Recevez chaque jour toute l'actualité du numérique

x

RGPD : Le Parlement européen a été touché par une fuite de données mais ne s'estime pas responsable

Vu ailleurs L'entreprise spécialisée en cybersécurité Shadowmap affirme que les données de 16 000 personnes liées au Parlement européen ont été exposées. Mais l'institution estime ne pas en être responsable, car c'est le groupe PPE qui en avait la gestion. Pourtant, d'après le RGPD, le responsable de traitement peut être coupable d'une fuite de données en cas de manquement dans la sécurisation, même lorsque les données sont gérées par un sous-traitant.
Twitter Facebook Linkedin Flipboard Email
×

RGPD : Le Parlement européen a été touché par une fuite de données mais ne s'estime pas responsable
RGPD : Le Parlement européen a été touché par une fuite de données mais ne s'estime pas responsable © European Parliament - Flickr CC

La société de cybersécurité Shadowmap a annoncé le 16 mai 2020 avoir découvert des fichiers contenant des données telles des mots de passe, des descriptions de poste et d'autres informations personnelles via un portail Internet faisant partie du domaine du Parlement européen. Les données de plus de 16 000 personnes – incluant des journalistes, des membres de parti politique et du personnel administratif – ont été exposées. Des informations sur les membres de plusieurs institutions de l'Union européenne comme Europol, le Contrôleur européen de la protection des données, Frontex… seraient également concernées. Depuis, l'incident a été résolu.

Confirmation de la fuite

Interrogé par Politico, le vice-président du Parlement européen responsable de l'informatique Marcel Kolaja a confirmé la fuite. Dans le même temps, il a précisé que le système était géré par le domaine officiel "europarl.eu" du Parlement européen mais que les données n'avaient pas été hébergées par l'institution elle-même. "Le système en question est un système géré par un groupe politique particulier. Il s'agit de données de ce groupe politique", a déclaré le député. "Il a immédiatement été informé de cet incident", a-t-il affirmé.

D'après les informations de Politico confirmées par la suite, le groupe politique en question est le Parti populaire européen (PPE). Avec 182 sièges, il s'agit du plus grand groupe du Parlement. Le porte-parole du parti Pedro López de Pablo a certifié que la base de données exposée contenait des informations désuètes "utilisées par des personnes qui étaient abonnées à notre ancien site web en 2018". Un nouveau site a été lancé en 2019 selon ses dires. "Les serveurs du PPE et la base de données actuelle n'ont pas été exposés", atteste-t-il.

"Même dans le cas où les personnes qui étaient abonnées à notre site web en 2018 ont utilisé le même mot de passe qu'elles avaient dans leurs courriels à ce moment-là, rien ne peut leur arriver maintenant parce qu'au Parlement, le système vous oblige à changer complètement votre mot de passe tous les trois mois ", a-t-il ajouté.  Il a affirmé que le PPE "vérifiait actuellement la liste des e-mails pour informer tout le monde, conformément aux règles en vigueur".

Le Parlement rejette toute responsabilité

Mais la société Shadowmap est beaucoup moins optimiste sur les conséquences d'une telle fuite. Son fondateur et CTO Yash Kadakia explique que les données trouvées pourraient aisément servir à des hackers pour accéder à des services sensibles liés à l'Union européenne. "Ces données sont en ligne depuis un certain temps", a-t-il précisé.


Suite à de nombreux tweets relatant l'incident de sécurité, le compte du service presse du Parlement européen a répondu en certifiant que "la fuite n'est pas liée à un système géré par une institution de l'UE et ne contient pas de données sur les institutions de l'UE. Les responsables du système ont été contactés immédiatement". Le cabinet expert en cybersécurité Under the breach s'est grandement étonné de cette réponse, rappelant que le Règlement général sur la protection des données (RGPD) avait quand même été adopté par cette institution qui apparemment en a oublié les principes.

D'après ce texte, le responsable de traitement peut être coupable d'une fuite de données en cas de manquement dans la sécurisation. Or, le Parlement européen estime ne peut être le "responsable de données" de la base exposée. Il est actuellement difficile de trancher cette question sans plus de précision.

 

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media