Qu’est-ce que les données personnelles (PII) ?

Il existe deux types d’informations personnelles identifiables : les identifiants directs et les identifiants indirects. Les identifiants directs sont propres à une personne et comprennent des éléments tels que le numéro de passeport ou le numéro de permis de conduire. Un seul identifiant direct suffit généralement à déterminer l’identité d’une personne.

Les identifiants indirects ne sont pas uniques. Ils contiennent des informations personnelles plus générales telles que l’origine et le lieu de naissance. Bien qu’un identifiant indirect unique ne puisse pas identifier une personne, une combinaison de ces identifiants le permet. Par exemple, 87 % des citoyens américains (lien externe à ibm.com) ont pu être identifiés sur la base de leur sexe, de leur code postal et de leur date de naissance.

Toutes les données personnelles ne sont pas des PII. Par exemple, les données relatives aux habitudes de streaming d’une personne ne sont pas des informations personnelles identifiables. En effet, il serait difficile, pour ne pas dire impossible, d’identifier une personne en se basant uniquement sur ce qu’elle a regardé sur Netflix. Les informations personnelles identifiables ne font référence qu’à des informations qui désignent une personne en particulier, à l’image des informations communiquées à votre banque pour vérifier votre identité.

Parmi les informations personnelles identifiables, certaines informations sont plus sensibles que d’autres. Les informations personnelles sensibles sont des données sensibles qui identifient directement une personne et qui pourraient causer des dommages importants en cas de fuite ou de vol.

Un numéro de sécurité sociale est un bon exemple de PII sensible. Étant donné que de nombreuses agences gouvernementales et institutions financières utilisent les numéros de sécurité sociale pour vérifier l’identité des personnes, un criminel qui vole ces numéros pourrait facilement accéder aux dossiers fiscaux ou aux comptes bancaires de sa victime. Voici d’autres exemples d’informations personnelles sensibles :

• Les numéros d’identification uniques, tels que les numéros de permis de conduire, les numéros de passeport et autres numéros d’identification émis par le gouvernement.
• Les données biométriques, telles que les empreintes digitales et les scans rétiniens.
• Les informations financières, y compris les numéros de comptes bancaires et les numéros de carte de crédit.
• Les dossiers médicaux.

Les informations personnelles sensibles ne sont généralement pas accessibles au public, et la plupart des lois en vigueur sur la confidentialité des données exigent des organisations qu’elles les protègent en les chiffrant, en contrôlant leur accès ou en prenant d’autres mesures de cybersécurité.

Les informations personnelles non sensibles sont des données personnelles qui, prises isolément, ne causeraient pas de préjudice significatif à une personne en cas de fuite ou de vol. Elles peuvent ou non être propres à une personne. Par exemple, un identifiant sur un réseau social ne fait pas partie des PII non sensibles : il pourrait permettre d’identifier une personne, mais un acteur malveillant ne pourrait pas commettre un vol d’identité en utilisant uniquement un nom de compte de réseau social. Voici d’autres exemples d’informations personnelles identifiables non sensibles :

• Nom complet d’une personne
• Nom de jeune fille de la mère
• Numéro de téléphone
• adresse IP ;
• Lieu de naissance
• Date de naissance
• Données géographiques (code postal, ville, État, pays, etc.)
• Informations professionnelles
• Adresse e-mail ou postale
• Race ou origine ethnique
• Religion

Les informations personnelles non sensibles sont souvent accessibles au public. Par exemple, les numéros de téléphone peuvent être répertoriés dans un annuaire téléphonique et les adresses peuvent être répertoriées dans les registres de propriété publique d’une administration locale. Certaines réglementations relatives à la confidentialité des données n’exigent pas la protection des informations personnelles non sensibles, mais de nombreuses entreprises mettent quand même des mesures de protection en place. En effet, les criminels sont capables d’arriver à leur fin en combinant plusieurs informations personnelles non sensibles.

Par exemple, un pirate informatique pourrait s’introduire dans l’application du compte bancaire d’une personne en utilisant son numéro de téléphone, son adresse e-mail et le nom de jeune fille de sa mère. L’e-mail lui donne un nom d’utilisateur. L’usurpation du numéro de téléphone permet de recevoir un code de vérification. Le nom de jeune fille de la mère permet de répondre à la question de sécurité.

Il est important de noter que la classification des informations personnelles sensibles ou non sensibles dépend fortement du contexte. Un nom complet en lui-même peut ne pas être sensible, mais une liste de personnes ayant consulté un certain médecin serait considérée comme sensible. De même, le numéro de téléphone d’une personne peut être accessible au public, mais une base de numéros de téléphone utilisée pour l’authentification à deux facteurs sur un site de réseau social serait constituée d’informations personnelles sensibles.

À quel moment des informations sensibles deviennent-elles des informations personnelles identifiables ?

Le contexte détermine également si un élément est considéré comme une information personnelle. Par exemple, les données de géolocalisation anonymes agrégées sont souvent considérées comme des données personnelles génériques, car l’identité d’un seul utilisateur ne peut pas être isolée.

