Une ONG porte plainte contre le Parlement européen pour une fuite de donnée depuis son application de recrutement

Suite à une fuite de données depuis une application de recrutement du Parlement européen en avril, après laquelle des informations personnelles avaient été compromises, l’ONG de défense des droits numériques Noyb a déposé, jeudi 22 août, deux plaintes contre l’institution pour violations présumées du règlement général sur la protection des données (RGPD).

En mai, le Parlement européen avait informé ses employés d’une fuite de données depuis son application de recrutement PEOPLE, utilisée pour embaucher des personnes de façon temporaire. En avril, il était révélé que des cartes d’identité, des passeports, des extraits de casier judiciaire et des documents relatifs à l’expérience professionnelle des candidats avaient été compromis.

Des inquiétudes avaient été exprimées quant au délai qui a précédé la notification de la fuite aux utilisateurs de l’application, et quant à l’utilisation potentiellement abusive des données compromises. Le Parlement avait par mesure de précaution conseillé aux personnes touchées de changer leurs cartes d’identité et passeports, en proposant de couvrir les coûts associés.

Aujourd’hui, l’ONG de défense des droits numériques Noyb (« None of your business ») a déposé deux plaintes auprès du Contrôleur européen de la protection des données (CEPD) au nom de quatre employés ou anciens employés du Parlement. L’organisation souligne que les données de plus de 8 000 personnes ont été affectées, y compris celles d’anciens employés.

« Il est inquiétant que les institutions européennes soient aussi vulnérables aux attaques. Le fait que de telles informations circulent est effrayant pour les personnes concernées, et ces informations pourraient être utilisées pour influencer des décisions démocratiques », a déploré Max Schrems, le fondateur de Noyb.

En mai dernier, le CEPD avait confirmé à Euractiv avoir été notifié à temps de la fuite par le Parlement européen, moins de 72 heures à partir du moment où l’institution en avait eu connaissance. Le contrôleur européen a cette fois refusé de répondre aux demandes d’Euractiv, précisant ne pas commenter les plaintes déposées.

Le CEPD peut enquêter et prendre des mesures correctives si les institutions de l’UE enfreignent les règles de protection des données, notamment en émettant des avertissements, en faisant respecter des demandes d’accès, en interdisant les opérations de traitement des données, en imposant des amendes ou en saisissant la Cour de justice de l’Union européenne (CJUE).

Le Parlement européen sous la menace des pirates

Noyb estime que cette fuite illustre le non-respect par le Parlement des exigences du règlement général de l’UE sur la protection des données en matière de conservation des informations.

Le principe de « minimisation » prévu dans le RGPD souligne que les données personnelles collectées doivent être pertinentes, et limitées à ce qui est nécessaire au regard des finalités de leur collecte.

L’exigence de conservation du règlement fixe quant à elle des limites à la durée du stockage, en veillant à ce que ces informations ne soient pas conservées plus longtemps que nécessaire.

L’une des plaintes déposées concerne le refus du Parlement d’effacer les données après la fuite, invoquant une politique de conservation de 10 ans, malgré le fait que l’un des plaignants n’ait pas travaillé pour l’institution depuis plusieurs années.

Noyb rappelle que, selon le RGPD, les données ne devraient être traitées que lorsque cela est strictement nécessaire. La période de conservation de 10 ans des dossiers de recrutement du Parlement excède cette norme, estime l’organisation.

En effet, ces dossiers peuvent contenir des données sensibles qui devraient être protégées par le RGPD, notamment l’appartenance ethnique, les opinions politiques et l’orientation sexuelle. Un certificat de mariage téléchargé a par exemple révélé l’orientation sexuelle de l’un membre du personnel, souligne l’ONG.

Noyb demande au CEPD de faire respecter le règlement par l’institution européenne et de lui imposer une amende administrative pour prévenir de futures violations.

Pour l’ONG, la fuite de l’application PEOPLE est particulièrement inquiétante, alors que le Parlement européen est connu pour être vulnérable en matière de cybersécurité. Une étude réalisée en novembre 2023 avait révélé que les mécanismes de défense de l’institution face aux cyberattaques étaient inférieurs aux normes de l’industrie et qu’ils n’étaient pas totalement adaptés aux menaces que font peser les pirates informatiques qui travaillent pour des États.