Qu’est-ce que les données personnelles (PII) ?

L’utilisation croissante des technologies de l’information dans la vie professionnelle et personnelle a entraîné une augmentation du volume de données personnelles partagées avec les entreprises. Par exemple, les entreprises collectent les données personnelles de leurs clients pour comprendre leurs marchés, et les consommateurs communiquent volontiers leur numéro de téléphone et leur adresse pour s’abonner à des services et effectuer des achats en ligne.

Le partage des informations personnelles peut présenter des avantages, car il permet aux entreprises d’adapter leurs produits et services aux désirs et aux besoins de leurs clients, par exemple en fournissant des résultats de recherche plus pertinents dans les applications de navigation. Cependant, le développement constant des entrepôts hébergeant les informations personnelles identifiables collectées par les organisations attirent l’attention des cybercriminels.

Les pirates informatiques volent des informations personnelles pour usurper leur identité, les vendre au marché noir ou les détenir captives via un rançongiciel. Selon le rapport Coût d’une violation de données 2024 d’IBM, le coût moyen d’une violation de données causée par une attaque de rançongiciel était de 5,68 millions de dollars. Les particuliers et les professionnels de la sécurité de l’information doivent naviguer dans un environnement informatique et juridique complexe pour préserver la confidentialité des données face à ces attaques.

Il existe deux types de PII : les identifiants directs et les identifiants indirects. Les identifiants directs sont propres à une personne et comprennent des éléments tels que le numéro de passeport ou le numéro de permis de conduire. Un seul identifiant direct suffit généralement à déterminer l’identité d’une personne.

Les identifiants indirects ne sont pas uniques. Il s’agit d’informations personnelles plus générales, telles que l’appartenance ethnique et le lieu de naissance. Si un identifiant indirect ne permet pas à lui seul d’identifier une personne, une combinaison de ces identifiants le permet. Par exemple, 87 % des Américains sont identifiables à partir du code postal, de la date de naissance et du sexe.

Toutes les données personnelles ne sont pas des PII. Par exemple, les données relatives aux habitudes de streaming d’une personne ne sont pas des PII. En effet, il serait difficile, pour ne pas dire impossible, d’identifier une personne en se basant uniquement sur ce qu’elle a regardé sur Netflix. Les PII ne font référence qu’à des informations qui désignent une personne en particulier, à l’image des informations communiquées à votre banque pour vérifier votre identité.

Parmi les PII, certaines informations sont plus sensibles que d’autres. Les PII sensibles sont des données sensibles qui identifient directement une personne et qui pourraient causer des dommages importants en cas de fuite ou de vol.

Un numéro de sécurité sociale est un bon exemple de PII sensible. Étant donné que de nombreuses agences gouvernementales et institutions financières utilisent les numéros de sécurité sociale pour vérifier l’identité des personnes, un criminel qui vole ces numéros pourrait facilement accéder aux dossiers fiscaux ou aux comptes bancaires de sa victime. Voici d’autres exemples de PII sensibles :

• Les numéros d’identification uniques, tels que les numéros de permis de conduire, les numéros de passeport et autres numéros d’identification émis par le gouvernement
• Les données biométriques, telles que les empreintes digitales et les scans rétiniens
• Les informations financières, y compris les numéros de comptes et de cartes bancaires
• Les dossiers médicaux

Les données personnelles sensibles ne sont généralement pas accessibles au public, et la plupart des lois existantes sur la confidentialité des données exigent que les entreprises les protègent par chiffrement, en contrôlant qui y accède ou en prenant d’autres mesures de cybersécurité.

Les PII non sensibles sont des données personnelles qui, prises isolément, ne causeraient pas de préjudice significatif à une personne en cas de fuite ou de vol. Elles peuvent être propres ou non à une personne. Par exemple, un identifiant sur un réseau social ne fait pas partie des PII non sensibles : il pourrait permettre d’identifier une personne, mais un acteur malveillant ne pourrait pas commettre un vol d’identité en utilisant uniquement un nom de compte de réseau social. Voici d’autres exemples de PII non sensibles :

• Le nom complet d’une personne
• Nom de jeune fille de la mère
• Numéro de téléphone
• L’adresse IP
• Lieu de naissance
• Date de naissance
• Les données géographiques (code postal, ville, État, pays, etc.)
• Les informations professionnelles
• Les adresses e-mail ou postales
• La race ou l’origine ethnique
• La religion

Les PII non sensibles sont souvent accessibles au public. Par exemple, les numéros de téléphone peuvent être répertoriés dans un annuaire téléphonique et les adresses peuvent être répertoriées dans les registres de propriété publique d’une administration locale. Certaines réglementations relatives à la confidentialité des données n’exigent pas la protection des PII non sensibles, mais de nombreuses entreprises mettent quand même des mesures de protection en place. En effet, les criminels sont capables d’arriver à leur fin en combinant plusieurs PII non sensibles.

