Fuite de données au Parlement européen : des passeports et des extraits de casier judiciaire concernés
Des cartes d’identité, des passeports, des extraits de casier judiciaire et des documents relatifs à l’expérience professionnelle ont été compromis lors d'une fuite de données d'une application de recrutement du Parlement européen.
Des cartes d’identité, des passeports, des extraits de casier judiciaire et des documents relatifs à l’expérience professionnelle ont été compromis lors d’une fuite de données sur une application de recrutement du Parlement européen, selon un courriel interne daté de mercredi (22 mai) et consulté par Euractiv.
Comme précédemment rapporté par Euractiv, le 25 avril, les équipes de cybersécurité du Parlement ont confirmé que PEOPLE, l’application externe basée au Luxembourg et créée pour simplifier les procédures de recrutement du personnel temporaire tels que stagiaires, consultants, agents contractuels et assistants, avait fait l’objet d’une fuite de données début 2024.
Mercredi (22 mai), une nouvelle note interne, envoyée par l’équipe de l’application PEOPLE et consulté par Euractiv, a détaillé aux employés actuels quels documents chargés dans l’application étaient concernés.
D’anciens employés de l’institution ont également été notifiés par courriel que leurs données personnelles ont été touchées.
« Après analyse, tous les utilisateurs actifs et non actifs ont reçu des informations détaillées le 22 mai, conformément à la recommandation du CEPD [Contrôleur européen de la protection des données] », selon un porte-parole de l’institution.
À l’heure actuelle, on ne sait pas encore si la violation est le résultat d’un piratage ou d’une autre vulnérabilité. Lorsqu’Euractiv a demandé jeudi (23 mai) combien de personnes avaient été affectées, le porte-parole du Parlement s’est abstenu de tout commentaire.
L’application PEOPLE, un outil de gestion des ressources humaines, a été désactivée après l’incident. Le personnel a été invité à réinitialiser ses mots de passe et à se méfier des messages suspects.
Les documents touchés concernent également l’état civil, la résidence et le domicile, la formation ou l’expérience, les obligations militaires, les déclarations sur l’honneur, les documents établissant les droits individuels et les contrats.
Le Contrôleur européen de la protection des données et l’autorité nationale luxembourgeoise enquêtent toujours sur la fuite. Les experts en cybersécurité du Parlement et la police luxembourgeoise « continuent à mener des analyses approfondies afin de clarifier toutes les circonstances entourant la violation », a ajouté le porte-parole.
« L’application PEOPLE est en train d’être sécurisée et sera bientôt de nouveau en ligne », peut-on également lire dans le courriel.
Cependant, les personnes qui ne sont plus dans la procédure de recrutement ne peuvent pas accéder à leur compte sur PEOPLE.
Les employés s’inquiètent
« Nos identités peuvent être pratiquement volées et nos données peuvent être utilisées à mauvais escient », a écrit Dávid Kardos, assistant parlementaire accrédité (APA) pour les eurodéputés Anna Donáth et Katalin Cseh, dans un courriel destiné au comité des assistants parlementaires accrédités, envoyé le 23 mai et consulté par Euractiv.
L’assistant parlementaire a également exprimé son mécontentement quant au manque d’informations sur l’incident et l’enquête, ainsi que le manque de conseils du Parlement sur la manière dont les employés peuvent sécuriser leurs données.
Dans son courriel, l’assistant s’interroge sur la notification tardive de la fuite, qui s’est produite au début de l’année, et pose des questions sur les enquêtes en cours et les suspects potentiels, notamment sur la possibilité d’une implication de pays tiers.
« Je me demande pourquoi ils ont annoncé cela maintenant, alors que la législature est déjà terminée », a-t-il indiqué à Euractiv.
[Édité par Anne-Sophie Gayet]
