Retour au blog

Qu’est-ce que les PII, les non-PII et les données à caractère personnel ? [MIS À JOUR]

Written by Karolina Lubowicka, Karolina Matuszewska, Małgorzata Poddębniak

Published novembre 05, 2024

SAMENVATTING

  • Le terme d’informations personnelles identifiables (Personally Identifiable Information, PII) est principalement appliqué aux États-Unis, mais n’a jamais fait l’objet d’une définition juridique unique. Les données à caractère personnel, en revanche, ont une signification légale définie par le RGPD dans l’UE. Les deux termes définissent les informations susceptibles de révéler l’identité d’un individu de manière directe ou indirecte.
  • Les informations personnelles identifiables peuvent être divisées en plusieurs catégories, dont les plus courantes sont des informations associées (exemple : nom, numéro de sécurité sociale) et associables (exemple : poste de travail, tranche d’âge). Les autres types de PII comprennent les PII sensibles et non sensibles.
  • Les données à caractère personnel comprennent toute information relative à une personne identifiée ou identifiable, y compris les identifiants en ligne tels que les cookies et les adresses IP.
  • Les entreprises doivent prendre des mesures pour protéger les PII et les données à caractère personnel. Les exigences légales devenant de plus en plus strictes, toutes les organisations sont obligées d’examiner de près les données qu’elles collectent et de se conformer aux réglementations en constante évolution.

La classification des informations personnelles identifiables (PII) et des données à caractère personnel est souvent source de confusion pour les organisations qui collectent, stockent et analysent ces données. Les deux termes définissent les informations susceptibles de révéler l’identité d’un individu de manière directe ou indirecte.

Les PII sont utilisées aux États-Unis, mais aucun document juridique unique ne les définit. Le système juridique américain constitue un mélange de nombreuses lois fédérales et étatiques ainsi que de réglementations sectorielles, qui tous décrivent et définissent différentes informations dans le cadre des PII.

D’autre part, les données à caractère personnel présentent une signification légale, définie par le Règlement général de protection de données (GDPR) et reconnue comme loi dans l’ensemble de l’Union européenne (UE).

Pourquoi tout cela est-il si important ? En tant qu’administrateur de site web, créateur d’applications ou propriétaire de produits, vous devez être conscient que les informations partagées avec vous par les visiteurs et les utilisateurs peuvent être de nature sensible. Sachant que celles-ci peuvent vous servir à identifier des individus, vous devez les traiter avec précaution pour éviter des infractions et des violations ayant de graves conséquences. De ce fait, avoir une vue d’ensemble est crucial pour assurer la sécurité et la conformité juridique de votre organisation.

Qu’est ce que les informations personnellement identifiables (PII) ?

Les informations personnellement identifiables (PII) sont souvent référencées par les agences gouvernementales américaines et les organisations non gouvernementales. Cependant, faute de loi nationale prépondérante sur les PII, la définition juridique du terme peut varier d’une juridiction à l’autre et d’un état à l’autre.

La définition la plus courante est fournie par le National Institute of Standards and Technology (NIST) :

Une PII définit toute information personnelle concernant un individu conservée par une agence, y compris (1) toute information pouvant être utilisée pour distinguer ou retracer l’identité d’une personne, telle que le nom, le numéro de sécurité sociale, la date et le lieu de naissance, le nom de jeune fille de la mère ou les dossiers biométriques; et (2) toute autre information liée ou pouvant être liée à une personne, telle que des informations médicales, éducatives, financières et professionnelles.

Cependant, la distinction entre les PII et d’autres types d’informations est floue. Comme indiqué par l’Administration des services généraux des Etats-Unis, la « définition des PII n’est présentée dans aucune catégorie d’information ou de technologie. Il est donc nécessaire d’évaluer au cas par cas le risque spécifique d’identification d’un individu ».

Quels éléments d’information sont classés des PII ?

Selon le NIST, les PII peuvent être divisées en deux catégories : les informations associées (linkable information) et les informations associables (linked information).

Informations associées

Les informations associées peuvent être également définies comme des identifiants directs, uniques à une personne. 

