Accueil les sujets Informations personnellement identifiables (PII) Qu’est-ce que les données personnelles (PII) ?
Découvrir la solution PII (informations personnelles identifiables) d’IBM Abonnez-vous aux actualités thématiques de sécurité
Illustration avec collage de pictogrammes représentant des clouds, un téléphone mobile, une empreinte digitale et une coche
Qu’est-ce que les données personnelles ?

Les informations personnelles identifiables (PII) sont des informations susceptibles de permettre l’identification d’une personne. Il peut s’agir de son numéro de sécurité sociale, de son nom et son prénom, de son adresse e-mail ou de son numéro de téléphone.

Les gens utilisant de plus en plus les technologies de l’information dans le cadre de leurs activités professionnelles comme dans leur vie personnelle, le volume d’informations personnelles partagées avec les organisations augmente. Par exemple, les entreprises collectent les données personnelles de leurs clients pour comprendre leurs marchés, et les consommateurs donnent volontiers leur numéro de téléphone et leur adresse personnelle pour s’inscrire à des services et effectuer des achats en ligne. 

Le partage des informations personnelles peut présenter des avantages, car il permet aux entreprises d’adapter leurs produits et services aux désirs et aux besoins de leurs clients, par exemple en fournissant des résultats de recherche plus pertinents dans les applications de navigation. Cependant, le développement constant des entrepôts hébergeant les informations personnelles identifiables collectées par les organisations attirent l’attention des cybercriminels.

Les pirates informatiques peuvent voler des informations personnelles identifiables et les utiliser pour commettre une usurpation d’identité, les vendre sur le marché noir ou réclamer de l’argent via un ransomware. Selon le rapport 2023 d’IBM sur le Coût d’une violation de données , le coût moyen d’une violation de données causée par une attaque par ransomware était de 5,13 millions de dollars. Pour préserver la confidentialité des données face à ces attaques, les particuliers comme les professionnels de la sécurité de l’information doivent naviguer dans un environnement informatique et juridique complexe .

Coût d’une violation de données

Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.

Contenu connexe

Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index

Identifiants directs et indirects

Il existe deux types d’informations personnelles identifiables : les identifiants directs et les identifiants indirects. Les identifiants directs sont propres à une personne et comprennent des éléments tels que le numéro de passeport ou le numéro de permis de conduire. Un seul identifiant direct suffit généralement à déterminer l’identité d’une personne.

Les identifiants indirects ne sont pas uniques. Ils contiennent des informations personnelles plus générales telles que l’origine et le lieu de naissance. Bien qu’un identifiant indirect unique ne puisse pas identifier une personne, une combinaison de ces identifiants le permet. Par exemple, 87 % des citoyens américains (lien externe à ibm.com) ont pu être identifiés sur la base de leur sexe, de leur code postal et de leur date de naissance.

Informations personnelles sensibles et informations personnelles non sensibles

Toutes les données personnelles ne sont pas des PII. Par exemple, les données relatives aux habitudes de streaming d’une personne ne sont pas des informations personnelles identifiables. En effet, il serait difficile, pour ne pas dire impossible, d’identifier une personne en se basant uniquement sur ce qu’elle a regardé sur Netflix. Les informations personnelles identifiables ne font référence qu’à des informations qui désignent une personne en particulier, à l’image des informations communiquées à votre banque pour vérifier votre identité.

Parmi les informations personnelles identifiables, certaines informations sont plus sensibles que d’autres. Les informations personnelles sensibles sont des données sensibles qui identifient directement une personne et qui pourraient causer des dommages importants en cas de fuite ou de vol.

Un numéro de sécurité sociale est un bon exemple de PII sensible. Étant donné que de nombreuses agences gouvernementales et institutions financières utilisent les numéros de sécurité sociale pour vérifier l’identité des personnes, un criminel qui vole ces numéros pourrait facilement accéder aux dossiers fiscaux ou aux comptes bancaires de sa victime. Voici d’autres exemples d’informations personnelles sensibles :

  • Les numéros d’identification uniques, tels que les numéros de permis de conduire, les numéros de passeport et autres numéros d’identification émis par le gouvernement.
  • Les données biométriques, telles que les empreintes digitales et les scans rétiniens.
  • Les informations financières, y compris les numéros de comptes bancaires et les numéros de carte de crédit.
  • Les dossiers médicaux.

Les informations personnelles sensibles ne sont généralement pas accessibles au public, et la plupart des lois en vigueur sur la confidentialité des données exigent des organisations qu’elles les protègent en les chiffrant, en contrôlant leur accès ou en prenant d’autres mesures de cybersécurité.

