Qu’est-ce que les données personnelles (PII) ?

L’utilisation croissante des technologies de l’information dans la vie professionnelle et personnelle a entraîné une augmentation du volume de données personnelles partagées avec les entreprises. Par exemple, les entreprises collectent les données personnelles de leurs clients pour comprendre leurs marchés, et les consommateurs communiquent volontiers leur numéro de téléphone et leur adresse pour s’abonner à des services et effectuer des achats en ligne.

Le partage des informations personnelles peut présenter des avantages, car il permet aux entreprises d’adapter leurs produits et services aux désirs et aux besoins de leurs clients, par exemple en fournissant des résultats de recherche plus pertinents dans les applications de navigation. Cependant, le développement constant des entrepôts hébergeant les informations personnelles identifiables collectées par les organisations attirent l’attention des cybercriminels.

Les pirates informatiques volent des données personnelles et les utilisent pour commettre une usurpation d’identité, les vendre sur le marché noir ou réclamer de l’argent via un ransomware. Selon le rapport 2024 d’IBM sur le Coût d’une violation de données , le coût moyen d’une violation de données causée par une attaque par ransomware était de 5,13 millions de dollars. Pour préserver la confidentialité des données face à ces attaques, les particuliers comme les professionnels de la sécurité de l’information doivent naviguer dans un environnement informatique et juridique complexe .

Il existe deux types d’informations personnelles identifiables : les identifiants directs et les identifiants indirects. Les identifiants directs sont propres à une personne et comprennent des éléments tels que le numéro de passeport ou le numéro de permis de conduire. Un seul identifiant direct suffit généralement à déterminer l’identité d’une personne.

Les identifiants indirects ne sont pas uniques. Ils contiennent des informations personnelles plus générales telles que l’ethnie et le lieu de naissance. Bien qu’un identifiant indirect unique ne puisse pas identifier une personne, une combinaison de ces identifiants le permet. Par exemple, 87 % des citoyens américains ont pu être identifiés uniquement à partir d’informations sur leur genre, leur code postal et leur date de naissance.

Toutes les données personnelles ne sont pas des PII. Par exemple, les données relatives aux habitudes de streaming d’une personne ne sont pas des informations personnelles identifiables. En effet, il serait difficile, pour ne pas dire impossible, d’identifier une personne en se basant uniquement sur ce qu’elle a regardé sur Netflix. Les informations personnelles identifiables ne font référence qu’à des informations qui désignent une personne en particulier, à l’image des informations communiquées à votre banque pour vérifier votre identité.

Parmi les informations personnelles identifiables, certaines informations sont plus sensibles que d’autres. Les informations personnelles sensibles sont des données sensibles qui identifient directement une personne et qui pourraient causer des dommages importants en cas de fuite ou de vol.

Un numéro de sécurité sociale est un bon exemple de PII sensible. Étant donné que de nombreuses agences gouvernementales et institutions financières utilisent les numéros de sécurité sociale pour vérifier l’identité des personnes, un criminel qui vole ces numéros pourrait facilement accéder aux dossiers fiscaux ou aux comptes bancaires de sa victime. Voici d’autres exemples d’informations personnelles sensibles :

• Les numéros d’identification uniques, tels que les numéros de permis de conduire, les numéros de passeport et autres numéros d’identification émis par le gouvernement.
• Les données biométriques, telles que les empreintes digitales et les scans rétiniens.
• Les informations financières, y compris les numéros de comptes bancaires et les numéros de carte de crédit.
• Les dossiers médicaux.

Les informations personnelles sensibles ne sont généralement pas accessibles au public, et la plupart des lois en vigueur sur la confidentialité des données exigent des organisations qu’elles les protègent en les chiffrant, en contrôlant leur accès ou en prenant d’autres mesures de cybersécurité.