Un seul identifiant direct est généralement suffisant pour déterminer l’identité d’une personne.

Exemples :

examples of linked information

Le NIST précise que les informations associées peuvent être « des renseignements tels que l’adresse IP ou l’adresse MAC, ou un autre identifiant utilisateur fixe qui établit un lien constant avec un individu ou bien avec un groupe de personnes défini ». Cela signifie que les cookies et les identifiants d’appareil relèvent de la définition de PII.

Informations associables

Les informations associables concernent les identifiants indirects ou les quasi-identifiants, insuffisants pour identifier une personne de manière directe. L’identification devient, en revanche, possible lorsque celles-ci sont associées à une autre information. En effet, la recherche montre que 87 % des citoyens américains pourraient être identifiés uniquement en fonction de leur sexe, de leur code postal et de leur date de naissance. Les techniques de désanonymisation et de ré-identification fonctionnent généralement lorsque plusieurs ensembles de quasi-identifiants sont connectés et peuvent être utilisés pour distinguer une personne d’une autre.

Voici quelques exemples de PII pouvant être considérées comme des informations associables :

examples of linkable information

Informations personnelles identifiables sensibles ou non sensibles

Bien qu’il s’agisse davantage d’une distinction coutumière que réglementaire, les PII peuvent être également divisées en informations sensibles et non sensibles.

PII sensibles

Les PII sensibles sont des informations qui peuvent identifier directement une personne et pourraient lui nuire en cas de violation de données.

Les PII sensibles sont généralement inaccessibles au public. De nombreuses lois sur la confidentialité des données exigent que les organisations protègent les PII en les chiffrant, en contrôlant qui y accède et en prenant d’autres mesures de sécurité.

Voici des exemples de PII sensibles :

  • Numéros d’identification uniques, tels que les numéros de permis de conduire, les numéros de sécurité sociale, les numéros de passeport et d’autres numéros d’identification émis par le gouvernement.
  • Données biométriques, telles que les empreintes digitales et les scans rétiniens.
  • Informations financières, y compris les numéros de compte bancaire et les numéros de cartes de crédit.
  • Dossiers médicaux.
  • Informations de comptes électronique et numérique, telles que les adresses e-mail et les numéros de compte Internet.
  • Dossiers personnels des employés.
  • Mots de passe.
  • Numéros d’identification de l’étudiant.

PII non sensibles

Les PII non sensibles sont des informations qui peuvent ou non être uniques à un individu. Ce type de données peut être transmis sans être chiffré, et leur divulgation ne portera aucun préjudice aux personnes concernées par celles-ci.

Les PII non sensibles ont tendance à être accessibles au public – les numéros de téléphone peuvent être, par exemple, répertoriés dans un annuaire téléphonique.

Certaines réglementations sur la confidentialité des données n’exigent pas la protection des informations personnelles non sensibles, mais les entreprises doivent toujours utiliser des mesures de protection pour limiter les risques pour les individus.

Voici des exemples de PII non sensibles :

  • Nom complet.
  • Nom de jeune fille de la mère.
  • Surnom sur les médias sociaux.
  • Numéro de téléphone.
  • Adresse IP.
  • Lieu de naissance.
  • Date de naissance.
  • Détails géographiques (code postal, ville, état, pays, etc.).
  • Informations sur l’emploi.
  • Adresse électronique ou postale.
  • Race ou ethnicité.
  • Religion.

Quelles différences entre les PII et les données de santé ?

Les informations de santé protégées (Protected health information, PHI) comprennent des informations utilisées dans un contexte médical permettant d’identifier les patients. Celles-ci constituent un sous-ensemble de PII qui fait explicitement référence aux informations traitées par les entités couvertes par la loi HIPAA. Lorsque les données de santé sont combinées avec un identifiant personnel, elles deviennent des informations de santé protégées.

Les identifiants reconnus par la loi HIPAA comprennent :

examples of PHI

Bien que la protection des informations personnelles ne soit obligatoire que dans certains cas, afin de respecter la vie privée des patients, les informations de santé protégées sont soumises à des exigences de confidentialité strictes qui ne s’appliquent pas à la plupart des autres industries.

