NOYB utilise les meilleures pratiques des groupes de défense des droits des consommateurs, des militants de la protection de la vie privée, des pirates informatiques et des initiatives de technologie juridique et les fusionne en une plateforme européenne stable d'application de la loi. Avec les nombreuses possibilités d'application du règlement européen sur la protection des données (RGPD), NOYB est en mesure de soumettre des cas de protection de la vie privée d'une manière beaucoup plus efficace qu'auparavant. En outre, NOYB suit l'idée de litiges ciblés et stratégiques afin de renforcer votre droit à la vie privée. NOYB aura également recours à des initiatives de relations publiques et médiatiques pour souligner et garantir votre droit à la vie privée sans avoir à aller devant les tribunaux. En fin de compte, NOYB est conçu pour unir ses forces avec les organisations, les ressources et les structures existantes afin de maximiser l'impact du GDPR, tout en évitant les structures parallèles.
Au début du mois de mai 2024, le Parlement européen a informé son personnel d'une violation massive de données dans la plateforme de recrutement de l'institution (appelée « PEOPLE »). La faille a affecté les données personnelles de plus de 8 000 membres du personnel. Il s'agissait de cartes d'identité et de passeports, d'extraits de casier judiciaire, de documents de résidence et même de données sensibles telles que des certificats de mariage qui révèlent l'orientation sexuelle d'une personne. Le Parlement n'a découvert la faille que plusieurs mois après qu'elle se soit produite et ne semble toujours pas en connaître la cause. Cette situation est d'autant plus préoccupante que le Parlement est conscient depuis longtemps des vulnérabilités de son système de cybersécurité.
Les institutions européennes figurent naturellement en bonne place sur la liste des pirates informatiques et des adversaires étrangers. NOYB a donc déposé deux plaintes auprès du CEPD au nom de quatre employés du Parlement.
Les données de tous les candidats en un seul endroit
Avant de pouvoir postuler à un emploi au Parlement européen, il faut s'inscrire sur sa plateforme de recrutement PEOPLE. Les candidats fournissent alors à l'institution une multitude de données personnelles. Il s'agit de cartes d'identité et de passeports, de documents de résidence et d'éducation, mais aussi de données sensibles telles que des extraits de casier judiciaire et des actes de mariage qui peuvent révéler l'orientation sexuelle. Il est donc d'autant plus important que le Parlement européen prenne des mesures de sécurité appropriées pour protéger ces données contre l'accès par des tiers.
Des milliers de personnes touchées par une violation de données
Le 26 avril 2024, le Parlement européen a informé le Contrôleur européen de la protection des données (CEPD) d'une violation massive de données au sein de PEOPLE, affectant plus de 8 000 employés actuels et anciens. On ne sait toujours pas quand et comment la violation de données s'est produite, mais les personnes concernées ont été informées que tous les documents qu'elles ont téléchargés sur PEOPLE ont été compromis. Le 31 mai, le Parlement a conseillé aux personnes concernées de remplacer leur carte d'identité et leur passeport par mesure de précaution et leur a proposé de les rembourser. Au moment où la plainte est déposée, on ne sait toujours pas pendant combien de temps les attaquants ont pu accéder aux données personnelles des demandeurs.
Lorea Mendiguren, avocate spécialisée dans la protection des données chez NOYB :
Cette violation survient après des incidents de cybersécurité répétés dans les institutions de l'UE au cours de l'année écoulée. Le Parlement a l'obligation de garantir des mesures de sécurité appropriées, étant donné que ses employés sont susceptibles d'être la cible d'acteurs malveillants.
Cet incident est particulièrement inquiétant, car le Parlement est depuis longtemps conscient de ses faiblesses en matière de cybersécurité : En novembre 2023, le service informatique du Parlement a procédé à un examen de la cybersécurité et a conclu que la cybersécurité de l'institution « ne répondait pas encore aux normes de l'industrie » et que les mesures existantes n'étaient « pas totalement adaptées au niveau de menace » posé par les pirates informatiques parrainés par l'État. De plus, la faille de PEOPLE s'est produite en même temps qu'un certain nombre d'autres cyberattaques contre des institutions de l'UE. Des groupes de pirates russes ont attaqué le site web du Parlement en novembre 2022 et de nombreux gouvernements européens à l'automne 2023. En février 2024, le Parlement a subi une autre violation au sein de sa sous-commission de la sécurité et de la défense, lorsque deux députés et un membre du personnel ont trouvé un logiciel espion israélien sur leurs appareils.
Max Schrems, président de NOYB :
En tant que citoyen européen, il est inquiétant de constater que les institutions européennes sont toujours aussi vulnérables aux attaques. Le fait que de telles informations circulent n'est pas seulement effrayant pour les personnes concernées, mais elles peuvent également être utilisées pour influencer les décisions démocratiques.
La violation de données révèle également que le Parlement ne respecte pas les exigences du RGPD en matière de minimisation et de conservation des données. L'article 4, paragraphe 1, point c), du RGPD exige que les institutions de l'UE ne traitent que des données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Pourtant, la période de conservation des dossiers de recrutement du Parlement européen est de 10 ans. Cette situation est d'autant plus préoccupante que ces dossiers contiennent également des données sensibles spécialement protégées en vertu de l'article 9, qui peuvent révéler l'appartenance ethnique, les opinions politiques, les croyances religieuses ou l'orientation sexuelle d'une personne. Dans le cas présent, une plaignante a téléchargé une copie de son acte de mariage sur le portail. Cela a permis de déterminer son orientation sexuelle.
Max Schrems, président de NOYB :
La violation montre également que le simple fait de se débarrasser à temps des données personnelles aurait probablement pu limiter l'impact de la violation.
NOYB a déposé deux plaintes auprès du Contrôleur européen de la protection des données (CEPD) au nom des employés. Le CEPD est l'autorité responsable des violations de la protection des données par les institutions européennes. Le Parlement européen semble avoir enfreint les articles 4(1)(c) et (f) et 33(1) du RGPD de l'UE. En outre, dans le cas d'un plaignant, le Parlement a refusé une demande d'effacement faite après la violation, citant la période de conservation de 10 ans, en dépit des préoccupations de l'auteur de la plainte compte tenu de la violation et du fait qu'il n'avait pas travaillé dans cette institution depuis plusieurs années. NOYB a demandé au CEPD d'utiliser ses pouvoirs correctifs pour ordonner au Parlement de mettre son traitement en conformité. En outre, NOYB a suggéré que le CEPD impose une amende administrative appropriée afin d'éviter que des violations similaires ne se reproduisent à l'avenir.
Source : NOYB
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous cette démarche de NOYB crédible ou pertinente ?
Voir aussi :
NOYB dépose une plainte contre la Commission européenne concernant une campagne publicitaire ciblée sur le Contrôle des chats
Le Contrôleur européen de la protection des données appelle à un renforcement des garanties en matière de protection de la vie privée, dans le projet de loi de l'UE visant à soutenir l'euro numérique
NOYB dépose une plainte RGPD contre Meta Facebook à propos de "Pay or Okay", la protection des données pourrait bientôt coûter 35 000 € par famille si tout le monde en fait autant
Une plainte RGPD a été déposée par NOYB contre X (Twitter), pour avoir illégalement utilisé les opinions politiques et les croyances religieuses de ses utilisateurs à des fins de publicité ciblée