Les informations personnelles non sensibles sont des données personnelles qui, prises isolément, ne causeraient pas de préjudice significatif à une personne en cas de fuite ou de vol. Elles peuvent ou non être propres à une personne. Par exemple, un identifiant sur un réseau social ne fait pas partie des PII non sensibles : il pourrait permettre d’identifier une personne, mais un acteur malveillant ne pourrait pas commettre un vol d’identité en utilisant uniquement un nom de compte de réseau social. Voici d’autres exemples d’informations personnelles identifiables non sensibles :

• Nom complet d’une personne
• Nom de jeune fille de la mère
• Numéro de téléphone
• adresse IP ;
• Lieu de naissance
• Date de naissance
• Données géographiques (code postal, ville, État, pays, etc.)
• Informations professionnelles
• Adresse e-mail ou postale
• Race ou origine ethnique
• Religion

Les informations personnelles non sensibles sont souvent accessibles au public. Par exemple, les numéros de téléphone peuvent être répertoriés dans un annuaire téléphonique et les adresses peuvent être répertoriées dans les registres de propriété publique d’une administration locale. Certaines réglementations relatives à la confidentialité des données n’exigent pas la protection des informations personnelles non sensibles, mais de nombreuses entreprises mettent quand même des mesures de protection en place. En effet, les criminels sont capables d’arriver à leur fin en combinant plusieurs informations personnelles non sensibles.

Par exemple, un pirate informatique pourrait s’introduire dans l’application du compte bancaire d’une personne en utilisant son numéro de téléphone, son adresse e-mail et le nom de jeune fille de sa mère. L’e-mail lui donne un nom d’utilisateur. L’usurpation du numéro de téléphone permet de recevoir un code de vérification. Le nom de jeune fille de la mère permet de répondre à la question de sécurité.

Il est important de noter que la classification des informations personnelles sensibles ou non sensibles dépend fortement du contexte. Un nom complet en lui-même peut ne pas être sensible, mais une liste de personnes ayant consulté un certain médecin serait considérée comme sensible. De même, le numéro de téléphone d’une personne peut être accessible au public, mais une base de numéros de téléphone utilisée pour l’authentification à deux facteurs sur un site de réseau social serait constituée d’informations personnelles sensibles.

Le contexte détermine également si un élément est considéré comme une information personnelle. Par exemple, les données de géolocalisation anonymes agrégées sont souvent considérées comme des données personnelles génériques, car l’identité d’un seul utilisateur ne peut pas être isolée.

Les données de géolocalisation anonymes peuvent toutefois devenir des PII, comme l’a démontré une récente action en justice de la Federal Trade Commission (FTC).

La FTC affirme que le courtier en données Kochava vendait des données de géolocalisation qui étaient considérées comme des informations personnelles identifiables, car « les flux de données personnalisés de l’entreprise permettent aux acheteurs d’identifier et de suivre des utilisateurs spécifiques d’appareils mobiles. Par exemple, la localisation d’un appareil mobile la nuit est probablement l’adresse du domicile de l’utilisateur et elle pourrait être combinée à des registres de propriété pour découvrir son identité ».

Les progrès technologiques facilitent également l’identification des personnes avec moins d’éléments d’information, ce qui peut abaisser le seuil de ce qui est généralement considéré comme une PII. Par exemple, des chercheurs d’IBM et de l’Université du Maryland ont conçu un algorithme. Cet algorithme identifie des personnes spécifiques en combinant des données de localisation anonymes avec des informations accessibles au public sur les réseaux sociaux.

Selon McKinsey, 75 % des pays ont instauré des lois sur la confidentialité des données régissant la collecte, la conservation et l’utilisation des PII. Il peut être difficile de se conformer à ces réglementations, car les différentes juridictions peuvent avoir des règles différentes, voire contradictoires.

L’essor du cloud computing et du travail à distance constitue également un défi. Dans ces environnements, les données peuvent être collectées en un seul endroit, stockées dans un autre et traitées dans un troisième. Des réglementations différentes peuvent s’appliquer aux données à chaque étape, en fonction de l’emplacement géographique.

