Les Informations personnellement identifiables (Personally Identifiable Information, PII) et les données à caractère personnel sont deux classifications de données qui causent souvent de la confusion chez les organisations qui collectent, stockent et analysent ces données.
Les PII sont utilisées aux États-Unis, mais aucun document juridique unique ne les définit. Le système légal aux Etats-Unis est un mélange de nombreuses lois fédérales et de l’Etat et de réglementations sectorielles. Celles-ci définissent et classent tous différents éléments d’information sous les auspices des PII.
D’autre part, les données personnelles ont une signification légale, qui est définie par le Règlement général de protection de données (RGPD), admis comme loi à travers l’Union européenne (UE).
Les deux termes peuvent être définis en tant que des informations susceptibles de révéler l’identité d’un individu de manière directe ou indirecte.
Pourquoi est-il si important de les distinguer ? En tant qu’administrateur de site Web, créateur d’applications ou propriétaire de produits, vous devez être conscient que les traces laissées par les visiteurs et les utilisateurs peuvent être de nature sensible. Sachant que celles-ci peuvent vous permettre d’identifier des individus, elles doivent être traitées avec la plus grande prudence car, d’un point de vue juridique, vous risquez de commettre des infractions et des violations de loi ayant de graves conséquences. De ce fait, avoir une vue d’ensemble est crucial pour assurer la sécurité et la conformité juridique de votre organisation.
Comment définir les informations personnellement identifiables (PII) ?
Les PII sont souvent référencées par les agences gouvernementales américaines et les organisations non gouvernementales. Or, les États-Unis n’ont toujours pas de loi prépondérante sur les PII et, pour cette raison, votre compréhension de celles-ci peut différer en fonction de votre situation particulière.
La définition la plus courante est fournie par l’Institut national des normes et de la technologie des États-Unis (NIST).
Selon la définition :
On entend par une information personnellement identifiable toute information sur une personne conservées par une agence, y compris (1) toute information pouvant être utilisée pour distinguer ou retracer l’identité d’une personne, telle que le nom, le numéro de sécurité sociale, la date et le lieu de naissance, le nom de jeune fille de la mère ou les dossiers biométriques; et (2) toute autre information liée ou pouvant être liée à une personne, telle que des informations médicales, éducatives, financières et professionnelles.
Cependant, la distinction entre les PII et d’autres types d’informations est floue. Comme indiqué par l’Administration des services généraux des États-Unis, « la définition des PII n’est présentée dans aucune catégorie d’information ou de technologie. Il est plutôt exigé d’évaluer au cas par cas le risque qu’une personne puisse être identifiée. »
Quels éléments d’information sont considérés comme des PII ?
Selon le NIST, les PII peuvent être divisées en deux catégories : les informations associées (linked information) et les informations associables (linkable information).
Les informations associées sont plus directement liées à un individu. Elles pourraient inclure n’importe quel détail personnel qui peut être employé pour identifier un individu. En voici quelques exemples :
- Nom complet
- Adresse du domicile
- Adresse e-mail
- Numéro de sécurité sociale
- Numéro de passeport
- Numéro de permis de conduire
- Numéros de la carte de crédit
- Date de naissance
- Numéro de téléphone
- Propriétés possédées, par exemple le numéro d’identification du véhicule (vin)
- Identifiants de connexion
- Numéro de série du processeur ou de l’appareil*
- Adresse physique d’un périphérique réseau (MAC)*
- Adresse IP :
- Identifiant de l’appareil*
- Cookies*
Le NIST américain indique que les informations liées peuvent être « des renseignements tels que l’adresse IP ou l’adresse MAC, ou un autre identifiant utilisateur fixe qui établit un lien constant avec un individu ou bien avec un groupe de personnes défini. » Par conséquent, il est possible de constater que les cookies et l’identifiant de l’appareil relèvent de la définition des PII.
Les informations associables, quant à elles, sont indirectes et seules ne peuvent pas établir de lien avec un individu, mais une fois combinées avec d’autres informations elles pourraient identifier, tracer ou localiser une personne.
Voici quelques exemples de PII qui peuvent être considérées comme des informations associables :
- Prénom ou nom de famille
- Pays, état, ville, code postal
- Sexe
- Race
- Tranche d’âge (par exemple 30-40 ans au lieu de 30 ans)
- Poste et lieu de travail
Qu’est-ce que les non-PII ?
Les informations non personnelles identifiables (les non-PII) sont des données qui ne peuvent pas être utilisées seules pour tracer ou identifier une personne. Les exemples des non-PII comprennent, mais sans s’y limiter :
- Statistiques agrégées sur l’utilisation des produits / services
- Adresses IP partiellement ou totalement chiffrées
Toutefois, la classification des PII et des non-PII semble assez vague. Le NIST, lui, ne fait pas référence aux identifiants de cookies et d’appareils, de sorte que de nombreuses sociétés AdTech, annonceurs et éditeurs les considèrent comme non-PII. Comme nous le verrons, cela contraste avec la définition des données personnelles qui qualifie ces suivis numériques en tant que des informations permettant d’identifier un individu.
Qu’est-ce que les données à caractère personnel ?