La loi HIPAA garantit que les informations de santé protégées sont partagées et utilisées uniquement avec l’autorisation du patient ou pour coordonner les soins et les services aux patients entre les entités couvertes. Les organisations couvertes par la loi HIPAA, telles que les prestataires de soins de santé, les hôpitaux, les assureurs et leurs partenaires commerciaux, doivent suivre des règles strictes spécifiant les types de PHI qu’elles peuvent collecter auprès des individus, diffuser ou utiliser à des fins de marketing.

Qu’est-ce que les non PII ?

Les informations non personnelles identifiables (les non PII) sont des données qui ne peuvent pas être utilisées seules pour tracer ou identifier une personne.

Les exemples des non-PII comprennent, mais sans s’y limiter :

  • Statistiques agrégées sur l’utilisation d’un produit ou service. 
  • Adresses IP partiellement ou entièrement dissimulées.

Toutefois, la classification des PII et des non-PII est vague. Le NIST ne fait pas référence aux identifiants de cookies et d’appareils, de sorte que de nombreuses sociétés AdTech, publicitaires et éditeurs les considèrent comme non PII. Cela contraste avec la définition des données personnelles qui classe ces suivis numériques d’informations permettant d’identifier un individu.

Qu’est-ce que les données à caractère personnel ?

Les données à caractère personnel sont un terme juridique que le RGPD définit de manière suivante :

Article 4(1) :

« Données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

Cette définition s’applique non seulement au nom et au prénom d’une personne, mais aussi aux détails permettant de l’identifier. C’est le cas lorsque, par exemple, vous êtes en mesure d’identifier un visiteur revenant sur votre site Web à l’aide d’un cookie ou d’informations de connexion.

En vertu du RGPD, vous pouvez considérer les cookies comme des données à caractère personnel selon la Raison 30 :

La définition des données à caractère personnel couvre divers éléments d’information tels que :

A priori, il s’agit de toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.

Qu’est-ce que les données à caractère non-personnel ?

Conformément aux dispositions du RGPD, les données à caractère non-personnel ne sont pas suffisantes pour identifier une personne. Le meilleur exemple est celui des données anonymes. Selon la Raison 26 :

Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

D’autres exemples de données à caractère non-personnel incluent, mais sans s’y limiter :

  • Données généralisées, telles que la tranche d’âge.
  • Informations recueillies par les organismes gouvernementaux ou les municipalités, telles que les données de recensement ou les reçus fiscaux recueillis pour les travaux financés par l’État.
  • Statistiques agrégées sur l’utilisation d’un produit ou service.
  • Adresses IP partiellement ou entièrement dissimulées.

La collecte de données anonymes permet aux entreprises d’obtenir des informations analytiques utiles sur le comportement des utilisateurs sans accéder aux données personnelles, ce qui est possible avec Piwik PRO Analytics Suite.

Les différences entre les PII et les données à caractère personnel

Les données à caractère personnel englobent un plus large éventail de contextes que les PII. En général, toutes les PII sont classées de données personnelles, mais toutes les données personnelles ne sont pas des PII. Par exemple, les attributs tels que la religion, l’origine ethnique, l’orientation sexuelle ou les antécédents médicaux peuvent être classés des données à caractère personnel, mais pas comme des PII.

