Cybersécurité : quatre groupes politiques européens interrogent la présidente du Parlement
Quatre groupes politiques du Parlement européen ont interrogé la présidente de l’hémicycle pour demander plus de détails, d’actions et des discussions sur la « responsabilité » de l’institution concernant la récente fuite de données qui a affecté des employés.
Quatre groupes politiques du Parlement européen ont envoyé des lettres à la présidente de l’hémicycle pour demander plus de détails, d’actions et des discussions sur la « responsabilité » de l’institution concernant la récente fuite de données personnelles qui a affecté un grand nombre d’employés.
Le 6 mai dernier, le département des ressources humaines du Parlement a informé le personnel par courriel d’une « violation de données » découverte le 25 avril qui remonterait au début de l’année 2024 et qui se serait produite sur l’application de recrutement PEOPLE.
Le Parlement a notifié le Contrôleur européen de la protection des données (CEPD), l’autorité responsable des fuites de données des institutions de l’UE, dans les 72 heures, comme spécifié dans la législation en la matière, a confié un porte-parole du CEPD à Euractiv.
L’incident est couvert par le règlement EUDPR, similaire au règlement général sur la protection des données (RGPD) mais applicable aux institutions, organes et organismes de l’Union.
Trois des groupes, les Verts, La Gauche et Renew, ont demandé que la question soit abordée lors de la prochaine réunion du Bureau du Parlement, prévue pour le 24 juin, selon les lettres consultées par Euractiv. Le Bureau est l’organe responsable des questions administratives qui établit les règles qui régissent l’institution.
Les Socialistes et Démocrates européens (S&D) ont pour leur part souligné la nécessité d’une discussion générale sur le traitement de ce type de données, ainsi que sur les responsabilités du Parlement européen en cas de dommages.
Le groupe libéral Renew Europe a également demandé que le Parlement « offre au personnel une protection contre le vol d’identité ou une assurance contre l’utilisation abusive de leurs données ».
Dans leurs lettres, envoyées le 27 mai et signées par les présidents et vice-présidents des Verts, de La Gauche, de Renew et du S&D, les partis posent des questions sur la gestion de l’incident par le Parlement et demandent plus d’informations sur les avancées et les prochaines étapes de la sécurisation de l’application PEOPLE.
« Une analyse interne pour examiner comment les systèmes et les processus peuvent continuer à être renforcés et assurer une protection supplémentaire contre les menaces hybrides est en place », a expliqué un porte-parole du Parlement à Euractiv.
Implications juridiques
Le Parlement est tenu d’informer les personnes concernées par la fuite « dans les meilleurs délais ». « La communication devrait décrire la nature de la violation de données à caractère personnel ainsi que des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels », d’après le règlement.
Les détails concernant les données divulguées n’ont été révélés au personnel que le 22 mai et une personne de contact a été désignée à cette date, a indiqué un porte-parole du Parlement.
Les employés concernés ont été invités à changer leur passeport et leur carte d’identité le 30 juin, soit près d’un mois après la communication initiale. Le Parlement a précisé dans son courriel qu’il rembourserait les frais liés à cette opération.
Claude-Etienne Armingaud, avocat associé du cabinet K&L Gates spécialisé dans la protection de la vie privée et le droit des technologies, a identifié quatre points de défaillance potentiels dans la réaction du Parlement. S’ils devaient être confirmés, ils pourraient justifier une action éventuelle de l’autorité de protection des données.
Il s’agit d’une défaillance dans la sécurité, d’une quantité injustifiée de données collectées ou pendant une durée injustifiée, ou encore d’une communication incomplète de la violation aux personnes concernées.
Comme il s’agit d’un dossier très important, il est probable qu’il soit suivi par le CEPD, a ajouté M. Armingaud.
Dans un autre dossier, le CEPD avait constaté en mars que la Commission européenne avait enfreint les règles de protection des données lors de son utilisation des produits Microsoft Office.
[Édité par Anne-Sophie Gayet]
