Un groupe autrichien de protection de la vie privée a déposé des plaintes à la suite d’une violation de données au Parlement européen.
Le groupe de défense de la vie privée NOYB a déposé deux plaintes auprès du Contrôleur européen de la protection des données (CEPD) alléguant des violations du règlement général sur la protection des données (RGPD) par le Parlement européen après que des données sensibles liées aux candidats à un poste parlementaire aient été compromises début 2024, a annoncé le groupe aujourd’hui (22 août).
L’ONG souligne dans ses plaintes la mauvaise gestion des informations qui a finalement conduit à la violation, ainsi que le refus du Parlement de supprimer les données après une demande formelle formulée par un plaignant.
La faille, révélée en mai, concernait environ 8 000 candidats à des postes temporaires – y compris des assistants parlementaires et des agents contractuels – qui utilisaient « PEOPLE », une application externe sous le contrôle du service des ressources humaines de l’institution.
NOYB affirme que les données sensibles compromises comprennent « des cartes d’identité et des passeports, des extraits de casier judiciaire, des documents de résidence et même des informations sensibles telles que des certificats de mariage qui révèlent l’orientation sexuelle d’une personne ». Ils affirment en outre que « chaque document » traité par PEOPLE a été affecté.
On ne sait pas encore exactement quand la violation a eu lieu, mais une enquête interne du Parlement, conclue en avril, suggère que les données ont été compromises depuis quelques mois. Les victimes de la violation ont été informées en mai.
À ce jour, l’origine de la brèche reste inconnue.
Lorea Mendiguren, avocate spécialisée dans la protection des données chez NOYB, a souligné que cette faille de sécurité fait suite à une série d’incidents de cybersécurité dans les institutions européennes au cours de l’année écoulée. « Le Parlement a l’obligation de garantir des mesures de sécurité adéquates, étant donné que ses employés sont probablement la cible d’acteurs malveillants », a-t-elle ajouté.
Maintenant que le dossier a été transmis au CEPD – un organisme de régulation chargé de veiller au respect de la vie privée par les institutions européennes – une enquête sera menée pour déterminer si le traitement des données par le Parlement constitue une infraction au RGPD. Si nécessaire, des mesures correctives pourraient être imposées, telles qu’une interdiction des opérations de traitement ou une suspension des flux de données.
En cas de violation significative, l’affaire pourrait être portée devant la Cour de justice de l’Union européenne.