Informations personnellement identifiables (PII)
Données à caractère personnel
Identification des individus
Souvent utilisée pour différencier un individu d’un autre.Comprend toute information relative à un individu vivant, qu’elle le distingue d’un autre individu ou non.
Type de terme
Il s’agit d’un terme souvent utilisé dans le contexte des affaires, celui-ci n’est pourtant pas défini par la loi.Un terme juridique défini par le RGPD.
Couverture juridique
Le terme est présent dans diverses lois à différents niveaux gouvernementaux et organisationnels.Couvert par un ensemble unique de lois créées et administrées par un organe directeur.
Information réglementée
Peut réglementer uniquement des types spécifiques de confidentialité des informations et d’accès aux données en fonction du secteur d’activité, du ministère, etc.Réglemente toutes les facettes de la confidentialité et de l’utilisation des informations, qu’elles soient médicales, commerciales ou personnelles.
Application territorialeLe plus souvent appliqué aux États-Unis.Le plus souvent appliqué dans l’UE.
Caractéristique juridique
Chaque organisation ou gouvernement prévoit des lois spécifiques et leur application.Le terme fournit une approche unifiée à l’égard de la mise en vigueur de la sécurité des données et de confidentialité.
Approche à l’égard des droits des individus
Les droits individuels varient en fonction de la réglementation. Peut ou non couvrir tous les droits individuels potentiels concernant les données.En vertu du RGPD, les individus ont un certain nombre de droits concernant leurs données personnelles, tels que :
– Droit d’être informé.
– Droit d’accès.
– Droit de rectification.
– Droit à l’effacement (droit à l’oubli).
– Droit à la limitation du traitement.
– Droit à la portabilité des données.

Bien qu’il n’existe pas de loi fédérale unique régissant la collecte et l’utilisation des PII, plusieurs documents juridiques et normes de l’industrie en définissent la portée, tels que :

En outre, les organisations gouvernementales et non gouvernementales réglementent l’utilisation appropriée des PII, notamment :

  • La Commission fédérale du commerce et son département de la protection des consommateurs.
  • Les départements locaux des droits de consommateurs.
  • La Commission fédérale des communications.
  • L’Institut national des normes et de la technologie (NIST).
  • La Network Advertising Initiative (NAI), un organisme d’autoréglementation.

Informations personnelles (IP) et la CCPA

Les informations personnelles (IP) sont utilisées dans le cadre de la California Consumer Privacy Act (CCPA). Cette dernière établit une définition très large des renseignements personnels, qui continue de fonctionner dans la California Privacy Rights Act (CPRA).

La loi californienne définit les PI comme :

« Informations qui identifient, se rapportent, décrivent, peuvent être associées ou pourraient raisonnablement être liées, directement ou indirectement, à un consommateur ou à un ménage particulier ».

Cependant, cela n’inclut pas les informations qui ont été rendues publiques par le gouvernement local, étatique ou fédéral.

Voici quelques exemples de renseignements personnels dans le cadre de la CCPA :

examples of personal information under CCPA

Comme vous pouvez le voir, la Californie classe les données telles que les identifiants des appareils, les adresses IP des cookies et même les alias et les noms de compte en tant qu’informations personnelles.

Pourquoi est-il important de protéger les PII et les données à caractère personnel

L’accès aux PII permet aux entreprises d’adapter les recommandations de produits ou de contenu aux préférences de leurs clients. Cependant, le volume croissant des PII accumulées par les organisations attire l’attention des cybercriminels. L’incapacité à protéger les données des utilisateurs expose les organisations et augmente le risque d’attaques.

Les données volées contenant des PII peuvent porter des préjudices importants aux individus. Avec seulement quelques informations personnelles concernant un individu, les cybercriminels peuvent créer de faux comptes au nom de la personne, contracter des prêts, créer un passeport falsifié ou vendre l’identité d’une personne à un criminel.

Au fur et à mesure que les organisations collectent, traitent et stockent des informations personnelles, elles doivent également accepter la responsabilité de protéger ces données sensibles. Après tout, des violations de données peuvent se produire dans des organisations de toutes tailles et de tous secteurs – des principales agences d’évaluation du crédit aux petites banques – et les impacts sur l’organisation sont souvent les mêmes.

Une violation de données peut gravement nuire à la confiance des utilisateurs dans une organisation, ruinant finalement sa réputation et entravant les résultats de l’entreprise. Sans oublier le risque de non-respect de la réglementation en matière de protection de la vie privée, qui peut en outre entraîner de lourdes amendes.

Selon le rapport d’IBM concernant les coûts des violations de données en 2023, le coût moyen pour une attaque causée par un rançongiciel s’élevait à 5,13 millions de dollars. Comme l’indique le rapport d’ESG, la quantité de données sensibles aurait doublé entre 2021 et 2024. De plus, environ la moitié des organisations estiment que celles-ci ne sont pas suffisamment sécurisées.