Pour compliquer davantage les choses, les différentes réglementations établissent des normes différentes quant au type de données à protéger. Le Règlement général sur la protection des données (RGPD) de l’Union européenne impose aux entreprises de protéger toutes les données personnelles, définies comme « toute information relative à une personne physique identifiée ou identifiable ».

En vertu du RGPD, les organisations ont l’obligation de protéger les PII sensibles et non sensibles. Elles doivent également protéger des éléments qui pourraient même ne pas être considérés comme des données sensibles dans d’autres contextes. Ces informations comprennent les opinions politiques, les affiliations à des organisations et des descriptions de caractéristiques physiques. 

L’Office of Management and Budget (OMB) du gouvernement américain définit plus étroitement les PII comme étant :

[U]ne information qui peut être utilisée pour distinguer ou tracer l’identité d’une personne, notamment son nom, son numéro de sécurité sociale, ses données biométriques, etc., seule ou associée à d’autres informations personnelles ou d’identification liées ou pouvant être liées à une personne spécifique, telles que la date et le lieu de naissance, le nom de jeune fille de la mère, etc.

Comme l’explique Bart Willemsen, analyste chez Gartner, « Aux États-Unis, les PII englobent généralement une vingtaine, voire une trentaine d’identifiants tels que le nom, l’adresse, le numéro de sécurité sociale, le permis de conduire ou le numéro de carte bancaire ».

Bien que les États-Unis ne disposent pas de lois sur la confidentialité des données au niveau fédéral, les agences gouvernementales sont soumises à la loi sur la protection de la vie privée de 1974, qui régit la manière dont les agences fédérales collectent, utilisent et partagent les PII. Certains États américains disposent de leur propre réglementation en matière de confidentialité des données, notamment la Californie. La California Consumer Privacy Act (CCPA, loi californienne sur la protection des consommateurs) et la California Privacy Rights Act (CPRA, loi californienne sur les droits à la vie privée) accordent aux consommateurs certains droits sur la manière dont les organisations collectent, stockent et utilisent leurs PII.

Certains secteurs disposent également de leurs propres réglementations en matière de confidentialité des données. Aux États-Unis, la loi HIPAA (Health Insurance Portability and Accountability Act) régit la manière dont les organismes de santé collectent et protègent les dossiers médicaux et les informations personnelles des patients.

De même, la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme mondiale du secteur financier régissant la manière dont les sociétés de cartes de crédit, les commerçants et les processeurs de paiement traitent les informations sensibles des titulaires de carte.

La recherche souligne le fait que les organisations ont du mal à faire face à une telle variété de lois et de normes sectorielles. Selon ESG, 66 % des entreprises ayant fait l’objet d’un audit sur la confidentialité des données au cours des trois dernières années ont échoué au moins une fois, et 23 % ont échoué trois fois ou plus.

Le non-respect des réglementations en matière de confidentialité des données peut entraîner des amendes, des atteintes à la réputation, des pertes d’activité et d’autres conséquences pour les organisations. Par exemple, Amazon a été condamnée à une amende de 888 millions d’USD pour violation du RGPD en 2021.

Les pirates volent des PII à diverses fins : usurpation d’identité, chantage ou vente sur le marché noir, où ils peuvent obtenir jusqu’à 1 USD pour un numéro de sécurité sociale et 2 000 USD pour un numéro de passeport.

Les pirates peuvent également cibler les informations personnelles identifiables dans le cadre d’une attaque plus vaste : ils peuvent les prendre en otage à l’aide d’un ransomware ou les voler pour prendre le contrôle des comptes de messagerie des dirigeants afin de les utiliser dans le cadre d’un phishing ciblé et de compromission des e-mails professionnels (BEC).

Les cybercriminels utilisent souvent des attaques d’ingénierie sociale qui incitent des victimes, qui n’ont pas de raison de se méfier, à leur transmettre volontairement des informations personnelles identifiables. Ils peuvent également les acheter sur le dark web ou y accéder dans le cadre d’une violation de données plus importante. Les informations personnelles identifiables peuvent être volées physiquement en fouillant dans les poubelles d’une personne ou en l’espionnant lorsqu’elle utilise son ordinateur.

