Qu'est-ce que les PII (données à caractère personnel) ?

Les données à caractère personnel (PII) sont toutes les données susceptibles d'identifier une personne spécifique, telles que le nom, le numéro d'identification délivré par le gouvernement, la date de naissance, la profession ou l'adresse.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Expliquez ce que signifie « PII »
  • Identifier les deux principaux types de PII
  • Comparez les PII avec d'autres définitions légales des données personnelles

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que les PII (données à caractère personnel) ?

Les données à caractère personnel (PII) sont toutes les données qui peuvent être utilisées pour identifier une personne. Toutes les informations qui ont un lien direct ou indirect avec une personne sont considérées comme des PII. Le nom, l'adresse électronique, le numéro de téléphone, le numéro de compte bancaire et le numéro d'identification délivré par le gouvernement sont tous des exemples de PII.

De nos jours, de nombreuses organisations collectent, stockent et traitent les PII. Lorsque ces collections de données font l'objet d'une violation ou d'une fuite, les gens peuvent être victimes d'une usurpation d'identité ou d'autres attaques. En outre, la collecte des PII porte parfois atteinte à la vie privée, car les personnes perdent le contrôle et la visibilité de ce qu'il advient de leurs informations personnelles. Pour ces raisons, il est important de protéger les PII et de limiter leur collecte lorsque cela est possible.

Comment le National Institute of Security Technology définit-il les PII ?

Il n'existe pas de définition unique des PII, même si elles sont référencées par de nombreuses sources officielles. Le National Institute of Security Technology (NIST) propose l'une des définitions les plus largement référencées des PII :

« Toute information sur un individu conservée par une agence, y compris (1) toute information qui peut être utilisée pour distinguer ou retracer l'identité d'un individu, comme le nom, le numéro de sécurité sociale, la date et le lieu de naissance, le nom de jeune fille de la mère ou les enregistrements biométriques ; et (2) toute autre information qui est liée ou peut être liée à un individu, comme les informations médicales, éducatives, financières et d'emploi ».

Quels sont les deux principaux types de PII ?

Les deux principaux types de PII sont les informations qui identifient directement une personne et celles qui identifient indirectement une personne

Voici comment la définition du NIST des PII fait la distinction entre ces types d'informations.

  • Certaines informations permettent d'identifier directement une personne. Un nom complet, un numéro de sécurité sociale ou une adresse physique sont tous des exemples de ce type d'informations.
  • Les informations liées ou pouvant être liées ne permettent pas d'identifier directement une personne mais peuvent l'identifier indirectement : en d'autres termes, lorsqu'elles sont combinées avec une autre information.
    • Supposons que Jake habite au 1060 West Addison Street. Le prénom « Jake » ne suffit probablement pas à lui seul à l'identifier, car Jake est un prénom courant partagé par de nombreuses personnes aux États-Unis. Mais s'il est associé à l'adresse 1060 West Addison Street, il pourrait être possible d'identifier la personne en question.

Ce concept, avec une terminologie légèrement différente, apparaît également dans d'autres définitions des PII. Par exemple, le ministère américain du travail cite la définition suivante pour les PII :

« Toute représentation d'informations qui permet de déduire raisonnablement, par des moyens directs ou indirects, l'identité d'une personne à laquelle les informations s'appliquent. En outre, les PII sont définies comme des informations (i) qui identifient directement une personne (par exemple, le nom, l'adresse, le numéro de sécurité sociale ou tout autre numéro ou code d'identification, le numéro de téléphone, l'adresse électronique, etc.) ou (ii) par lesquelles une agence a l'intention d'identifier des personnes spécifiques en conjonction avec d'autres éléments de données, c'est-à-dire identification indirecte [c'est nous qui soulignons]. »

Le point important ici est que toutes les informations qui peuvent être utilisées pour identifier directement ou indirectement un individu doivent être protégées.

(Un concept similaire s'applique à la pseudonymisation : les données pseudonymisées peuvent être combinées avec d'autres données pour identifier directement un individu. Voir Qu'est-ce que la pseudonymisation ? pour en savoir plus).

Les PII sont-elles identiques aux « informations personnelles » ou aux « données personnelles » ?

Le concept général derrière tous ces termes est similaire : toute information qui se rapporte à une personne spécifique peut être considérée comme « personnelle ».

Toutefois, les différentes réglementations en matière de confidentialité des données utilisent des termes différents pour désigner les données qui peuvent être utilisées pour identifier une personne. Le terme " PII " est largement utilisé aux États-Unis, tandis que le Règlement général sur la protection des données (RGPD), un cadre européen de protection de la vie privée, fait plutôt référence à « données personnelles » et que la California Consumer Privacy Act (CCPA) fait référence à « informations personnelles ».

En outre, chaque législation sur la protection de la vie privée a ses propres définitions des données personnelles ou des PII ; les organisations doivent examiner attentivement les descriptions de la législation qui s'applique à elles.

Pourquoi les PII sont-elles un concept important pour la vie privée  ?

La vie privée désigne généralement la capacité d'une personne à déterminer elle-même quand, comment et dans quelle mesure les données personnelles la concernant (telles que les PII) sont partagées avec d'autres. Afin de protéger leur vie privée, les gens doivent savoir qui collecte leurs PII et ce qui en est fait.

Pour protéger les PII et la vie privée des utilisateurs, les organisations doivent savoir quelles sont les PII dont elles disposent et comment elles en assurent la sécurité. De nombreuses sources recommandent également de limiter la collecte et l'utilisation des IIP. C'est ce que l'on considère comme une pratique d'information équitable (en savoir plus).