Les données à caractère personnel (PII) sont toutes les données susceptibles d'identifier une personne spécifique, telles que le nom, le numéro d'identification délivré par le gouvernement, la date de naissance, la profession ou l'adresse.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Les données à caractère personnel (PII) sont toutes les données qui peuvent être utilisées pour identifier une personne. Toutes les informations qui ont un lien direct ou indirect avec une personne sont considérées comme des PII. Le nom, l'adresse électronique, le numéro de téléphone, le numéro de compte bancaire et le numéro d'identification délivré par le gouvernement sont tous des exemples de PII.
De nos jours, de nombreuses organisations collectent, stockent et traitent les PII. Lorsque ces collections de données font l'objet d'une violation ou d'une fuite, les gens peuvent être victimes d'une usurpation d'identité ou d'autres attaques. En outre, la collecte des PII porte parfois atteinte à la vie privée, car les personnes perdent le contrôle et la visibilité de ce qu'il advient de leurs informations personnelles. Pour ces raisons, il est important de protéger les PII et de limiter leur collecte lorsque cela est possible.
Il n'existe pas de définition unique des PII, même si elles sont référencées par de nombreuses sources officielles. Le National Institute of Security Technology (NIST) propose l'une des définitions les plus largement référencées des PII :
« Toute information sur un individu conservée par une agence, y compris (1) toute information qui peut être utilisée pour distinguer ou retracer l'identité d'un individu, comme le nom, le numéro de sécurité sociale, la date et le lieu de naissance, le nom de jeune fille de la mère ou les enregistrements biométriques ; et (2) toute autre information qui est liée ou peut être liée à un individu, comme les informations médicales, éducatives, financières et d'emploi ».
Les deux principaux types de PII sont les informations qui identifient directement une personne et celles qui identifient indirectement une personne
Voici comment la définition du NIST des PII fait la distinction entre ces types d'informations.
Ce concept, avec une terminologie légèrement différente, apparaît également dans d'autres définitions des PII. Par exemple, le ministère américain du travail cite la définition suivante pour les PII :
« Toute représentation d'informations qui permet de déduire raisonnablement, par des moyens directs ou indirects, l'identité d'une personne à laquelle les informations s'appliquent. En outre, les PII sont définies comme des informations (i) qui identifient directement une personne (par exemple, le nom, l'adresse, le numéro de sécurité sociale ou tout autre numéro ou code d'identification, le numéro de téléphone, l'adresse électronique, etc.) ou (ii) par lesquelles une agence a l'intention d'identifier des personnes spécifiques en conjonction avec d'autres éléments de données, c'est-à-dire identification indirecte [c'est nous qui soulignons]. »
Le point important ici est que toutes les informations qui peuvent être utilisées pour identifier directement ou indirectement un individu doivent être protégées.
(Un concept similaire s'applique à la pseudonymisation : les données pseudonymisées peuvent être combinées avec d'autres données pour identifier directement un individu. Voir Qu'est-ce que la pseudonymisation ? pour en savoir plus).
Le concept général derrière tous ces termes est similaire : toute information qui se rapporte à une personne spécifique peut être considérée comme « personnelle ».
Toutefois, les différentes réglementations en matière de confidentialité des données utilisent des termes différents pour désigner les données qui peuvent être utilisées pour identifier une personne. Le terme " PII " est largement utilisé aux États-Unis, tandis que le Règlement général sur la protection des données (RGPD), un cadre européen de protection de la vie privée, fait plutôt référence à « données personnelles » et que la California Consumer Privacy Act (CCPA) fait référence à « informations personnelles ».
En outre, chaque législation sur la protection de la vie privée a ses propres définitions des données personnelles ou des PII ; les organisations doivent examiner attentivement les descriptions de la législation qui s'applique à elles.
La vie privée désigne généralement la capacité d'une personne à déterminer elle-même quand, comment et dans quelle mesure les données personnelles la concernant (telles que les PII) sont partagées avec d'autres. Afin de protéger leur vie privée, les gens doivent savoir qui collecte leurs PII et ce qui en est fait.
Pour protéger les PII et la vie privée des utilisateurs, les organisations doivent savoir quelles sont les PII dont elles disposent et comment elles en assurent la sécurité. De nombreuses sources recommandent également de limiter la collecte et l'utilisation des IIP. C'est ce que l'on considère comme une pratique d'information équitable (en savoir plus).