Informations personnellement identifiables (PII)
Que sont les informations personnellement identifiables (PII)?
Les informations personnellement identifiables (PII) sont des informations qui, lorsqu’elles sont utilisées seules ou avec d’autres données pertinentes, peuvent identifier un individu. Les PII peuvent contenir des identifiants directs (par exemple, des informations de passeport) qui peuvent identifier une personne de manière unique, ou des quasi-identifiants (par exemple, la race) qui peuvent être combinés avec d’autres quasi-identifiants (par exemple, la date de naissance) pour reconnaître avec succès un individu.
Points clés à retenir
- Les informations personnellement identifiables (PII) sont des informations qui, lorsqu’elles sont utilisées seules ou avec d’autres données pertinentes, peuvent identifier un individu.
- Les informations personnelles sensibles peuvent inclure votre nom complet, votre numéro de sécurité sociale, votre permis de conduire, vos informations financières et vos dossiers médicaux.
- Les informations personnelles non sensibles sont facilement accessibles à partir de sources publiques et peuvent inclure votre code postal, votre race, votre sexe et votre date de naissance.
Comprendre les informations personnellement identifiables (PII)
Les plates-formes technologiques avancées ont changé la façon dont les entreprises fonctionnent, les gouvernements légifèrent et les individus interagissent. Avec des outils numériques comme les téléphones portables, Internet, le commerce électronique et les médias sociaux, il y a eu une explosion de l’offre de toutes sortes de données.
Les mégadonnées, comme on les appelle, sont collectées, analysées et traitées par les entreprises et partagées avec d’autres entreprises. La richesse des informations fournies par le big data a permis aux entreprises de mieux comprendre comment mieux interagir avec les clients.
Cependant, l’émergence des mégadonnées a également augmenté le nombre de violations de données et de cyberattaques par des entités qui prennent conscience de la valeur de ces informations. En conséquence, des préoccupations ont été soulevées quant à la manière dont les entreprises traitent les informations sensibles de leurs consommateurs. Les organismes de réglementation recherchent de nouvelles lois pour protéger les données des consommateurs, tandis que les utilisateurs recherchent des moyens plus anonymes de rester numériques.
Informations personnelles sensibles ou non sensibles
(PII)
Les informations personnellement identifiables (PII) peuvent être sensibles ou non sensibles. Les informations personnelles sensibles comprennent des statistiques juridiques telles que:
- Nom et prénom
- Numéro de sécurité sociale (SSN)
- Le permis de conduire
- Adresse postale
- Informations sur la carte de crédit
- Informations sur le passeport
- L’information financière
- Dossiers médicaux
La liste ci-dessus n’est en aucun cas exhaustive. Les entreprises qui partagent des données sur leurs clients utilisent normalement des techniques d’ anonymisation pour crypter et masquer les informations personnelles, de sorte qu’elles sont reçues sous une forme non personnellement identifiable. Une compagnie d’assurance qui partage les informations de ses clients avec une société de marketing masquera les informations personnelles sensibles incluses dans les données et ne laissera que les informations liées à l’objectif de la société de marketing.
Les informations personnelles non sensibles ou indirectes sont facilement accessibles à partir de sources publiques telles que les annuaires téléphoniques, Internet et les annuaires d’entreprise. Voici des exemples de PII non sensibles ou indirects:
- Code postal
- Course
- Genre
- Date de naissance
- Lieu de naissance
- Religion
La liste ci-dessus contient des quasi-identifiants et des exemples d’informations non sensibles qui peuvent être rendues publiques. Ce type d’information ne peut être utilisé seul pour déterminer l’identité d’un individu.
Cependant, les informations non sensibles, bien que non délicates, peuvent être liées. Cela signifie que les données non sensibles, lorsqu’elles sont utilisées avec d’autres informations personnelles pouvant être liées, peuvent révéler l’identité d’un individu. Les techniques de désanonymisation et de ré-identification ont tendance à être couronnées de succès lorsque plusieurs ensembles de quasi-identifiants sont rassemblés et peuvent être utilisés pour distinguer une personne d’une autre.
Protection des informations personnellement identifiables (PII)
Plusieurs lois sur la protection des données ont été adoptées par divers pays pour créer des lignes directrices pour les entreprises qui collectent, stockent et partagent les informations personnelles des clients. Certains des principes de base énoncés par ces lois stipulent que certaines informations sensibles ne doivent être collectées que dans des situations extrêmes.
