Les informations PII sont toutes les données personnelles liées à une personne, comme son numéro de sécurité sociale, son numéro de sécurité sociale, son nom complet et son adresse électronique, qui peuvent être utilisées pour découvrir son identité.

Alors que nous utilisons toujours plus les technologies de l'information dans notre travail et notre vie privée, la quantité d'informations PII communiquées aux organisations augmente. Les entreprises recueillent, par exemple, des informations personnelles sur leurs clients pour comprendre leurs marchés, et les consommateurs fournissent leur numéro de téléphone et leur adresse personnelle pour s'abonner à des services et acheter en ligne. 

Le partage de PII peut avoir ses avantages, car il permet aux entreprises d'adapter les produits et les services aux souhaits et aux besoins de leurs clients, en proposant, par exemple, des résultats de recherche plus pertinents dans les applications de navigation. Cependant, les entrepôts croissants d'informations PII accumulées par les organisations attirent l'attention des cybercriminels. Les pirates volent les informations PII pour usurper des identités, les vendent au marché noir ou les séquestrent en utilisant des ransomewares. Selon le rapport Coût d'une violation de données de 2022 d'IBM, 83 % des entreprises ont subi plusieurs violations de données, le coût moyen de chaque violation s'élevant à 4,35 millions USD. Les particuliers et les professionnels de la sécurité des informations doivent naviguer dans un environnement informatique et juridique complexe pour protéger la confidentialité des données face à ces attaques. 

Les informations PII sont de deux types : identificateurs directs et identificateurs indirects. Les identificateurs directs sont propre à une personne et comprennent des éléments tels qu'un numéro de passeport ou de permis de conduire. Un seul identificateur direct est généralement suffisant pour déterminer l'identité d'une personne.

Les identificateurs indirects ne sont pas uniques. Ils incluent des informations personnelles plus générales, telles que la race et le lieu de naissance. Si un seul identificateur indirect ne permet pas d'identifier une personne, une combinaison d'identificateur le permet. Par exemple ,87 % des citoyens américains (PDF, 303 Ko)  (lien externe à ibm.com) peuvent être identifiés uniquement en fonction de leur sexe, de leur sexe, de leur code postal et de leur date de naissance.

Les informations personnelles ne sont pas toutes des informations PII. Par exemple, les données sur les habitudes de streaming d'une personne ne sont pas des informations PII, car il est difficile, voire impossible, d'identifier la personne en fonction de ce qu'elle regarde sur Netflix. Les informations PII font uniquement référence aux informations qui désignent une personne donnée, telles que le type d'informations que vous pourriez fournir pour vérifier votre identité lorsque vous contactez votre banque.

Parmi les informations PII, certaines informations sont plus sensibles que d'autres. Les informations PII sensibles sont des informations confidentielles qui identifient directement une personne et qui pourraient causer un préjudice important en cas de fuite ou de vol. Un numéro de sécurité sociale est un bon exemple d'information PII sensible. Comme la plupart des organismes administratifs et des institutions financières utilisent les numéros de sécurité sociale pour vérifier l'identité des personnes, un criminel qui vole cette information peut facilement accéder aux dossiers fiscaux ou aux comptes bancaires de sa victime. Autres exemples d'informations PII sensibles :

• Numéros d'identification uniques, tels que les numéros de permis de conduire, les numéros de passeport et d'autres numéros d'identification émis par l'administration
• Données biométriques, telles que les empreintes digitales et les scans rétiniens
• Information financières, notamment les numéros de comptes bancaires et les numéros carte de crédit
• Dossiers médicaux

Les informations PII sensibles ne sont généralement pas publiques, et la plupart des lois existantes sur la confidentialité des données exigent des organisations qu'elles les protègent en les chiffrant, en contrôlant les personnes autorisées à y accéder ou en prenant d'autres mesures de cybersécurité.