Les informations personnelles non sensibles sont des données personnelles qui, prises isolément, ne causeraient pas de préjudice significatif à une personne en cas de fuite ou de vol. Elles peuvent ou non être propres à une personne. Par exemple, un identifiant sur un réseau social ne fait pas partie des PII non sensibles : il pourrait permettre d’identifier une personne, mais un acteur malveillant ne pourrait pas commettre un vol d’identité en utilisant uniquement un nom de compte de réseau social. Voici d’autres exemples d’informations personnelles identifiables non sensibles :

  • Nom complet d’une personne
  • Nom de jeune fille de la mère
  • Numéro de téléphone
  • adresse IP ;
  • Lieu de naissance
  • Date de naissance
  • Données géographiques (code postal, ville, État, pays, etc.)
  • Informations professionnelles
  • Adresse e-mail ou postale
  • Race ou origine ethnique
  • Religion

Les informations personnelles non sensibles sont souvent accessibles au public. Par exemple, les numéros de téléphone peuvent être répertoriés dans un annuaire téléphonique et les adresses peuvent être répertoriées dans les registres de propriété publique d’une administration locale. Certaines réglementations relatives à la confidentialité des données n’exigent pas la protection des informations personnelles non sensibles, mais de nombreuses entreprises mettent quand même des mesures de protection en place. En effet, les criminels sont capables d’arriver à leur fin en combinant plusieurs informations personnelles non sensibles.

Par exemple, un pirate informatique pourrait s’introduire dans l’application du compte bancaire d’une personne en utilisant son numéro de téléphone, son adresse e-mail et le nom de jeune fille de sa mère. L’e-mail lui donne un nom d’utilisateur. L’usurpation du numéro de téléphone permet de recevoir un code de vérification. Le nom de jeune fille de la mère permet de répondre à la question de sécurité.

Il est important de noter que la classification des informations personnelles sensibles ou non sensibles dépend fortement du contexte. Un nom complet en lui-même peut ne pas être sensible, mais une liste de personnes ayant consulté un certain médecin serait considérée comme sensible. De même, le numéro de téléphone d’une personne peut être accessible au public, mais une base de numéros de téléphone utilisée pour l’authentification à deux facteurs sur un site de réseau social serait constituée d’informations personnelles sensibles.

À quel moment des informations sensibles deviennent-elles des informations personnelles identifiables ?

Le contexte détermine également si un élément est considéré comme une information personnelle. Par exemple, les données de géolocalisation anonymes agrégées sont souvent considérées comme des données personnelles génériques, car l’identité d’un seul utilisateur ne peut pas être isolée.

Cependant, les enregistrements individuels de données de géolocalisation anonymes peuvent devenir des informations personnelles identifiables, comme l’a démontré un procès récent de la Federal Trade Commission (FTC) (lien externe à ibm.com).

La FTC affirme que le courtier en données Kochava vendait des données de géolocalisation qui étaient considérées comme des informations personnelles identifiables, car « les flux de données personnalisés de l’entreprise permettent aux acheteurs d’identifier et de suivre des utilisateurs spécifiques d’appareils mobiles. Par exemple, la localisation d’un appareil mobile la nuit est probablement l’adresse du domicile de l’utilisateur et elle pourrait être combinée à des registres de propriété pour découvrir son identité ».

Les progrès technologiques facilitent également l’identification des personnes avec moins d’éléments d’information, ce qui abaisse potentiellement le seuil de ce qui est considéré comme une information personnelle identifiable sur le plan général. Par exemple, des chercheurs d’IBM et de l’Université du Maryland ont conçu un algorithme (lien externe à ibm.com). Cet algorithme identifie des personnes spécifiques en combinant des données de localisation anonymes avec des informations accessibles au public sur les réseaux sociaux.

Lois sur la confidentialité des données et PII 

Réglementations internationales en matière de confidentialité

Selon McKinsey (lien externe à ibm.com), 75 % des pays ont instauré des lois sur la confidentialité des données régissant la collecte, la conservation et l’utilisation des informations personnelles. Il peut être difficile de se conformer à ces réglementations, car les différentes juridictions peuvent avoir des règles différentes, voire contradictoires.

L’essor du cloud computing et du travail à distance constitue également un défi. Dans ces environnements, les données peuvent être collectées en un seul endroit, stockées dans un autre et traitées dans un troisième. Des réglementations différentes peuvent s’appliquer aux données à chaque étape, en fonction de l’emplacement géographique.

Pour compliquer davantage les choses, les différentes réglementations établissent des normes différentes quant aux types de données à protéger. Le Règlement général sur la protection des données (RGPD) de l’Union européenne impose aux organisations de protéger toutes les données personnelles, définies (lien externe à ibm.com) comme « toute information relative à une personne physique identifiée ou identifiable ».

En vertu du RGPD, les organisations ont l’obligation de protéger les PII sensibles et non sensibles. Elles doivent également protéger des éléments qui pourraient même ne pas être considérés comme des données sensibles dans d’autres contextes. Ces informations comprennent les opinions politiques, les affiliations à des organisations et des descriptions de caractéristiques physiques. 