Compte tenu des nombreux risques associés aux violations de données, la protection des PII et des données à caractère personnel est essentielle. Les entreprises doivent naviguer dans un paysage informatique et juridique complexe pour prévenir de futures attaques et maintenir des cadres de protection des données évolutifs.

En plus de prévenir les violations, l’accent mis sur la sécurité et la confidentialité des données contribue à renforcer la fidélité et la confiance des clients et à pérenniser les investissements technologiques face à l’évolution des exigences.

Comment protéger les PII

Le guide NIST constitue la principale source de conseils sur les moyens de sécuriser les PII : NIST’s Guide to Protecting the Confidentiality of Personally Identifiable Information.

Premièrement, les méthodes de protection des PII ressemblent à celles mentionnées par le RGPD pour les données à caractère personnel, à savoir :

  • Minimisation des données.
  • Évaluation de l’impact sur la vie privée.
  • Chiffrement des données.
  • Anonymisation de données.

Toutes les PII ne nécessitent pas le même niveau de protection. Celui-ci dépendra des facteurs suivants :

  • La facilité avec laquelle les PII peuvent être associées à des individus spécifiques. 
  • Le nombre d’ individus dont les données sont stockées dans le système.
  • La sensibilité des données.
  • Le contexte dans lequel les données seront utilisées, stockées, collectées et diffusées.
  • Les obligations légales en matière de protection des données.
  • La résidence des données et le niveau d’accès autorisé à celles-ci.

Selon le NIST, la protection des PII nécessite des mesures synchronisées, dont les « garanties opérationnelles, les contrôles de sécurité et la protection de la vie privée ».

Voici un aperçu des mesures recommandées :

Garanties opérationnelles

La protection des PII commence au niveau opérationnel de l’organisation. Cela implique la création et l’établissement des politiques et des procédures détaillées pour la gestion des PII. Certaines mesures de protection nécessitent la formation des employés sur les risques de violation de données et les meilleures pratiques de traitement et de protection des informations personnelles.

Les mesures de protection spécifiques à la vie privée favorisent le principe de minimisation des données et permettent aux entreprises d’utiliser et de conserver les données sans compromettre leur confidentialité. La protection de la confidentialité des informations personnelles nécessite certains mécanismes, tels que l’anonymisation des données et la dépersonnalisation des informations (cryptage).

Contrôles de sécurité

Le NIST a publié ses recommandations concernant les contrôles de sécurité en matière de protection des PII. Celles-ci incluent :

  • Application des règles d’accès – par exemple, octroyer de l’accès aux données en fonction du rôle de l’utilisateur.
  • Accès à distance – interdire ou restreindre l’accès aux PII lorsqu’un utilisateur se connecte à distance et assurer une communication cryptée.
  • Séparation des tâches – par exemple, les utilisateurs qui manipulent des PII anonymisées ne devraient pas également occuper des postes leur donnant accès aux informations nécessaires pour réidentifier les données.
  • Surveillance du système d’information – surveiller des PII pour détecter les transferts ou événements inhabituels ou suspects.
  • Moindre privilège – s’assurer que les utilisateurs n’ont accès qu’aux données dont ils ont besoin.
  • Examen, analyse et rapport d’audit – effectuer un examen et une analyse réguliers des dossiers après l’audit du système d’information afin de repérer toute activité inhabituelle affectant les PII.

Comment protéger les données personnelles?

Le RGPD définit des lignes directrices pour la protection des données personnelles, dont les plus importantes sont les suivantes :

Le principe de légalité

Le plus important est que le RGPD exige une raison claire et valable pour collecter et utiliser des données personnelles. La raison du traitement des données doit découler d’une nécessité. Il peut s’agir, par exemple, de remplir une exigence contractuelle, ou de fournir un service.

Le principe d’intégrité et de confidentialité

L’un des principaux moyens de protéger les données est d’assurer leur sécurité, bien que le RGPD ne précise pas exactement à quoi cette sécurité doit ressembler dans la pratique. Le choix des mesures de protection variera d’une organisation à l’autre. Par exemple, un hôpital disposant d’informations sensibles sur ses patients prendra des mesures différentes de celles adoptées par un blogueur publiant un bulletin d’information.

