Passer au contenu

Une association porte plainte contre le Parlement européen, après une cyberattaque visant sa plateforme de recrutement

L’ONG autrichienne Noyb du lanceur d’alerte Max Schrems a déposé deux plaintes contre le Parlement européen. Selon cette dernière, l’institution doit prendre des mesures pour davantage protéger ses employés face aux cyberattaques. Cette action en justice intervient plusieurs mois après une fuite de données personnelles « massive » qui a touché près de 8 000 employés ou ex-employés de l’institution.

En cas de cyberattaque, on s’attèle à renforcer les systèmes d’information et à prévenir les particuliers victimes de la fuite de données. Mais la responsabilité de l’entreprise ou l’administration – elle-même victime de piratage – n’est souvent pas remise en cause – notamment pour ne pas avoir « assez » fait pour sécuriser les données personnelles. Ce jeudi 22 août, l’association Noyb (« None of your business »), fondé par le lanceur d’alerte autrichien Max Schrems, a décidé de franchir ce pas. L’ONG vient de déposer deux plaintes contre le Parlement européen en raison d’une fuite « massive » des données des employés du colégislateur de l’Union européenne (UE).

En mai dernier, rapporte l’ONG autrichienne dans un communiqué publié ce jeudi 22 août, le Parlement européen envoie à ses employés un message les informant d’une fuite massive de données dans la plateforme de recrutement de l’institution (appelée « PEOPLE »). Lorsque l’on candidate à un poste temporaire proposé au Parlement européen, il faut en effet fournir de nombreuses données personnelles comme des papiers d’identité, des justificatifs de domicile, des extraits de casier judiciaire, ou encore des certificats de mariage.

Ce sont ces documents présents sur la plateforme de recrutement qui auraient été récupérés par des pirates informatiques. Près de 8 000 employés ou ex-employés seraient concernés, selon le Parlement européen qui en a informé, en avril dernier, le Contrôleur européen de la protection des données (CEPD). Cette autorité indépendante de l’UE est chargée de contrôler la façon dont les institutions européennes protègent ces data.

Le Parlement européen « conscient des vulnérabilités de son système de cybersécurité », selon l’ONG

Un mois plus tard, le 31 mai dernier, le Parlement a conseillé aux 8 000 personnes concernées de refaire faire leur pièce d’identité, par précaution. Mais à l’exception de ces informations, le colégislateur de l’UE ne saurait toujours pas quand et comment la faille a eu lieu, explique Noyb. Contactée par 01net.com, l’institution n’avait pas répondu à nos sollicitations, à l’heure de la publication de cet article.

Plus alarmant : le Parlement européen n’aurait découvert la fuite que des mois après, toujours selon l’ONG : de quoi préoccuper cette dernière, qui note que pourtant, « le Parlement est conscient depuis longtemps des vulnérabilités de son système de cybersécurité ». Il faut que cet organe de l’UE « prenne des mesures de sécurité appropriées pour protéger ces données contre l’accès par des tiers », plaide l’association.

D’autant que cette fuite de données est loin d’être la première. Fin 2023, l’équipe IT du Parlement européen avait estimé, après examen, que la cybersécurité de l’institution « ne répondait pas encore aux normes de l’industrie » ; les mesures existantes n’étant « pas totalement adaptées au niveau de menace ». L’institution a aussi subi, en février 2024, une attaque informatique, notamment au sein de sa sous-commission de la sécurité et de la défense. Dans les smartphones de plusieurs Eurodéputés, des logiciels espions avaient été détectés.

À lire aussi : Des logiciels espions découverts sur les smartphones de députés européens

Des députés pas assez protégés ?

Et le fait que le Parlement européen soit visé devrait inquiéter, explique Max Schrems, cofondateur de Noyb et bête noire des géants du numérique : « De telles informations qui circulent, ce n’est pas seulement effrayant pour les personnes concernées, mais cela peut également être utilisé pour influencer les décisions démocratiques », déplore-t-il. Autre problème, soulevé par l’ONG : l’institution ne respecterait pas le RGPD, le règlement européen sur les données personnelles. Le Parlement européen aurait en effet dû supprimer certaines données en raison de l’article 4(1)(c) du RGPD, qui préconise que les institutions de l’UE ne traitent que des données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Or, ces données sont gardées pendant 10 ans, un temps bien trop long selon l’association.

Résultat, NOYB a déposé deux plaintes auprès du CEPD, au nom de quatre employés du Parlement. La première a trait à un employé dont l’orientation sexuelle a été révélée, après la fuite de son certificat de mariage qui avait été déposée sur la plateforme de candidatures PEOPLE. Dans la seconde plainte, Noyb regrette que le Parlement européen ait refusé d’effacer les données personnelles d’un plaignant concerné par la fuite, même si ce dernier ne travaille plus dans l’institution depuis 2018.

Ce n’est pas la première fois que des alertes sont lancées sur le manque de protection informatique des législateurs en Europe. Une étude publiée quelques mois plus tôt par Proton montrait que les données personnelles de nombreux politiciens européens, dont des responsables politiques français, avaient été exposées à de multiples reprises sur le dark web.

Dans l’Hexagone, sept parlementaires français avaient déploré, dans une déclaration commune publiée en mai dernier, le manque de moyens des sénateurs et députés, démunis face aux cyberattaques.  Il faut « renforcer rapidement l’assistance aux parlementaires en matière de cybersécurité », écrivaient-ils dans la déclaration.

À lire aussi : Manque de moyens, d’informations… Les parlementaires français démunis face aux cyberattaques de la Chine

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.