Réglementations en matière de confidentialité aux États-Unis

L’Office of Management and Budget (OMB) du gouvernement américain définit plus étroitement les PII (lien externe à ibm.com) comme étant

[U]ne information qui peut être utilisée pour distinguer ou tracer l’identité d’une personne, notamment son nom, son numéro de sécurité sociale, ses données biométriques, etc., seule ou associée à d’autres informations personnelles ou d’identification liées ou pouvant être liées à une personne spécifique, telles que la date et le lieu de naissance, le nom de jeune fille de la mère, etc.

Comme l’explique Bart Willemsen, analyste chez Gartner , (lien externe à ibm.com), « aux États-Unis, les informations personnelles identifiables font généralement référence à deux ou trois douzaines d’identifiants tels que le nom, l’adresse, le numéro de sécurité sociale, le permis de conduire ou le numéro de carte de crédit ».

Bien que les États-Unis ne disposent pas de lois sur la confidentialité des données au niveau fédéral, les agences gouvernementales sont soumises à la loi sur la protection de la vie privée de 1974, qui régit la manière dont les agences fédérales collectent, utilisent et partagent les PII. Certains États américains disposent de leur propre réglementation en matière de confidentialité des données, notamment la Californie. La loi CCPA (California Consumer Privacy Act) et la loi CPRA (California Privacy Rights Act) accordent aux consommateurs certains droits sur la manière dont les organisations collectent, stockent et utilisent leurs PII.

Réglementations spécifiques aux secteurs d’activité en matière de protection de la confidentialité

Certains secteurs disposent également de leurs propres réglementations en matière de confidentialité des données. Aux États-Unis, la loi HIPAA (Health Insurance Portability and Accountability Act) régit la manière dont les organismes de santé collectent et protègent les dossiers médicaux et les informations personnelles des patients.

De même, la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme mondiale du secteur financier régissant la manière dont les sociétés de cartes de crédit, les commerçants et les processeurs de paiement traitent les informations sensibles des titulaires de carte.

La recherche souligne le fait que les organisations ont du mal à faire face à une telle variété de lois et de normes sectorielles. Selon ESG (lien externe à ibm.com), 66 % des entreprises ayant fait l’objet d’un audit sur la confidentialité des données au cours des trois dernières années ont échoué au moins une fois, et 23 % ont échoué trois fois ou plus.

Le non-respect des réglementations en matière de confidentialité des données peut entraîner des amendes, des atteintes à la réputation, des pertes d’activité et d’autres conséquences pour les organisations. Par exemple, Amazon a été condamné à une amende de 888 millions USD pour violation du RGPD en 2021 (lien externe à ibm.com).

Protection des informations personnelles

Les pirates informatiques volent des informations personnelles identifiables pour de nombreuses raisons : usurpation d’identité, chantage ou revente sur le marché noir, ce qui peut leur rapporter jusqu’à 1 USD par numéro de sécurité sociale et 2 000 USD par numéro de passeport (lien externe à ibm.com). 

Les pirates peuvent également cibler les informations personnelles identifiables dans le cadre d’une attaque plus vaste : ils peuvent les prendre en otage à l’aide d’un ransomware ou les voler pour prendre le contrôle des comptes de messagerie des dirigeants afin de les utiliser dans le cadre d’un phishing ciblé et de compromission des e-mails professionnels (BEC).

Les cybercriminels utilisent souvent des attaques d’ingénierie sociale qui incitent des victimes, qui n’ont pas de raison de se méfier, à leur transmettre volontairement des informations personnelles identifiables. Ils peuvent également les acheter sur le dark web ou y accéder dans le cadre d’une violation de données plus importante. Les informations personnelles identifiables peuvent être volées physiquement en fouillant dans les corbeilles d’une personne ou en l’espionnant lorsqu’elle utilise son ordinateur.

Les acteurs malveillants peuvent également surveiller les comptes de réseaux sociaux d’une cible, où de nombreuses personnes partagent chaque jour sans le savoir des informations personnelles non sensibles. Au fil du temps, un pirate informatique peut collecter suffisamment d’informations pour se faire passer pour une victime ou pirater ses comptes.

Pour les entreprises, la protection des informations personnelles peut s’avérer compliquée. L’essor du cloud computing et des services SaaS signifie que les informations personnelles peuvent être stockées et traitées sur plusieurs sites en lieu et place d’un réseau unique et centralisé.

Selon un rapport d’ESG (lien externe à ibm.com), la quantité de données sensibles stockées dans les clouds publics devrait doubler d’ici 2024, et plus de la moitié des organisations estiment que ces données ne sont pas suffisamment sécurisées.