En outre, les directives réglementaires stipulent que les données doivent être supprimées si elles ne sont plus nécessaires à l’objectif déclaré, et les informations personnelles ne doivent pas être partagées avec des sources qui ne peuvent garantir leur protection.
La réglementation et la protection des informations personnelles identifiables (PII) seront probablement un problème dominant pour les individus, les entreprises et les gouvernements dans les années à venir.
Les cybercriminels violent les systèmes de données pour accéder aux PII, qui sont ensuite vendues à des acheteurs consentants sur des marchés numériques souterrains. Par exemple, en 2015, l’IRS a subi une violation de données conduisant au vol de plus de cent mille PII des contribuables. En utilisant des quasi-informations volées à de multiples sources, les auteurs ont pu accéder à une application de site Web de l’IRS en répondant à des questions de vérification personnelle qui auraient dû être accessibles uniquement aux contribuables.
Informations personnellement identifiables (PII) dans le monde
La définition de ce qui comprend les PII diffère selon l’endroit où vous vivez dans le monde. Aux États-Unis, le gouvernement a défini «personnellement identifiable» en 2020 comme tout ce qui peut «être utilisé pour distinguer ou retracer l’identité d’un individu», comme le nom, le SSN et les informations biométriques;soit seul, soit avec d’autres identifiants tels que la date de naissance ou le lieu de naissance.
Dans l’ Union européenne (UE), la définition s’élargit pour inclure les quasi-identifiants comme indiqué dans le règlement général sur la protection des données (RGPD) entré en vigueur en mai 2018.3 Le RGPD est un cadre juridique qui fixe des règles de collecte et le traitement des informations personnelles des personnes résidant dans l’UE.
Exemple d’informations personnellement identifiables (PII)
Début 2018, Facebook Inc. (FB) a été impliqué dans une violation de données majeure. Les profils de 50 millions d’utilisateurs de Facebook ont été collectés sans leur consentement par une société extérieure appelée Cambridge Analytica.
Cambridge Analytica a obtenu ses données de Facebook par l’intermédiaire d’un chercheur qui a travaillé à l’Université de Cambridge. Le chercheur a créé une application Facebook qui était un quiz de personnalité. Une application est une application logicielle utilisée sur les appareils mobiles et les sites Web.
L’application a été conçue pour prendre les informations de ceux qui se sont portés volontaires pour donner accès à leurs données pour le quiz. Malheureusement, l’application a non seulement collecté les données des participants au quiz, mais, en raison d’une faille dans le système de Facebook, a également pu collecter des données auprès des amis et des membres de la famille des participants au quiz.
En conséquence, plus de 50 millions d’utilisateurs de Facebook ont vu leurs données exposées à Cambridge Analytica sans leur consentement. Bien que Facebook ait interdit la vente de leurs données, Cambridge Analytica s’est retourné et a vendu les données pour les utiliser à des fins de conseil politique.
Mark Zuckerberg, fondateur et PDG de Facebook, a publié une déclaration dans le cadre de la publication des résultats du premier trimestre de 2019 de la société:
Nous nous concentrons sur la construction de notre vision axée sur la confidentialité pour l’avenir des réseaux sociaux et travaillons en collaboration pour résoudre les problèmes importants liés à Internet.
La violation de données a non seulement affecté les utilisateurs de Facebook, mais également les investisseurs. Les bénéfices de Facebook ont diminué de 50% au T1-2019 par rapport à la même période un an plus tôt. La société a accumulé 3 milliards de dollars en frais juridiques et aurait eu un bénéfice par action de 1,04 $ plus élevé sans les dépenses, indiquant:
Nous estimons que la fourchette des pertes dans cette affaire va de 3,0 à 5,0 milliards de dollars. La question n’est toujours pas résolue et il ne peut y avoir aucune assurance quant au moment ou aux modalités de tout résultat final.
Les entreprises investiront sans aucun doute dans des moyens de récolter des données, telles que des informations personnelles identifiables (PII), pour offrir des produits aux consommateurs et maximiser les profits, mais seront confrontées à une réglementation plus stricte dans les années à venir.