possibilits d’application du rglement europen sur la protection des donnes (RGPD), NOYB est en mesure de soumettre des cas de protection de la vie prive d’une manire beaucoup plus efficace qu’auparavant. En outre, NOYB suit l’ide de litiges cibls et stratgiques afin de renforcer votre droit la vie prive. NOYB aura galement recours des initiatives de relations publiques et mdiatiques pour souligner et garantir votre droit la vie prive sans avoir aller devant les tribunaux. En fin de compte, NOYB est conu pour unir ses forces avec les organisations, les ressources et les structures existantes afin de maximiser l’impact du GDPR, tout en vitant les structures parallles.
Au dbut du mois de mai 2024, le Parlement europen a inform son personnel d’une violation massive de donnes dans la plateforme de recrutement de l’institution (appele PEOPLE ). La faille a affect les donnes personnelles de plus de 8 000 membres du personnel. Il s’agissait de cartes d’identit et de passeports, d’extraits de casier judiciaire, de documents de rsidence et mme de donnes sensibles telles que des certificats de mariage qui rvlent l’orientation sexuelle d’une personne. Le Parlement n’a dcouvert la faille que plusieurs mois aprs qu’elle se soit produite et ne semble toujours pas en connatre la cause. Cette situation est d’autant plus proccupante que le Parlement est conscient depuis longtemps des vulnrabilits de son systme de cyberscurit.
Les institutions europennes figurent naturellement en bonne place sur la liste des pirates informatiques et des adversaires trangers. NOYB a donc dpos deux plaintes auprs du CEPD au nom de quatre employs du Parlement.
Les donnes de tous les candidats en un seul endroit
Avant de pouvoir postuler un emploi au Parlement europen, il faut s’inscrire sur sa plateforme de recrutement PEOPLE. Les candidats fournissent alors l’institution une multitude de donnes personnelles. Il s’agit de cartes d’identit et de passeports, de documents de rsidence et d’ducation, mais aussi de donnes sensibles telles que des extraits de casier judiciaire et des actes de mariage qui peuvent rvler l’orientation sexuelle. Il est donc d’autant plus important que le Parlement europen prenne des mesures de scurit appropries pour protger ces donnes contre l’accs par des tiers.
Des milliers de personnes touches par une violation de donnes
Le 26 avril 2024, le Parlement europen a inform le Contrleur europen de la protection des donnes (CEPD) d’une violation massive de donnes au sein de PEOPLE, affectant plus de 8 000 employs actuels et anciens. On ne sait toujours pas quand et comment la violation de donnes s’est produite, mais les personnes concernes ont t informes que tous les documents qu’elles ont tlchargs sur PEOPLE ont t compromis. Le 31 mai, le Parlement a conseill aux personnes concernes de remplacer leur carte d’identit et leur passeport par mesure de prcaution et leur a propos de les rembourser. Au moment o la plainte est dpose, on ne sait toujours pas pendant combien de temps les attaquants ont pu accder aux donnes personnelles des demandeurs.
Lorea Mendiguren, avocate spcialise dans la protection des donnes chez NOYB :
Cette violation survient aprs des incidents de cyberscurit rpts dans les institutions de l’UE au cours de l’anne coule. Le Parlement a l’obligation de garantir des mesures de scurit appropries, tant donn que ses employs sont susceptibles d’tre la cible d’acteurs malveillants.
Vulnrabilits connues en matire de cyberscurit
Cet incident est particulirement inquitant, car le Parlement est depuis longtemps conscient de ses faiblesses en matire de cyberscurit : En novembre 2023, le service informatique du Parlement a procd un examen de la cyberscurit et a conclu que la cyberscurit de l’institution ne rpondait pas encore aux normes de l’industrie et que les mesures existantes n’taient pas totalement adaptes au niveau de menace pos par les pirates informatiques parrains par l’tat. De plus, la faille de PEOPLE s’est produite en mme temps qu’un certain nombre d’autres cyberattaques contre des institutions de l’UE. Des groupes de pirates russes ont attaqu le site web du Parlement en novembre 2022 et de nombreux gouvernements europens l’automne 2023. En fvrier 2024, le Parlement a subi une autre violation au sein de sa sous-commission de la scurit et de la dfense, lorsque deux dputs et un membre du personnel ont trouv un logiciel espion isralien sur leurs appareils.
Max Schrems, prsident de NOYB :
En tant que citoyen europen, il est inquitant de constater que les institutions europennes sont toujours aussi vulnrables aux attaques. Le fait que de telles informations circulent n’est pas seulement effrayant pour les personnes concernes, mais elles peuvent galement tre utilises pour influencer les dcisions dmocratiques.
Beaucoup plus de donnes que ncessaire
La violation de donnes rvle galement que le Parlement ne respecte pas les exigences du RGPD en matire de minimisation et de conservation des donnes. L’article 4, paragraphe 1, point c), du RGPD exige que les institutions de l’UE ne traitent que des donnes adquates, pertinentes et limites ce qui est ncessaire au regard des finalits pour lesquelles elles sont traites . Pourtant, la priode de conservation des dossiers de recrutement du Parlement europen est de 10 ans. Cette situation est d’autant plus proccupante que ces dossiers contiennent galement des donnes sensibles spcialement protges en vertu de l’article 9, qui peuvent rvler l’appartenance ethnique, les opinions politiques, les croyances religieuses ou l’orientation sexuelle d’une personne. Dans le cas prsent, une plaignante a tlcharg une copie de son acte de mariage sur le portail. Cela a permis de dterminer son orientation sexuelle.
Max Schrems, prsident de NOYB :
La violation montre galement que le simple fait de se dbarrasser temps des donnes personnelles aurait probablement pu limiter l’impact de la violation.
Deux plaintes auprs du CEPD
NOYB a dpos deux plaintes auprs du Contrleur europen de la protection des donnes (CEPD) au nom des employs. Le CEPD est l’autorit responsable des violations de la protection des donnes par les institutions europennes. Le Parlement europen semble avoir enfreint les articles 4(1)(c) et (f) et 33(1) du RGPD de l’UE. En outre, dans le cas d’un plaignant, le Parlement a refus une demande d’effacement faite aprs la violation, citant la priode de conservation de 10 ans, en dpit des proccupations de l’auteur de la plainte compte tenu de la violation et du fait qu’il n’avait pas travaill dans cette institution depuis plusieurs annes. NOYB a demand au CEPD d’utiliser ses pouvoirs correctifs pour ordonner au Parlement de mettre son traitement en conformit. En outre, NOYB a suggr que le CEPD impose une amende administrative approprie afin d’viter que des violations similaires ne se reproduisent l’avenir.
Source : NOYB
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous cette dmarche de NOYB crdible ou pertinente ?
Voir aussi :