Les informations PII non sensibles sont des données personnelles qui, prises isolément, ne causent pas de préjudice important à une personne en cas de fuite ou de vol. Elles peuvent être ou non propres à une personne. Par exemple, un descripteur de média social peut être une information PII non sensible : il peut identifier une peronne, mais un acteur malveillant ne peut pas voler une identité avec seulement le nom du compte de média social. Autres exemples d'information PII non sensibles :

• Nom complet d'une personne
• Nom de jeune fille de la mère
• Numéro de téléphone
• Adresse IP
• Lieu de naissance
• Date de naissance
• Coordonnées géographiques (code postal, ville, état, pays, etc.)
• Information d'emploi
• Adresse électronique ou postale
• Race ou ethnicité
• Religion

Les informations PII non sensibles sont généralement publiques. Par exemple, les numéros de téléphone peuvent être répertoriés dans un annuaire téléphonique et les adresses peuvent l'être dans les registres de propriété publique e administration locale. Certaines réglementations sur la confidentialité des données n'exigent pas de protéger les informations PII non sensibles, mais la plupart des entreprises prennent quand même des mesures de protection. En effet, les criminels pourraient causer des problèmes en rassemblant des éléments d'informations PII non sensibles.

Par exemple, un pirate peut s'introduire dans l'application bancaire d'une personne avec son numéro de téléphone, son adresse électronique et le nom de jeune fille de sa mère. L'adresse électronique lui donne un nom d'utilisateur, l'usurpation du numéro de téléphone lui permet de recevoir un code de vérification et le nom de jeune fille de la mère lui fournit une réponse à la question de sécurité.

Il est important de noter que le fait qu'un élément soit considéré comme une information PII sensible ou non sensible dépend largement du contexte. Un nom complet en soi peut ne pas être sensible, mais une liste de personnes ayant consulté un certain médecin peut l'être. De même, le numéro de téléphone d'une personne peut être public, mais une base de données de numéros de téléphone utilisée pour l'authentification à deux facteurs sur un site de média social est une information PII sensible.

Quand une information sensible devient-elle une information PII ?

Le contexte détermine également si une information est une information PII. Par exemple, les données de géolocalisation anonymes agrégées sont souvent considérées comme des données personnelles génériques, car l'identité de chaque utilisateur ne peut pas être isolée. Cependant, les enregistrements individuels de données de géolocalisation anonymes peuvent devenir des informations PII, comme l'a montré récemment un procès de la Federal Trade Commission (FTC)  (lien externe à ibm.com). La FTC souligne que le courtier de données Kochava vendait des données de géolocalisation qui étaient des données PII, car « les flux de données personnalisés de la société permettent aux acheteurs d'identifier et de suivre des utilisateurs d'appareils mobiles spécifiques. Par exemple, l'emplacement d'un appareil mobile la nuit correspond probablement à l'adresse du domicile de l'utilisateur et peut être combiné avec les registres de propriété pour découvrir son identité ».

Les progrès technologiques facilitent également l'identification des personnes avec moins d'éléments d'information, ce qui peut réduire la notion d'informations PII en général. Par exemple, des chercheurs d'IBM et de l'Université du Maryland ont conçu un algorithme (PDF, 959 Ko) (lien externe à ibm.com) qui permet d'identifier des personnes en combinant des données de localisation anonymes et des informations publiques disponibles sur les sites de réseaux sociaux.

Réglementations internationales de confidentialité

D'après McKinsey (lien externe à ibm.com), 75 % des pays ont mis en oeuvre des lois sur la confidentialité de données qui régissent la collecte, la conservation et l'utilisation des informations PII. Il peut s'avérer difficile de respecter ces réglementations, car les administrations peuvent appliquer des réglementations différentes, voire contradictoires. L'essor du cloud computing et du travail à distance constitue également un défi. Dans ces environnements, les données peuvent être collectées dans un endroit, stockées dans un autre et traitées dans un troisième. Des réglementations différentes peuvent s'appliquer aux données à chaque étape, en fonction de l'emplacement géographique.

