None of Your Business dépose des plaintes contre le Parlement européen pour violation massive de données

L’organisme de surveillance de la vie privée « None of Your Business » (Nyob) a déclaré jeudi dernier qu’il avait déposé deux plaintes accusant le Parlement européen d’avoir compromis les données personnelles des employés à la suite d’une cyberattaque massive plus tôt cette année.

Nyob, une organisation à but non lucratif qui a engagé de multiples procédures judiciaires depuis 2018 concernant l’application des lois européennes sur la protection des données, a déposé les plaintes auprès du contrôleur européen de la protection des données.

Les plaintes découlent d’une importante violation de données, lorsque la plateforme de recrutement du Parlement européen, « PEOPLE », a été ciblée par une cyberattaque. La violation a exposé les données personnelles de plus de 8 000 membres du personnel.

Nyob adéclaré dans un communiqué :

Le Parlement n’a découvert la faille que plusieurs mois après qu’elle se soit produite, et ne semble toujours pas en connaître la cause. C’est d’autant plus inquiétant que le Parlement est conscient depuis longtemps des vulnérabilités de son système de cybersécurité.

Le groupe de campagne pour la protection de la vie privée basé à Vienne a demandé que l’institution soit condamnée à une amende pour avoir mis en péril le droit à la vie privée des membres de son personnel.

Parmi les fichiers compromis figuraient des documents sensibles tels que des cartes d’identité, des passeports, des extraits de casier judiciaire, des permis de séjour et des actes de mariage. La faille aurait également pu permettre d’accéder à des données « spécialement protégées », notamment l’orientation sexuelle, la religion, l’appartenance ethnique et les opinions politiques des employés.

« Le Parlement a l’obligation de garantir des mesures de sécurité adéquates, étant donné que ses employés sont susceptibles d’être la cible d’acteurs malveillants », a déclaré Lorea Mendiguren, avocate spécialisée dans la protection des données chez Noyb.

Après la violation, le Parlement a refusé la demande d’un plaignant, qui ne travaillait plus au Parlement depuis plusieurs années, de supprimer ses données personnelles.

Selon la plainte déposée par Noyb, la pratique de l’organe législatif consistant à conserver des documents inutiles pendant dix ans viole le règlement général sur la protection des données (RGPD) de l’UE, qui impose la minimisation des données et une conservation limitée. Max Schrems, président de Noyb, a déclaré que si le Parlement avait supprimé les données personnelles en temps voulu, l’impact de la violation aurait pu être considérablement réduit.

En novembre 2023, le département informatique du Parlement européen a déclaré que l’organe n’avait « pas encore atteint les normes de l’industrie » et que les mesures existantes n’étaient « pas totalement en ligne avec le niveau de menace » posé par les pirates informatiques parrainés par l’Etat, a ajouté Noyb.

Un an plus tôt, le site web du Parlement a été attaqué par des pirates russes, selon l’organisation à but non lucratif. En février de cette année, le Parlement a subi une autre violation au sein de sa sous-commission de la sécurité et de la défense, lorsque deux députés et un membre du personnel ont trouvé un logiciel espion israélien sur leurs appareils.

Le président de la Noyb, M. Schrems, a déclaré dans un communiqué,

En tant que citoyen européen, il est inquiétant de constater que les institutions européennes sont toujours aussi vulnérables aux attaques. Le fait que de telles informations circulent n’est pas seulement effrayant pour les personnes concernées, mais elles peuvent également être utilisées pour influencer les décisions démocratiques.

Crédit photo : DR
[cc] Breizh-info.com, 2024, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine