Cybersécurité Définition

personal identifiable information (PII)

personal identifiable information (PII)

Les informations personnellement identifiables (IPI) sont toutes les données qui pourraient potentiellement identifier une personne spécifique. Toute information qui peut être utilisée pour distinguer une personne d’une autre et qui peut être utilisée pour désanonymiser des données précédemment anonymes peut être considérée comme une IIP.

Les IIP peuvent être utilisées seules ou en tandem avec d’autres données pertinentes pour identifier un individu et peuvent incorporer des identifiants directs, tels que des informations de passeport, qui peuvent identifier une personne de manière unique ou des quasi-identifiants, tels que la race, qui peuvent être combinés avec d’autres quasi-identifiants, tels que la date de naissance, pour reconnaître avec succès un individu.

La protection des RPI est essentielle pour la protection de la vie privée, la confidentialité des données, la protection des données, la confidentialité des informations et la sécurité des informations. Avec seulement quelques éléments d’informations personnelles d’un individu, les voleurs peuvent créer de faux comptes au nom de la personne, contracter des dettes, créer un passeport falsifié ou vendre l’identité d’une personne à un criminel. Comme les données personnelles des individus sont enregistrées, suivies et utilisées quotidiennement – comme dans les scanners biométriques avec empreintes digitales et les systèmes de reconnaissance faciale utilisés pour déverrouiller leurs dispositifs – il est de plus en plus essentiel de protéger l’identité des individus et tout élément d’information qui leur est propre.

Exemples d’PII

Selon l’Administration des services généraux (GSA) des États-Unis : « La définition des RPI n’est pas ancrée à une seule catégorie d’information ou de technologie. Elle exige plutôt une évaluation au cas par cas du risque spécifique qu’un individu puisse être identifié. En procédant à cette évaluation, il est important pour une agence de reconnaître que des informations non-RPI peuvent devenir des RPI dès lors que des informations supplémentaires sont rendues publiques – sur tout support et à partir de toute source – qui, combinées à d’autres informations disponibles, pourraient être utilisées pour identifier un individu ».

Bien que la définition juridique des RPI puisse varier d’une juridiction à l’autre et d’un État à l’autre, le terme fait généralement référence aux informations qui peuvent être utilisées pour distinguer ou retrouver l’identité d’un individu, soit par elles-mêmes, soit en combinaison avec d’autres informations personnelles ou d’identification qui sont liées ou peuvent être liées à un individu. Toute information permettant d’identifier une personne en tant qu’individu, séparément de toutes les autres, les RPI peuvent comprendre le nom, l’adresse, l’adresse électronique, le numéro de téléphone, la date de naissance, le numéro de passeport, les empreintes digitales, le numéro de permis de conduire, le numéro de carte de crédit/débit et le numéro de sécurité sociale.

Le Département de l’énergie (DOE), par exemple, définit les RPI comme suit : « Toute information recueillie ou conservée par le ministère au sujet d’un individu — y compris, mais sans s’y limiter, l’éducation, les transactions financières, les antécédents médicaux et les antécédents criminels ou professionnels — et les informations qui peuvent être utilisées pour distinguer ou retrouver l’identité d’un individu, telles que son nom, son numéro de sécurité sociale, sa date et son lieu de naissance, le nom de jeune fille de sa mère, les données biométriques, et y compris toute autre information personnelle qui est liée ou peut être liée à un individu spécifique. Toute information personnelle que vous collectez peut être une IPI. Même les adresses électroniques peuvent être des IIP si elles comprennent le nom complet d’une personne ».

Ces informations comprennent davantage d’exemples de ce qui peut être considéré comme des RPI et peuvent être plus sensibles en fonction du degré de préjudice, d’embarras ou de désagrément qu’elles causeront à une personne ou à une organisation « si ces informations sont perdues, compromises ou divulguées », selon l’EOD.

