Le Parlement européen a informé son personnel lundi (6 mai) d’une violation de données dans l’application PEOPLE, un outil conçu pour le recrutement du personnel non permanent de l’institution, selon Euractiv.
Le 25 avril, les spécialistes en cybersécurité du Parlement ont confirmé que PEOPLE, l’application externe basée au Luxembourg et créée pour simplifier les procédures de recrutement du personnel temporaire, tels que stagiaires, consultants, agents contractuels et assistants, avait subi une violation de données, peut-on lire dans l’email.
La notification, envoyée par Kristian Knudsen, directeur général du personnel au Parlement européen, et consultée par Euractiv, informe les destinataires sur le risque que leurs données personnelles aient pu être exposées à un accès non autorisé par des agents externes.
L’incident, qui s’est déroulé au début de l’année 2024, n’a apparemment pas compromis l’infrastructure du Parlement à ce stade. On ne sait pas encore si la violation résulte d’un piratage, a confié à Euractiv un porte-parole du Parlement.
Action, réaction
En réaction aux violations, l’application PEOPLE a été désactivée et la vulnérabilité a été corrigée, indique le courriel.
« Les services compétents examinent chacun des dossiers personnels afin de déterminer quelles données ont été affectées », précise le courriel, ajoutant que les employés « seront informés de l’évolution de la situation dans les jours à venir ».
Selon la notification, les enquêtes techniques en cours visent également à déterminer la cause et l’étendue de la violation. Entre-temps, des mesures de précaution sont mises en œuvre avant de restaurer les fonctionnalités de l’application.
Contrôleur européen de la protection des données
La notification mentionne également que le Contrôleur européen de la protection des données (CEPD) ainsi que l’autorité nationale compétente au Luxembourg ont été informés.
« Le Parlement est en contact permanent avec le Contrôleur européen de la protection des données afin d’assurer le plein respect du règlement en vigueur pour protéger votre vie privée et vos données personnelles », poursuit le courriel.
Le CEPD a confirmé à Euractiv qu’il avait été notifié de la violation moins de 72 heures après que le Parlement en a eu connaissance.
« Nous avons agi immédiatement pour nous assurer que les droits et libertés des personnes concernées sont protégés, et nous avons activement soutenu le Parlement européen et son délégué à la protection des données dans toutes les actions nécessaires pour [remédier à] cette violation de données personnelles », a précisé le CEPD.
L’organisme européen a ajouté qu’il « attend actuellement les conclusions finales sur la notification de la violation des données personnelles ».
Le courriel est conforme à l’article 34 du règlement 2018/1725, qui porte sur la « notification d’une violation de données à caractère personnel au Contrôleur européen de la protection des données ».
Le règlement 2018/1725 concerne la protection des données au sein des institutions, organes et organismes de l’UE et le traitement des données à caractère personnel par ces entités, en veillant au respect des principes de protection des données et à la sauvegarde du droit des personnes à la vie privée au sein des institutions de l’UE.
En mars, le CEPD a constaté que la Commission européenne avait enfreint ce règlement dans son utilisation de Microsoft 365, ce qui a conduit à l’imposition de mesures correctives.
Mesures de précautions
La notification propose quelques mesures préventives pour tout le personnel. Elle conseille de réinitialiser les mots de passe de toutes les applications du Parlement et des adresses de courriel privées utilisées lors du recrutement. Elle appelle à une grande vigilance lors de la réception de messages provenant de comptes inconnus ou de faux comptes du Parlement, en particulier en ce qui concerne les informations personnelles.
Elle préconise également au personnel d’informer leurs proches de la violation de données afin d’éviter qu’ils ne tombent dans des escroqueries ou des demandes d’informations personnelles ou d’argent.
Cette violation intervient un mois seulement avant les élections du Parlement européen, prévues du 6 au 9 juin, dans un contexte de craintes croissantes de cyber-ingérence et de campagnes de désinformation.
En février, un autre courriel interne, consulté par Politico, a révélé le piratage téléphonique de la commission de la Défense du Parlement, ce qui a soulevé des inquiétudes quant à la capacité de l’institution à faire face aux éventuelles cyberattaques durant les élections.
De plus, Euractiv a rapporté en février que l’utilisation de TikTok par le Parlement dans le cadre de la campagne électorale, malgré les interdictions antérieures en matière de cybersécurité, soulève des questions quant à la sécurité de sa mise en œuvre.
[Édité par Anna Martino]