Protection des données dès la conception

La protection des données dès la conception signifie l’adoption de mesures techniques et organisationnelles dans les phases initiales de conception des opérations de traitement.

Voici quelques exemples de ces mesures :

  • Pseudonymisation – remplacement ou suppression d’informations, dans un ensemble de données, d’informations qui permettent d’identifier une personne spécifique, à l’aide de méthodes telles que le cryptage, le brouillage ou le masquage.
  • Anonymisation – suppression des informations personnelles d’un ensemble de données afin de rendre impossible l’identification d’une personne en particulier.
  • Contrôle du traitement des données.
  • Ajout de nouvelles fonctionnalités de confidentialité et amélioration de celles existantes.

Dans le cadre du RGPD, les techniques de pseudonymisation des données ne sont pas suffisantes pour assurer l’anonymisation complète des données.

Protection des données par défaut

La protection des données par défaut est basée sur les principes de minimisation des données et de limitation des finalités.

Selon le principe de minimisation des données, les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire ».

La limitation de la finalité signifie que vous spécifiez la finalité de votre traitement, que vous la documentez et que vous en informez les personnes concernées avant le début de tout traitement.

Les organisations qui agissent conformément à ces principes ne collectent que le minimum de données possible et ne les conservent que le temps nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées.

Evaluation de l’impact sur la protection des données

Le RGPD recommande d’effectuer une évaluation de l’impact sur la protection des données (data protection impact assessment, DPIA) lorsque le traitement peut présenter un risque élevé pour les individus. Cette évaluation contribue à la réduction des risques grâce à l’identification et l’atténuation des menaces potentielles.

Celle-ci est recommandée lorsque vous :

  • Utilisez de nouvelles technologies.
  • Traitez des données sensibles à grande échelle.
  • Effectuez une surveillance systématique des espaces publics.

LIRE AUSSI

Découvrez comment protéger les informations personnellement identifiables (PII), informations non personnelles identifiables (non PII) et les données à caractère personnel

Vous y trouverez tout : des définitions détaillées de tous les types d’informations aux approches pratiques de la collecte et de l’utilisation de différents types de données (guide en anglais)

Téléchargez maintenant

Les PII, les non PII et les données à caractère personnel : Restez au courant des réglementations en matière de confidentialité des données

Les définitions générales des PII et des données à caractère personnel évoluent pour inclure de plus en plus de types de données. Par conséquent, les différences entre les deux s’estompent progressivement. Les exigences légales deviennent de plus en plus strictes des deux côtés de l’Atlantique.

Ces changements soulèveront de nouveaux défis. Pour les organisations de toutes sortes, cela signifie le besoin d’examiner de plus près les données collectées et de suivre l’évolution du paysage juridique pour rester en conformité.

Vous souhaitez en savoir plus sur la façon dont Piwik PRO vous aide à collecter et à analyser en toute sécurité des PII et des données à caractère personnel ?

Contactez-nous

Karolina Lubowicka

Senior Content Marketer and Social Media Specialist

An experienced copywriter who takes complex topics of data privacy & GDPR and makes them understandable for all. LinkedIn Profile

Karolina Matuszewska

Senior Content Marketer

Writer and content marketer. Transforms technical jargon into engaging and informative articles.

Małgorzata Poddębniak

Senior Content Marketer

Senior content marketer at Piwik PRO, copywriter, translator and editor. She started as a freelancer, gaining experience with creating versatile marketing content for various channels and industries. Later, she began working as a translator and editor, specializing in academic articles and essays, mainly in the field of history and politics. After becoming interested in SEO, she moved on to work as a content writer for a technical SEO agency. While there, she designed the company newsletter and planned and created in-depth articles, practical guides, interviews, and other supporting marketing materials. She joined Piwik PRO with extensive knowledge of technology, SEO, and digital marketing. At Piwik PRO, she writes about analytics, privacy, marketing, personalization, and data management and explains product best practices and industry trends for different industries.