Par exemple, un pirate informatique pourrait s’introduire dans l’application du compte bancaire d’une personne en utilisant son numéro de téléphone, son adresse e-mail et le nom de jeune fille de sa mère. L’e-mail lui donne un nom d’utilisateur. L’usurpation du numéro de téléphone permet de recevoir un code de vérification. Le nom de jeune fille de la mère permet de répondre à la question de sécurité.

Il est important de noter que la classification des données personnelles sensibles ou non sensibles dépend fortement du contexte. Un nom complet en lui-même peut ne pas être sensible, mais une liste de personnes ayant consulté un certain médecin serait considérée comme sensible. De même, le numéro de téléphone d’une personne peut être accessible au public, mais une base de numéros de téléphone utilisée pour l’authentification à deux facteurs sur un site de réseau social serait constituée de données personnelles sensibles.

Le contexte détermine également si un élément est considéré comme une PII. Par exemple, les données de géolocalisation anonymes agrégées sont souvent considérées comme des données personnelles génériques, car l’identité d’un seul utilisateur ne peut pas être isolée.

Les données de géolocalisation anonymes peuvent toutefois devenir des PII, comme l’a démontré une récente action en justice de la Federal Trade Commission (FTC).

La FTC affirme que le courtier en données Kochava vendait des données de géolocalisation qui étaient considérées comme des PII, car « les flux de données personnalisés de l’entreprise permettent aux acheteurs d’identifier et de suivre des utilisateurs spécifiques d’appareils mobiles. Par exemple, la localisation d’un appareil mobile la nuit est probablement l’adresse du domicile de l’utilisateur et elle pourrait être combinée à des registres de propriété pour découvrir son identité ».

Les progrès technologiques facilitent également l’identification des personnes avec moins d’informations, ce qui pourrait abaisser le seuil de ce qui est considéré comme des PII en général. Par exemple, des chercheurs d’IBM et de l’Université du Maryland ont conçu un algorithme. Cet algorithme identifie des individus spécifiques en combinant des données de localisation anonymes avec des informations accessibles au public provenant de sites de réseaux sociaux.

Selon McKinsey, 75 % des pays ont instauré des lois sur la confidentialité des données régissant la collecte, la conservation et l’utilisation des PII. Il peut être difficile de se conformer à ces réglementations, car les différentes juridictions peuvent avoir des règles différentes, voire contradictoires.

L’essor du cloud computing et du travail à distance constitue également un défi. Dans ces environnements, les données peuvent être collectées en un seul endroit, stockées dans un autre et traitées dans un troisième. Des réglementations différentes peuvent s’appliquer aux données à chaque étape, en fonction de l’emplacement géographique.

Pour compliquer davantage les choses, les différentes réglementations établissent des normes différentes quant aux types de données à protéger. Le Règlement général sur la protection des données (RGPD) de l’Union européenne impose aux organisations de protéger toutes les données personnelles, définies comme « toute information relative à une personne physique identifiée ou identifiable ».

En vertu du RGPD, les organisations ont l’obligation de protéger les PII sensibles et non sensibles. Elles doivent également protéger des éléments qui pourraient même ne pas être considérés comme des données sensibles dans d’autres contextes. Ces informations comprennent les opinions politiques, les affiliations à des organisations et des descriptions de caractéristiques physiques. 

L’Office of Management and Budget (OMB) du gouvernement américain définit plus étroitement les PII comme étant :

[U]ne information qui peut être utilisée pour distinguer ou tracer l’identité d’une personne, notamment son nom, son numéro de sécurité sociale, ses données biométriques, etc., seule ou associée à d’autres informations personnelles ou d’identification liées ou pouvant être liées à une personne spécifique, telles que la date et le lieu de naissance, le nom de jeune fille de la mère, etc.

Comme l’explique Bart Willemsen, analyste chez Gartner, « aux États-Unis, les PII englobent généralement une vingtaine, voire une trentaine d’identifiants tels que le nom, l’adresse, le numéro de sécurité sociale, le permis de conduire ou le numéro de carte bancaire ».

Bien que les États-Unis ne disposent pas de lois sur la confidentialité des données au niveau fédéral, les agences gouvernementales sont soumises à la loi sur la protection de la vie privée de 1974, qui régit la manière dont les agences fédérales collectent, utilisent et partagent les PII. Certains États américains disposent de leur propre réglementation en matière de confidentialité des données, notamment la Californie. le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA) accordent aux consommateurs certains droits sur la manière dont les organisations collectent, stockent et utilisent leurs PII.

Certains secteurs disposent également de leurs propres réglementations en matière de confidentialité des données. Aux États-Unis, la loi HIPAA (Health Insurance Portability and Accountability Act) régit la manière dont les organismes de santé collectent et protègent les dossiers médicaux et les PII des patients.

De même, la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme mondiale du secteur financier régissant la manière dont les sociétés de cartes bancaires, les commerçants et les processeurs de paiement traitent les informations sensibles des titulaires de carte.