Pour compliquer encore les choses, les différentes réglementations fixent des normes différentes quant aux types de données qui doivent être protégées. Le Règlement général sur la protection des données (RGPD) de l'Union européenne exige des organisations qu'elles protègent toutes les données personnelles, définies (lien externe à ibm.com) comme « toute information relative à une personne physique identifiée ou identifiable ». En vertu du GDPR, les organisations doivent protéger les informations PII sensibles et non sensibles, mais aussi les données qui pourraient même ne pas être considérées comme sensibles dans d'autres contextes, comme les opinions politiques, les affiliations organisationnelles et les descriptions de caractéristiques physiques. 

Réglementations américaines sur la confidentialité

L'Office of Management and Budget (OMB) du gouvernement américain définit plus strictement les informations PII (PDF, 227 Ko)  (lien externe à ibm.com) comme suit :

[I]nformations qui peuvent être utilisées pour distinguer ou retracer l'identité d'une personne, comme son nom, son numéro de sécurité sociale, ses données biométriques, etc., seules ou combinées à d'autres informations personnelles ou d'identification qui sont liées ou peuvent être liées à une personne données, comme la date et le lieu de naissance, le nom de jeune fille de la mère, etc.

Comme le souligne Bart Willemsen, analyste chez Gartner  (lien externe à ibm.com) : « Aux États-Unis... Les informations PII font historiquement référence à deux ou trois douzaines d'identificateurs comme le nom, l'adresse, le numéro de sécurité social, le numéro de permis de conduire ou le numéro de carte de crédit. »

Bien que les États-Unis ne disposent pas de lois sur la confidentialité des données au niveau fédéral, les agences gouvernementales sont soumises à la loi sur la confidentialité de 1974, qui régit la manière dont les agences fédérales collectent, utilisent et partagent les informations PII. Certains États américains disposent de leur propre réglementation sur la confidentialité des données, notamment la Californie. Le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA) accordent aux consommateurs certains droits sur la manière dont les organisations collectent, stockent et utilisent leurs informations PII.

Réglementations sur la confidentialité dans l'industrie

Certains secteurs d'activité appliquent également leurs propres réglementations de confidentialité des données. Aux États-Unis, le Health Insurance Portability and Accountability Act (HIPAA) définit la manière dont les organisations de soins de santé collectent et protègent les dossiers médicaux et les informations PII des patients. De même, la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est une norme mondiale du secteur financier qui définit la façon dont les sociétés de cartes de crédit, les commerçants et les processeurs des paiements traitent les informations sensibles des titulaires des cartes.

Des études révèlent que les organisations éprouvent des difficultés à naviguer dans cet environnement évolutif de lois et de normes sectorielles. Selon l'ESG (lien externe à ibm. com), les audits de confidentialité des données réalisés dans des entreprises au cours des trois dernières années ont été au moins une fois négatifs et au moins moins trois fois négatifs pour 66 % et 23 % d'entre elles. Le non-respect des réglementations relatives à la confidentialité des données peut entraîner des amendes, une atteinte à la réputation, une perte d'activité et avoir d'autres conséquences pour les organisations. Par exemple, Amazon a été condamné à une amende de 888 millions USD pour ne pas avoir respecté le RGPD en 2021 (lien externe à ibm.com).

Les pirates informatiques volent les informations PII pour de nombreuses raisons : vol d'identité, chantage ou marché noir. Ces activités peuvent rapporter jusqu'à 1 USD par numéro de sécurité sociale et 2 000 USD pour un numéro de passeport (lien externe à ibm.com). Les pirates peuvent également cibler les informations PII dans le cadre d'une attaque plus importante : ils peuvent les prendre en otage à l'aide d'un ransomware ou les voler pour s'emparer des comptes de messagerie des dirigeants, afin de les utiliser dans des attaques par hameçonnage ciblé et de compromission des messageries professionnelles (BEC).