PII sensibles et non sensibles

Les IIP peuvent être étiquetées comme sensibles ou non sensibles. Les IIP non sensibles sont des informations qui peuvent être transmises sous une forme non cryptée sans causer de préjudice à l’individu. Les IIP non sensibles peuvent être facilement obtenues à partir de registres publics, d’annuaires téléphoniques, d’annuaires d’entreprises et de sites web. Il peut s’agir d’informations telles que le code postal, la race, le sexe, la date de naissance et la religion – des informations qui, en soi, ne peuvent pas être utilisées pour discerner l’identité d’un individu.

Les IIP sensibles sont des informations qui, lorsqu’elles sont divulguées, peuvent causer un préjudice à l’individu en cas de failles dans les données. Ce type de données sensibles est souvent soumis à des exigences légales, contractuelles ou éthiques de divulgation restreinte. Les IIP sensibles doivent donc être cryptées pendant le transit et lorsque les données sont au repos. Ces informations comprennent des données biométriques, des informations médicales couvertes par les lois de la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA), des informations financières personnellement identifiables (PIFI) et des identifiants uniques, tels que les numéros de passeport ou de sécurité sociale. Les dossiers personnels des employés, les informations fiscales, y compris les numéros de sécurité sociale et les numéros d’identification des employeurs (EIN), les informations relatives aux mots de passe, les numéros de carte de crédit, les comptes bancaires, les informations électroniques et numériques relatives aux comptes, telles que les adresses électroniques et les numéros de compte Internet, ainsi que les numéros et dossiers d’identification des écoles figurent également sur la liste des RPI sensibles.

Comment les RPI sont-elles utilisées dans le cadre de l’usurpation d’identité ?

Un certain nombre de détaillants, d’organismes de santé, d’institutions financières (y compris des banques et des agences d’évaluation du crédit) et même d’agences fédérales, telles que l’Office of Personnel Management (OPM) et le Department of Homeland Security (DHS), ont été victimes de failles dans les données qui mettent en danger les IIP des personnes, les rendant ainsi potentiellement vulnérables au vol d’identité.

Le type d’informations que les voleurs d’identité recherchent changera en fonction de ce que les cybercriminels tentent d’obtenir, car ils auront besoin de différents types et quantités d’informations. En piratant et en accédant à des ordinateurs et à d’autres fichiers numériques, ils peuvent ouvrir des comptes bancaires ou déposer des demandes d’indemnisation frauduleuses en utilisant les bonnes informations volées. Dans certains cas, les criminels peuvent ouvrir des comptes avec une simple adresse électronique ; d’autres ont besoin d’un nom, d’une adresse, d’une date de naissance, d’un numéro de sécurité sociale et d’autres informations. Certains comptes peuvent même être ouverts par téléphone ou sur Internet.

En outre, des fichiers physiques – tels que des factures, des reçus, une copie physique de votre certificat de naissance, une carte de sécurité sociale ou des informations sur un bail – peuvent être volés si le domicile d’une personne est cambriolé. Les cambrioleurs peuvent vendre les RPI en réalisant un profit important. Les criminels peuvent utiliser les informations des victimes sans qu’elles ne s’en rendent compte ; alors que les voleurs ne peuvent pas utiliser les cartes de crédit des victimes, ils peuvent ouvrir de nouveaux comptes séparés en utilisant les informations de leurs victimes.

Meilleures pratiques en matière de sécurité des PII

Alors que la quantité de données structurées et non structurées disponibles ne cesse de croître, le nombre de failles dans les données et de cyberattaques par des acteurs qui réalisent la valeur des IIP continue d’augmenter. En conséquence, des inquiétudes ont été soulevées quant à la manière dont les organisations publiques et privées traitent les informations sensibles.

Les agences gouvernementales et autres organisations doivent avoir des politiques strictes en matière de collecte d’IIP par le biais du web, d’enquêtes auprès des clients ou de recherches auprès des utilisateurs. Les organismes de réglementation élaborent de nouvelles lois pour protéger les données des consommateurs, tandis que les utilisateurs recherchent des moyens plus anonymes de rester numériques. Le règlement général sur la protection des données de l’Union européenne (UE) fait partie d’un nombre croissant de règlements et de lois sur la vie privée qui affectent la manière dont les organisations mènent leurs activités. Le GDPR, qui s’applique à toute organisation qui collecte des IIP auprès des citoyens de l’UE, est devenu une norme de facto dans le monde entier. La GDPR tient ces organisations entièrement responsables de la protection des données d’IIP, quel que soit le lieu de leur siège social.