Pour protéger les informations personnelles identifiables, les organisations créent généralement des cadres de confidentialité des données. Ces cadres peuvent prendre différentes formes en fonction de l’organisation, des PII qu’elles collectent et des réglementations en matière de confidentialité des données qu’elles doivent respecter. Par exemple, le National Institute of Standards and Technology (NIST) fournit cet exemple de cadre d’exigences (lien externe à ibm.com) :

1. Identifiez toutes les informations personnelles identifiables dans les systèmes de l’organisation.

2. Minimisez la collecte et l’utilisation des informations personnelles (PII) et éliminez régulièrement celles qui ne sont plus utiles.

3. Classez les informations personnelles identifiables en fonction de leur niveau de sensibilité.

4. Appliquez des contrôles de sécurité des données. Exemples de contrôles :

  • Chiffrement : le chiffrement des informations personnelles en transit, au repos et en cours d’utilisation par le biais du chiffrement homomorphe ou du confidential computing peut contribuer à assurer la sécurité et la conformité des informations personnelles, quel que soit l’endroit où elles sont stockées ou traitées.

  • Gestion des identités et des accès (IAM) : l’authentification à deux facteurs ou multi-facteur peut placer davantage d’obstacles entre les pirates informatiques et les données sensibles. De même, l’application du principe du moindre privilège via une architecture Zero Trust et des contrôles d’accès basés sur les rôles (RBAC) peut limiter le nombre d’accès auxquels les pirates informatiques peuvent accéder en cas d’intrusion dans le réseau.

  • Formation : les employés apprennent à traiter et à supprimer les informations personnelles en bonne conformité. Les employés apprennent également à protéger leurs propres informations personnelles. Cette formation couvre des domaines tels que l’anti-hameçonnage, l’ingénierie sociale et la sensibilisation aux réseaux sociaux.

  • Anonymisation : l’anonymisation des données est le processus de suppression des caractéristiques d’identification des données sensibles. Les techniques d’anonymisation courantes incluent la suppression des identifiants des données, l’agrégation des données ou l’ajout stratégique de bruit aux données.

  • Outils de cybersécurité : les outils de prévention des pertes de données (DLP) permettent de suivre les données au fur et à mesure qu’elles circulent sur le réseau, ce qui facilite la détection des fuites et des violations. D’autres solutions de cybersécurité qui offrent une visibilité approfondie de l’activité sur le réseau, telles que les outils de détection et de réponse étendues (XDR), peuvent également aider à suivre l’utilisation et les mauvais usages des informations personnelles.

5. Rédigez un plan de réponse aux incidents pour les fuites et les violations d’informations personnelles identifiables.

Il convient de noter que le NIST et d’autres experts en confidentialité des données recommandent souvent d’appliquer différents contrôles aux différents ensembles de données en fonction du degré de sensibilité des données. L’utilisation de contrôles stricts pour les données non sensibles peut s’avérer fastidieuse et peu rentable.

Solutions connexes
Solutions de confidentialité des données

Renforcez la protection de la confidentialité des données, gagnez la confiance de vos clients et développez votre activité.

Découvrir les solutions pour la confidentialité des données
Services de sécurité des données

Un programme de cybersécurité robuste centré sur les données peut vous fournir une protection complète des données et une visibilité centralisée. La surveillance continue peut vous aider à vous protéger contre les accès non autorisés, l’exposition ou le vol de données dans l’environnement des données de votre entreprise.

Explorez les services de sécurité des données
Solutions de chiffrement des données

Protégez les données de votre entreprise et assurez votre conformité réglementaire grâce à des solutions et services de sécurité centrés sur les données.

Découvrir les solutions de chiffrement des données
Services de gestion des identités et des accès (IAM)

Une gestion des identités et des accès complète, sécurisée et conforme pour les entreprises modernes.

Découvrez la gestion des identités et des accès (IAM)
Ressources Rapport 2023 sur le coût d’une violation de données

Consultez les dernières informations sur l’évolution du paysage des menaces et des recommandations sur la manière de gagner du temps et de limiter les pertes.

Qu’est-ce que la sécurité des données ?

Découvrez pourquoi la sécurité des données est aujourd’hui vitale pour le bien-être de toute entreprise.

Qu’est-ce que la gouvernance des données ?

Découvrez comment la gouvernance des données permet aux entreprises de tirer le meilleur parti de leurs actifs de données.

Passez à l’étape suivante

IBM Security Guardium Insights offre une solution unifiée de sécurité des données dotée de fonctionnalités SaaS et sur site conçues pour protéger les données quel que soit leur emplacement. Améliorez votre posture de sécurité des données grâce à une visibilité centralisée, une surveillance continue des données et des fonctionnalités de conformité avancées avec des workflows automatisés. Connectez et protégez les données dans plus de 19 environnements cloud et détectez les failles de sécurité des données à partir d’un emplacement unique.

Découvrir Réserver une démo en direct