Les acteurs malveillants peuvent également surveiller les comptes de réseaux sociaux d’une cible, où de nombreuses personnes partagent chaque jour sans le savoir des informations personnelles non sensibles. Au fil du temps, un pirate informatique peut collecter suffisamment d’informations pour se faire passer pour une victime ou pirater ses comptes.

Pour les entreprises, la protection des informations personnelles peut s’avérer compliquée. L’essor du cloud computing et des services SaaS signifie que les informations personnelles peuvent être stockées et traitées sur plusieurs sites en lieu et place d’un réseau unique et centralisé.

Selon un rapport d’ESG, la quantité de données sensibles stockées dans les clouds publics devrait doubler d’ici 2024, et plus de la moitié des entreprises estiment que ces données ne sont pas suffisamment sécurisées.

Pour protéger les informations personnelles identifiables, les organisations créent généralement des cadres des exigences en matière de confidentialité des données. Ces cadres peuvent prendre différentes formes en fonction de l’organisation, des PII qu’elles collectent et des réglementations en matière de confidentialité des données qu’elles doivent respecter. Par exemple, le National Institute of Standards and Technology (NIST) fournit cet exemple de cadre des exigences :

1. Identifiez toutes les informations personnelles identifiables dans les systèmes de l’organisation.

2. Minimisez la collecte et l’utilisation des informations personnelles (PII) et éliminez régulièrement celles qui ne sont plus utiles.

3. Classez les informations personnelles identifiables en fonction de leur niveau de sensibilité.

4. Appliquez des contrôles de sécurité des données. Exemples de contrôles :

• Chiffrement : le chiffrement des informations personnelles en transit, au repos et en cours d’utilisation par le biais du chiffrement homomorphe ou du confidential computing peut contribuer à assurer la sécurité et la conformité des informations personnelles, quel que soit l’endroit où elles sont stockées ou traitées.
  
  
• Gestion des identités et des accès (IAM) : l’authentification à deux facteurs ou multi-facteur peut placer davantage d’obstacles entre les pirates informatiques et les données sensibles. De même, l’application du principe du moindre privilège via une architecture Zero Trust et des contrôles d’accès basés sur les rôles (RBAC) peut limiter le nombre d’accès auxquels les pirates informatiques peuvent accéder en cas d’intrusion dans le réseau.
  
  
• Formation : les employés apprennent à traiter et à supprimer les informations personnelles en bonne conformité. Les employés apprennent également à protéger leurs propres informations personnelles. Cette formation couvre des domaines tels que l’anti-hameçonnage, l’ingénierie sociale et la sensibilisation aux réseaux sociaux.
  
  
• Anonymisation : l’anonymisation des données est le processus de suppression des caractéristiques d’identification des données sensibles. Les techniques d’anonymisation courantes incluent la suppression des identifiants des données, l’agrégation des données ou l’ajout stratégique de bruit aux données.
  
  
• Outils de cybersécurité : les outils de prévention des pertes de données (DLP) permettent de suivre les données au fur et à mesure qu’elles circulent sur le réseau, ce qui facilite la détection des fuites et des violations. D’autres solutions de cybersécurité qui offrent une visibilité approfondie de l’activité sur le réseau, telles que les outils de détection et de réponse étendues (XDR), peuvent également aider à suivre l’utilisation et les mauvais usages des informations personnelles.

5. Rédigez un plan de réponse aux incidents pour les fuites et les violations d’informations personnelles identifiables.

Il convient de noter que le NIST et d’autres experts en confidentialité des données recommandent souvent d’appliquer différents contrôles aux différents ensembles de données en fonction du degré de sensibilité des données. L’utilisation de contrôles stricts pour les données non sensibles peut s’avérer fastidieuse et peu rentable.