Au début du mois de mai 2024, le Parlement européen a informé son personnel d'une violation massive de données dans la plateforme de recrutement de l'institution (appelée "PEOPLE"). La faille a affecté les données personnelles de plus de 8 000 membres du personnel. Il s'agissait de cartes d'identité et de passeports, d'extraits de casier judiciaire, de documents de résidence et même de données sensibles telles que des certificats de mariage qui révèlent l'orientation sexuelle d'une personne. Le Parlement n'a découvert la faille que plusieurs mois après qu'elle se soit produite et ne semble toujours pas en connaître la cause. Cette situation est d'autant plus préoccupante que le Parlement est conscient depuis longtemps des vulnérabilités de son système de cybersécurité. Les institutions européennes figurent naturellement en bonne place sur la liste des pirates informatiques et des adversaires étrangers. noyb a déposé deux plaintes auprès du Contrôleur européen de la protection des données au nom de quatre employés du Parlement.
Les données de tous les candidats en un seul endroit. Avant de pouvoir postuler à un emploi au Parlement européen, vous devez vous inscrire sur sa plateforme de recrutement PEOPLE. Là, les candidats fournissent à l'institution une foule de données personnelles. Il s'agit de cartes d'identité et de passeports, de documents de résidence et d'éducation, mais aussi de données sensibles telles que des extraits de casier judiciaire et des actes de mariage qui peuvent révéler votre orientation sexuelle. Il est donc d'autant plus important que le Parlement européen prenne des mesures de sécurité appropriées pour protéger ces données contre l'accès par des tiers.
Des milliers de personnes touchées par une violation de données. Le 26 avril 2024, le Parlement européen a informé le Contrôleur européen de la protection des données (CEPD) d'une violation massive de données au sein de PEOPLE, affectant plus de 8 000 employés actuels et anciens. On ne sait toujours pas quand et comment la violation de données s'est produite, mais les personnes affectées ont été informées que chaque document qu'ils avaient téléchargés sur PEOPLE avait été compromis. Le 31 mai, le Parlement a conseillé aux personnes concernées de remplacer leur carte d'identité et leur passeport par mesure de précaution et a proposé de leur rembourser les frais. Au moment où nous déposons cette plainte, nous ne savons toujours pas pendant combien de temps les attaquants ont pu accéder aux données personnelles des demandeurs.
Lorea Mendiguren, avocate spécialisée dans la protection des données au sein de l'organisation noyb: "Cette violation survient après des incidents de cybersécurité répétés dans les institutions de l'UE au cours de l'année écoulée. Le Parlement a l'obligation de garantir des mesures de sécurité appropriées, étant donné que ses employés sont susceptibles d'être la cible d'acteurs malveillants."
Vulnérabilités connues en matière de cybersécurité. Cet incident est particulièrement inquiétant, car le Parlement est depuis longtemps conscient de ses vulnérabilités en matière de cybersécurité : En novembre 2023, le service informatique du Parlement a effectué un examen de la cybersécurité - et a conclu que la cybersécurité de l'institution "n'avait pas encore atteint les normes de l'industrie et que les mesures existantes n'étaient "n'étaient pas totalement adaptées au niveau de menace que représentent les pirates informatiques parrainés par l'État. En outre, la faille du PEOPLE s'est produite en même temps qu'un certain nombre d'autres cyberattaques contre des institutions européennes. Des groupes de pirates russes ont attaqué le site web du Parlement en novembre 2022 et de nombreux gouvernements européens à l'automne 2023. En février 2024, le Parlement a subi une autre violation au sein de sa sous-commission de la sécurité et de la défense, lorsque deux députés et un membre du personnel ont trouvé un logiciel espion israélien sur leurs appareils.
Max Schrems, président du noyb: "En tant que citoyen européen, il est inquiétant de constater que les institutions européennes sont toujours aussi vulnérables aux attaques. Le fait que de telles informations circulent n'est pas seulement effrayant pour les personnes concernées, mais elles peuvent également être utilisées pour influencer les décisions démocratiques."
Beaucoup plus de données que nécessaire. La violation de données révèle également que le Parlement ne respecte pas les exigences du GDPR en matière de minimisation et de conservation des données. Article 4, paragraphe 1, point c) GDPR DE L'UE exige que les institutions de l'UE ne traitent que les données qui sont "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées". Pourtant, la période de conservation des dossiers de recrutement du Parlement européen est de 10 ans. Cette situation est d'autant plus préoccupante que ces dossiers contiennent également des données sensibles spécialement protégées en vertu de l'article 9, qui peuvent révéler l'appartenance ethnique, les opinions politiques, les croyances religieuses ou l'orientation sexuelle d'une personne. Dans le cas présent, une plaignante a téléchargé une copie de son acte de mariage sur le portail. Cela a permis de déterminer son orientation sexuelle.
Max Schrems, président du noyb: "La violation montre également que le simple fait de se débarrasser à temps des données personnelles aurait probablement pu limiter l'impact de la violation."
Deux plaintes auprès du CEPD. noyb a déposé deux plaintes auprès du Contrôleur européen de la protection des données (CEPD) au nom de ses employés. Le CEPD est l'autorité responsable des violations de la protection des données par les institutions européennes. Le Parlement européen semble avoir enfreint les articles 4(1)(c) et (f) et 33(1) du GDPR de l'UE. En outre, dans le cas d'un plaignant, le Parlement a refusé une demande d'effacement faite après la violation, citant la période de conservation de 10 ans, en dépit des préoccupations de l'auteur de la plainte compte tenu de la violation et du fait qu'il n'avait pas travaillé dans l'institution depuis plusieurs années. noyb demande au CEPD d'utiliser ses pouvoirs de correction pour ordonner au Parlement de mettre son traitement en conformité. En outre, le noyb suggère que le CEPD impose une amende administrative appropriée afin d'éviter que des violations similaires ne se reproduisent à l'avenir.