"Plus de 8.000 membres du personnel" ont été affectés par la "violation massive", qui a exposé leurs "papiers d'identité, extraits de casier judiciaire, certificats de résidence ou de mariage", a indiqué l'association Noyb basée à Vienne, en Autriche, dans un communiqué.
Le Parlement européen a informé son personnel au début du mois de mai d'une intrusion dans sa plateforme de recrutement, après avoir saisi le Contrôleur européen de la protection des données (CEPD).
Noyb, qui réclame une amende administrative, a déposé ses plaintes auprès du CEPD pour des employés ou anciens employés estimant que l'institution a mis en danger leur droit à la vie privée.
Elle précise que les certificats de mariage peuvent révéler des orientations sexuelles, données sensibles spécialement protégées par la loi, comme la religion, l'appartenance ethnique et les opinions politiques.
L'un des plaignants, qui n'avait plus travaillé pour le Parlement depuis plusieurs années, s'est vu refuser une demande d'effacement faite après la violation.
Selon l'association, le Parlement conserve trop longtemps - dix ans - des documents qui ne lui sont pas nécessaires, ce qui ne "respecte pas les exigences du règlement sur la protection des données (RGPD)" mis en place en 2018.
"Cette violation survient après des incidents de cybersécurité répétés dans les institutions de l'UE au cours de l'année écoulée", a déploré Lorea Mendiguren, une avocate spécialisée dans la protection des données au sein de Noyb.
Cybersécurité non conforme
En novembre 2023, le service informatique du Parlement européen avait conclu que sa cybersécurité "ne répondait pas encore aux normes de l'industrie" et n'était pas "totalement adaptée au niveau de menace" grandissant, selon Noyb.
"Le Parlement a l'obligation de garantir des mesures de sécurité adéquates, étant donné que ses employés sont des cibles probables pour les acteurs malveillants", a-t-elle ajouté, citée dans le communiqué.
Selon l'ONG, il "n'a découvert la faille que plusieurs mois après qu'elle se soit produite et ne semble toujours pas en connaître la cause".
L'association Noyb, dont l'acronyme se réfère à "None of your business" (signifiant en anglais "Ce ne sont pas vos affaires"), est à l'origine de nombreuses plaintes pour faire respecter les lois européennes sur la protection des données.