Selon la recherche, les entreprises ont du mal à s’y retrouver dans ce paysage contrasté de lois et de normes sectorielles. Selon ESG, 66 % des entreprises qui ont fait l’objet d’un audit de confidentialité des données au cours des trois dernières années ont échoué au moins une fois, et 23 % ont échoué trois fois ou plus.

Le non-respect des réglementations en matière de protection des données peut avoir diverses conséquences pour les entreprises : amendes, atteinte à la réputation, perte d’activité, etc. Par exemple, Amazon a été condamné à payer une amende de 888 millions de dollars pour violation du RGPD en 2021.

Les pirates volent des PII à diverses fins : usurpation d’identité, chantage ou vente sur le marché noir, où ils peuvent obtenir jusqu’à 1 $ USD pour un numéro de sécurité sociale et 2 000 $ USD pour un numéro de passeport.

Les pirates peuvent également cibler les PII dans le cadre d’une attaque plus vaste : ils peuvent les prendre en otage à l’aide d’un ransomware ou les voler pour prendre le contrôle des comptes de messagerie des dirigeants afin de les utiliser dans le cadre d’un phishing ciblé et de compromission des e-mails professionnels (BEC).

Les cybercriminels ont souvent recours à des attaques d’ingénierie sociale pour inciter des victimes sans méfiance à leur fournir volontairement des informations personnelles, qu’ils peuvent aussi acquérir sur le dark web ou y accéder dans le cadre d’une violation de données plus importante. Les données personnelles peuvent être dérobées physiquement en fouillant dans les poubelles d’une personne ou en l’espionnant lorsqu’elle utilise un ordinateur.

Les acteurs malveillants peuvent également surveiller les comptes de réseaux sociaux d’une cible, où de nombreuses personnes partagent chaque jour sans le savoir des PII non sensibles. Au fil du temps, un pirate informatique peut collecter suffisamment d’informations pour se faire passer pour une victime ou pirater ses comptes.

Pour les entreprises, la protection des PII peut s’avérer compliquée. L’essor du cloud computing et des services SaaS signifie que les PII peuvent être stockées et traitées sur plusieurs sites en lieu et place d’un réseau unique et centralisé.

Selon un rapport d’ESG, la quantité de données sensibles stockées dans les clouds publics devrait doubler d’ici 2024, et plus de la moitié des entreprises estiment que ces données ne sont pas suffisamment sécurisées.

Pour protéger les PII, les organisations créent généralement des cadres de confidentialité des données. Ces cadres peuvent prendre différentes formes en fonction de l’organisation, des PII qu’elles collectent et des réglementations en matière de confidentialité des données qu’elles doivent respecter. Par exemple, le National Institute of Standards and Technology (NIST) fournit cet exemple de cadre d’exigences :

1. Identifiez toutes les PII dans les systèmes de l’organisation.

2. Minimisez la collecte et l’utilisation des PII, et éliminez régulièrement celles qui ne sont plus utiles.

3. Classez les PII en fonction de leur niveau de sensibilité.

4. Appliquez des contrôles de de sécurité des données. Voici quelques exemples de contrôles :

• Chiffrement : le chiffrement des données personnelles en transit, au repos et en cours d’utilisation par le biais du chiffrement homomorphe ou du confidential computing contribue à assurer la sécurité et la conformité de ces données, quel que soit l’endroit où elles sont stockées ou traitées.
  
  
• Gestion des identités et des accès (IAM) : l’authentification à deux facteurs ou multifacteur permet de placer davantage d’obstacles entre les pirates informatiques et les données sensibles. De même, l’application du principe du moindre privilège via une architecture Zero Trust et des contrôles des accès basés sur les rôles (RBAC) permettent de limiter la quantité de données personnelles auxquelles les pirates peuvent accéder en cas de violation du réseau.
  
  
• Formation : les employés apprennent à traiter et à supprimer les PII en bonne conformité. Ils apprennent également à protéger leurs propres PII. Cette formation couvre des domaines tels que l’anti-hameçonnage, l’ingénierie sociale et la sensibilisation aux réseaux sociaux.
  
  
• Anonymisation : l’anonymisation des données est le processus de suppression des caractéristiques d’identification des données sensibles. Les techniques d’anonymisation courantes comprennent la suppression des identifiants des données, l’agrégation des données ou l’ajout stratégique de bruit aux données.
  
  
• Outils de cybersécurité : les outils de prévention des pertes de données (DLP) permettent de suivre les données au fur et à mesure qu’elles circulent sur le réseau, ce qui facilite la détection des fuites et des violations. D’autres solutions de cybersécurité qui offrent une visibilité approfondie de l’activité sur le réseau, telles que les outils de détection et de réponse étendues (XDR), peuvent également aider à suivre l’utilisation et les mauvais usages des PII.

5. Rédigez un plan de réponse aux incidents pour les fuites et les violations de PII.

Il convient de noter que le NIST et d’autres experts en confidentialité des données recommandent souvent d’appliquer différents contrôles aux différents ensembles de données en fonction du degré de sensibilité des données. L’utilisation de contrôles stricts pour les données non sensibles peut s’avérer fastidieuse et peu rentable.