Cependant, les enregistrements individuels de données de géolocalisation anonymes peuvent devenir des informations personnelles identifiables, comme l’a démontré un procès récent de la Federal Trade Commission (FTC) (lien externe à ibm.com).

La FTC affirme que le courtier en données Kochava vendait des données de géolocalisation qui étaient considérées comme des informations personnelles identifiables, car « les flux de données personnalisés de l’entreprise permettent aux acheteurs d’identifier et de suivre des utilisateurs spécifiques d’appareils mobiles. Par exemple, la localisation d’un appareil mobile la nuit est probablement l’adresse du domicile de l’utilisateur et elle pourrait être combinée à des registres de propriété pour découvrir son identité ».

Les progrès technologiques facilitent également l’identification des personnes avec moins d’éléments d’information, ce qui abaisse potentiellement le seuil de ce qui est considéré comme une information personnelle identifiable sur le plan général. Par exemple, des chercheurs d’IBM et de l’Université du Maryland ont conçu un algorithme (lien externe à ibm.com). Cet algorithme identifie des personnes spécifiques en combinant des données de localisation anonymes avec des informations accessibles au public sur les réseaux sociaux.

Réglementations internationales en matière de confidentialité

Selon McKinsey (lien externe à ibm.com), 75 % des pays ont instauré des lois sur la confidentialité des données régissant la collecte, la conservation et l’utilisation des informations personnelles. Il peut être difficile de se conformer à ces réglementations, car les différentes juridictions peuvent avoir des règles différentes, voire contradictoires.

L’essor du cloud computing et du travail à distance constitue également un défi. Dans ces environnements, les données peuvent être collectées en un seul endroit, stockées dans un autre et traitées dans un troisième. Des réglementations différentes peuvent s’appliquer aux données à chaque étape, en fonction de l’emplacement géographique.

Pour compliquer davantage les choses, les différentes réglementations établissent des normes différentes quant aux types de données à protéger. Le Règlement général sur la protection des données (RGPD) de l’Union européenne impose aux organisations de protéger toutes les données personnelles, définies (lien externe à ibm.com) comme « toute information relative à une personne physique identifiée ou identifiable ».

En vertu du RGPD, les organisations ont l’obligation de protéger les PII sensibles et non sensibles. Elles doivent également protéger des éléments qui pourraient même ne pas être considérés comme des données sensibles dans d’autres contextes. Ces informations comprennent les opinions politiques, les affiliations à des organisations et des descriptions de caractéristiques physiques. 

Réglementations en matière de confidentialité aux États-Unis

L’Office of Management and Budget (OMB) du gouvernement américain définit plus étroitement les PII (lien externe à ibm.com) comme étant

[U]ne information qui peut être utilisée pour distinguer ou tracer l’identité d’une personne, notamment son nom, son numéro de sécurité sociale, ses données biométriques, etc., seule ou associée à d’autres informations personnelles ou d’identification liées ou pouvant être liées à une personne spécifique, telles que la date et le lieu de naissance, le nom de jeune fille de la mère, etc.

Comme l’explique Bart Willemsen, analyste chez Gartner , (lien externe à ibm.com), « aux États-Unis, les informations personnelles identifiables font généralement référence à deux ou trois douzaines d’identifiants tels que le nom, l’adresse, le numéro de sécurité sociale, le permis de conduire ou le numéro de carte de crédit ».

Bien que les États-Unis ne disposent pas de lois sur la confidentialité des données au niveau fédéral, les agences gouvernementales sont soumises à la loi sur la protection de la vie privée de 1974, qui régit la manière dont les agences fédérales collectent, utilisent et partagent les PII. Certains États américains disposent de leur propre réglementation en matière de confidentialité des données, notamment la Californie. La loi CCPA (California Consumer Privacy Act) et la loi CPRA (California Privacy Rights Act) accordent aux consommateurs certains droits sur la manière dont les organisations collectent, stockent et utilisent leurs PII.

Réglementations spécifiques aux secteurs d’activité en matière de protection de la confidentialité

Certains secteurs disposent également de leurs propres réglementations en matière de confidentialité des données. Aux États-Unis, la loi HIPAA (Health Insurance Portability and Accountability Act) régit la manière dont les organismes de santé collectent et protègent les dossiers médicaux et les informations personnelles des patients.

De même, la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme mondiale du secteur financier régissant la manière dont les sociétés de cartes de crédit, les commerçants et les processeurs de paiement traitent les informations sensibles des titulaires de carte.

La recherche souligne le fait que les organisations ont du mal à faire face à une telle variété de lois et de normes sectorielles. Selon ESG (lien externe à ibm.com), 66 % des entreprises ayant fait l’objet d’un audit sur la confidentialité des données au cours des trois dernières années ont échoué au moins une fois, et 23 % ont échoué trois fois ou plus.

Le non-respect des réglementations en matière de confidentialité des données peut entraîner des amendes, des atteintes à la réputation, des pertes d’activité et d’autres conséquences pour les organisations. Par exemple, Amazon a été condamné à une amende de 888 millions USD pour violation du RGPD en 2021 (lien externe à ibm.com).

