Plaintes contre le Parlement européen pour violation des données
Une ONG a indiqué jeudi avoir déposé deux plaintes contre le Parlement européen au nom de quatre employés qui l'accusent d'avoir compromis leurs données lors d'une cyberattaque, alors qu'il était conscient des vulnérabilités de son système.
En 2023, le service informatique du Parlement européen avait conclu que sa cybersécurité ne répondait pas aux normes de l'industrie / Photo: AA (AA)

"Plus de 8.000 membres du personnel" ont été affectés par la "violation massive", qui a exposé leurs "papiers d'identité, extraits de casier judiciaire, certificats de résidence ou de mariage", a indiqué l'association Noyb basée à Vienne, en Autriche, dans un communiqué.

Le Parlement européen a informé son personnel au début du mois de mai d'une intrusion dans sa plateforme de recrutement, après avoir saisi le Contrôleur européen de la protection des données (CEPD).

Noyb, qui réclame une amende administrative, a déposé ses plaintes auprès du CEPD pour des employés ou anciens employés estimant que l'institution a mis en danger leur droit à la vie privée.

Elle précise que les certificats de mariage peuvent révéler des orientations sexuelles, données sensibles spécialement protégées par la loi, comme la religion, l'appartenance ethnique et les opinions politiques.

L'un des plaignants, qui n'avait plus travaillé pour le Parlement depuis plusieurs années, s'est vu refuser une demande d'effacement faite après la violation.

Selon l'association, le Parlement conserve trop longtemps - dix ans - des documents qui ne lui sont pas nécessaires, ce qui ne "respecte pas les exigences du règlement sur la protection des données (RGPD)" mis en place en 2018.

"Cette violation survient après des incidents de cybersécurité répétés dans les institutions de l'UE au cours de l'année écoulée", a déploré Lorea Mendiguren, une avocate spécialisée dans la protection des données au sein de Noyb.

Cybersécurité non conforme

En novembre 2023, le service informatique du Parlement européen avait conclu que sa cybersécurité "ne répondait pas encore aux normes de l'industrie" et n'était pas "totalement adaptée au niveau de menace" grandissant, selon Noyb.

"Le Parlement a l'obligation de garantir des mesures de sécurité adéquates, étant donné que ses employés sont des cibles probables pour les acteurs malveillants", a-t-elle ajouté, citée dans le communiqué.

Selon l'ONG, il "n'a découvert la faille que plusieurs mois après qu'elle se soit produite et ne semble toujours pas en connaître la cause".

L'association Noyb, dont l'acronyme se réfère à "None of your business" (signifiant en anglais "Ce ne sont pas vos affaires"), est à l'origine de nombreuses plaintes pour faire respecter les lois européennes sur la protection des données.

AFP