Comme les organisations collectent, stockent et distribuent continuellement des IIP et d’autres données sensibles, les employés, les administrateurs et les sous-traitants tiers doivent comprendre les répercussions d’un mauvais traitement des données et en être tenus responsables. L’analyse prédictive et l’intelligence artificielle (IA) sont utilisées dans les organisations pour passer au crible de grands ensembles de données afin que toute donnée stockée soit conforme à toutes les règles relatives aux IIP.

En outre, les organisations qui mettent en place des procédures de contrôle d’accès peuvent empêcher la divulgation accidentelle d’informations nominatives. Parmi les autres bonnes pratiques, on peut citer l’utilisation d’un cryptage fort, de mots de passe sécurisés et d’une authentification à deux facteurs (2FA) et à plusieurs facteurs (MFA). D’autres recommandations pour la protection des IIP consistent à encourager les employés à pratiquer de bonnes procédures de sauvegarde des données ; à détruire ou à retirer en toute sécurité les anciens supports contenant des données sensibles ; à installer des mises à jour de logiciels, d’applications et de téléphones portables ; à utiliser des réseaux sans fil sécurisés plutôt que le Wi-Fi public ; et à utiliser des réseaux privés virtuels (VPN).

Pour protéger les DPI, les individus doivent limiter ce qu’ils partagent sur les médias sociaux, déchiqueter les documents importants avant de les jeter, savoir à qui ils donnent leur numéro de sécurité sociale et conserver leur carte de sécurité sociale en lieu sûr. Les particuliers doivent également s’assurer d’acheter ou de consulter des documents financiers sur des sites sécurisés HTTP Secure (HTTPS) ; faire attention à ne pas surfer à l’épaule, à ne pas se faire suivre ou à ne pas jeter les déchets dans les poubelles ; faire attention à ne pas télécharger des documents sensibles sur le Cloud ; et verrouiller les dispositifs lorsqu’ils ne sont pas utilisés.

PII vs. PHI

Tout comme les RPI, les informations de santé protégées (ISP) comprennent les informations utilisées dans un contexte médical qui peuvent identifier les patients, comme le nom, l’adresse, la date de naissance, le numéro de carte de crédit, le permis de conduire et les dossiers médicaux.

Que les entreprises gèrent des RPI ou des ISP, elles devraient utiliser des programmes de gestion des dossiers pour mieux contrôler leurs données en les transférant vers des systèmes de gestion des documents et des dépôts plus intenses ou en éliminant les contenus qui ne sont plus nécessaires.

Aux États-Unis, les RPI sont soumises à des exigences strictes en matière de confidentialité et de divulgation qui ne s’appliquent pas à la plupart des autres industries. Si la protection des informations confidentielles est toujours obligatoire, celle des informations nominatives ne l’est que dans certains cas. En vertu de l’HIPAA et des révisions apportées à l’HIPAA par la loi HITECH (Health Information Technology for Economic and Clinical Health) de 2009, les entités couvertes – comme les prestataires de soins de santé, les assureurs et leurs associés – sont limitées dans les types d’informations médicales qu’elles peuvent collecter auprès des particuliers, partager avec d’autres organisations ou utiliser à des fins de marketing. En outre, les organisations doivent fournir des informations médicales aux patients qui en font la demande, de préférence sous forme électronique (ePHI).

Les PHI sont utiles aux patients et aux professionnels de la santé ; ils sont également précieux pour les chercheurs cliniques et scientifiques lorsqu’ils sont anonymisés. Toutefois, pour les pirates informatiques, les PHI offrent une mine d’informations personnelles sur les consommateurs qui, lorsqu’elles sont volées, peuvent être vendues ailleurs ou même prises en otage par le biais de logiciels de rançon jusqu’à ce que l’organisme de santé victime envoie un paiement.

Ecrire un commentaire