Les pirates informatiques volent des informations personnelles identifiables pour de nombreuses raisons : usurpation d’identité, chantage ou revente sur le marché noir, ce qui peut leur rapporter jusqu’à 1 USD par numéro de sécurité sociale et 2 000 USD par numéro de passeport (lien externe à ibm.com). 

Les pirates peuvent également cibler les informations personnelles identifiables dans le cadre d’une attaque plus vaste : ils peuvent les prendre en otage à l’aide d’un ransomware ou les voler pour prendre le contrôle des comptes de messagerie des dirigeants afin de les utiliser dans le cadre d’un phishing ciblé et de compromission des e-mails professionnels (BEC).

Les cybercriminels utilisent souvent des attaques d’ingénierie sociale qui incitent des victimes, qui n’ont pas de raison de se méfier, à leur transmettre volontairement des informations personnelles identifiables. Ils peuvent également les acheter sur le dark web ou y accéder dans le cadre d’une violation de données plus importante. Les informations personnelles identifiables peuvent être volées physiquement en fouillant dans les corbeilles d’une personne ou en l’espionnant lorsqu’elle utilise son ordinateur.

Les acteurs malveillants peuvent également surveiller les comptes de réseaux sociaux d’une cible, où de nombreuses personnes partagent chaque jour sans le savoir des informations personnelles non sensibles. Au fil du temps, un pirate informatique peut collecter suffisamment d’informations pour se faire passer pour une victime ou pirater ses comptes.

Pour les entreprises, la protection des informations personnelles peut s’avérer compliquée. L’essor du cloud computing et des services SaaS signifie que les informations personnelles peuvent être stockées et traitées sur plusieurs sites en lieu et place d’un réseau unique et centralisé.

Selon un rapport d’ESG (lien externe à ibm.com), la quantité de données sensibles stockées dans les clouds publics devrait doubler d’ici 2024, et plus de la moitié des organisations estiment que ces données ne sont pas suffisamment sécurisées.

Pour protéger les informations personnelles identifiables, les organisations créent généralement des cadres de confidentialité des données. Ces cadres peuvent prendre différentes formes en fonction de l’organisation, des PII qu’elles collectent et des réglementations en matière de confidentialité des données qu’elles doivent respecter. Par exemple, le National Institute of Standards and Technology (NIST) fournit cet exemple de cadre d’exigences (lien externe à ibm.com) :

1. Identifiez toutes les informations personnelles identifiables dans les systèmes de l’organisation.

2. Minimisez la collecte et l’utilisation des informations personnelles (PII) et éliminez régulièrement celles qui ne sont plus utiles.

3. Classez les informations personnelles identifiables en fonction de leur niveau de sensibilité.

4. Appliquez des contrôles de sécurité des données. Exemples de contrôles :

• Chiffrement : le chiffrement des informations personnelles en transit, au repos et en cours d’utilisation par le biais du chiffrement homomorphe ou du confidential computing peut contribuer à assurer la sécurité et la conformité des informations personnelles, quel que soit l’endroit où elles sont stockées ou traitées.
  
  
• Gestion des identités et des accès (IAM) : l’authentification à deux facteurs ou multi-facteur peut placer davantage d’obstacles entre les pirates informatiques et les données sensibles. De même, l’application du principe du moindre privilège via une architecture Zero Trust et des contrôles d’accès basés sur les rôles (RBAC) peut limiter le nombre d’accès auxquels les pirates informatiques peuvent accéder en cas d’intrusion dans le réseau.
  
  
• Formation : les employés apprennent à traiter et à supprimer les informations personnelles en bonne conformité. Les employés apprennent également à protéger leurs propres informations personnelles. Cette formation couvre des domaines tels que l’anti-hameçonnage, l’ingénierie sociale et la sensibilisation aux réseaux sociaux.
  
  
• Anonymisation : l’anonymisation des données est le processus de suppression des caractéristiques d’identification des données sensibles. Les techniques d’anonymisation courantes incluent la suppression des identifiants des données, l’agrégation des données ou l’ajout stratégique de bruit aux données.
  
  
• Outils de cybersécurité : les outils de prévention des pertes de données (DLP) permettent de suivre les données au fur et à mesure qu’elles circulent sur le réseau, ce qui facilite la détection des fuites et des violations. D’autres solutions de cybersécurité qui offrent une visibilité approfondie de l’activité sur le réseau, telles que les outils de détection et de réponse étendues (XDR), peuvent également aider à suivre l’utilisation et les mauvais usages des informations personnelles.

5. Rédigez un plan de réponse aux incidents pour les fuites et les violations d’informations personnelles identifiables.

Il convient de noter que le NIST et d’autres experts en confidentialité des données recommandent souvent d’appliquer différents contrôles aux différents ensembles de données en fonction du degré de sensibilité des données. L’utilisation de contrôles stricts pour les données non sensibles peut s’avérer fastidieuse et peu rentable.