Les cybercriminels procèdent généralement à des attaques d'ingénierie sociale pour inciter des victimes peu méfiantes à leur remettre volontairement des informations PII, mais ils peuvent aussi les acheter sur le Dark Web ou y accéder dans le cadre d'une violation de données plus large. Les informations PII peuvent être volées physiquement en fouillant dans la corbeille d'une personne ou en l'espionnant pendant qu'elle utilise un ordinateur. Les acteurs malveillants peuvent également surveiller les comptes de médias sociaux de la cible, où de nombreuses personnes partagent chaque jour, sans le savoir, des informations PII non sensibles. Au fil du temps, un attaquant peut rassembler suffisamment d'informations pour se faire passer pour sa victime ou s'introduire dans ses comptes.

Pour les organisations, la protection des informations PII peut être compliquée. La croissance du cloud computing et des services SaaS signifie que les informations PII peuvent être stockées et traitées dans plusieurs endroits plutôt que dans un seul réseau centralisé. Selon un rapport de l'ESG  (lien externe à ibm.com), la quantité de données sensibles stockées dans les clouds publics devrait doubler d'ici 2024, et plus de la moitié des organisations estiment que ces données ne sont pas suffisamment sécurisées.

Pour protéger les informations PII, les organisations créent généralement des cadres de confidentialité des données. Ces cadres peuvent prendre différentes formes en fonction de l'organisation , des informations PII qu'elle collecte et des réglementations de confidentialité des données qu'elle doit respecter. Le National Institute of Standards and Technology (NIST) fournit, par exemple, le cadre suivant (lien externe à ibm.com) :

1. Identifier toutes les informations PII dans les systèmes de l'organisation.

2. Réduire la collecte et l'utilisation des données PII, et éliminer régulièrement les informations PII qui ne sont plus nécessaires.

3. Catégoriser les informations PII selon le niveau de sensibilité.

4. Appliquer des contrôles sécurité des données. Les contrôles peuvent comprendre, par exemple :

• Chiffrement : le chiffrement des informations PII en transit, au repos et en cours d'utilisation par le biais du chiffrement homomorphique ou d'une informatique confidentielle peut permettre de protéger et maintenir la conformité des informations PII, quel que soit l'endroit où elles sont stockées ou traitées.
  
  
• Identité et gestion des accès (IAM) : l'authentification à deux facteurs ou multifacteur peut ériger un plus grand nombre de barrières entre les pirates et les données sensibles. De même, l'application du principe du moindre privilège par le biais d'une architecture Zero Trust et de contrôles des accès basés sur les rôles (RBAC) peut limiter la quantité des informations PII auxquelles les pirates peuvent accéder s'ils pénètrent dans le réseau.
  
  
• Formation : il peut s'agir à la fois de former les employés au traitement et à l'élimination corrects des informations PII et à la protection de leurs propres informations PII (par exemple, formation à la détection de l'hameçonnage, à l'ingénierie sociale, à la sensibilisation aux médias sociaux).
  
  
• Anonymisation : l'anonymisation des données consiste à supprimer les caractéristiques d'identification des données sensibles. Les techniques d'anonymisation courantes consistent à supprimer les identificateurs des données, à agréger les données ou à ajouter stratégiquement du bruit aux données.
  
  
• Outils de cybersécurité :Les outils de prévention des pertes de données (DLP) peuvent permettre de suivre les données lorsqu'elles se déplacent dans le réseau, ce qui facilite la détection des fuites et des violations. D'autres solutions de cybersécurité qui offrent des vues générales l'activité dans le réseau, telles que les outils de détection et de réponse étendues (XDR), peuvent également permettre de suivre l'utilisation des informations PII et les abus les concernant.

5. Élaborer un plan de réponse aux incidents pour les fuites et les violations d'informations PII.

Notons que le NIST et d'autres experts dans le domaine de confidentialité des données recommandent généralement d'appliquer des contrôles différents à différents ensembles de données en fonction de leur degré de sensibilité. L'utilisation de contrôles stricts pour les données non sensibles peut être fastidieuse et pas rentable.