Les données à caractère personnel sont un terme juridique que le RGPD définit comme suit :
Article 4(1) :
« données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Cette définition s’applique non seulement au nom et au prénom d’une personne, mais aussi aux détails permettant d’identifier cette personne. C’est le cas lorsque, par exemple, vous êtes en mesure d’identifier un visiteur revenant sur votre site Web à l’aide d’un cookie ou d’informations de connexion.
En effet, en vertu du RGPD, vous pouvez considérer les cookies comme des données personnelles car selon
Raison 30 :
Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.
Et la définition des données à caractère personnel couvre divers éléments d’information tels que :
- historique des transactions
- adresses IP
- historique de navigation
- articles publiés sur les réseaux sociaux
A priori, il s’agit donc de toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.
Qu’est-ce que les données à caractère non-personnel ?
Conformément aux dispositions du RGPD, les données à caractère non-personnel sont des données qui ne vous permettent pas d’identifier une personne. Le meilleur exemple est celui des données anonymes. Selon
Raison 26 :
Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.
D’autres exemples de données à caractère non-personnel incluent, mais sans s’y limiter :
- Données généralisées, par exemple une tranche d’âge (20-40 ans)
- Informations recueillies par les organismes gouvernementaux ou les municipalités, telles que les données de recensement ou les reçus fiscaux recueillis pour les travaux financés par l’État
- Statistiques agrégées sur l’utilisation des produits / services
- Adresses IP partiellement ou totalement chiffrées
Les différences entre les PII et les données à caractère personnel
Comme nous l’avons déjà mentionné, dans certains contextes, les différences entre ces deux types de données semblent assez floues. Afin de tracer une ligne plus claire entre ces deux termes, nous ferons référence au cadre juridique tout en considérant à qui ces données s’appliquent.
Cadre juridique
Toutes les règles et responsabilités concernant les données à caractère personnel sont définies par le RGPD, qui vise à renforcer et à unifier la collecte de données auprès des résidents de l’UE. Cela signifie également qu’il existe une approche plus unifiée d’application, qui ne cesse d’augmenter depuis mai 2018, la date d’entrée en vigueur du RGPD.
Il semble beaucoup plus difficile de définir un projet de loi unique qui régit les PII en raison de l’absence d’une loi fédérale unique réglant son utilisation. Toutefois, parmi les diverses lois qui régissent la collecte et l’utilisation des PII, les plus importantes sont les suivantes :
- La loi U.S. Privacy Act qui régit comment collecter, stocker, utiliser et diffuser les PII,
- La loi HIPPA, Health Insurance and Portability Act (HIPAA), régissant la vie privée des patients,
- La loi COPPA, Health Insurance Portability and Accountability Act, conçue pour protéger les renseignements personnels des enfants de moins de 13 ans.
En outre, il existe des organisations gouvernementales et non-gouvernementales qui réglementent l’utilisation appropriée des PII, dont :
- la Commission fédérale du commerce (FTC) des États-Unis et son département de la protection des consommateurs,
- Les départements locaux des droits de consommateurs,
- La Commission fédérale des communications (FCC) des États-Unis,
- L’Institut national des normes et de la technologie (NIST) des États-Unis,
- La Network Advertising Initiative (NAI), un organisme d’autoréglementation.
Les réglementations concernant les PII et les données à caractère personnel, où s’appliquent-elles ?
Étant donné que les données à caractère personnel sont strictement liées au RGPD, elles concernent tous les résidents et citoyens des États membres de l’Espace économique européen – les 27 États membres de l’UE plus l’Islande, le Liechtenstein et la Norvège. Aux fins de cet article, nous définissons ce groupe en tant que résidents de l’UE.
Pourtant, le champ d’application du RGPD n’est pas vraiment limité à l’UE. En pratique, la loi affecte non seulement les entités basées dans l’UE, mais aussi toutes les entreprises qui traitent les données des résidents de l’UE.
Par contraste, il est beaucoup plus difficile de déterminer les juridictions où les PII sont applicables.
Même aux États-Unis, où les PII sont certainement applicables, leurs modes d’application varient d’un État à l’autre et d’un secteur à l’autre. Plusieurs documents juridiques et normes de l’industrie ont leur propre approche sur ce que sont les PII.
Par conséquent, il est assez difficile de déterminer à qui et dans quelle mesure ces dernières s’appliquent.
PII, non-PII et données à caractère personnel : rester à jour sur les règles de confidentialité des données
Les définitions générales des PII et des données à caractère personnel évoluent pour inclure de plus en plus de types de données, rendant les différences entre les deux encore plus délicates. En même temps, les exigences juridiques deviennent de plus en plus strictes des deux côtés de l’Atlantique.
Ces changements soulèvent de nouveaux défis. Pour les organisations de toutes sortes, cela signifie le besoin d’examiner de plus près les données qu’elles collectent et de suivre l’évolution du paysage juridique pour rester conforme.
Nous espérons que notre article a répondu à au moins certaines de vos questions concernant les PII et les données à caractère personnel. Cependant, si vous voulez en savoir plus, n’hésitez pas à nous contacter à tout moment. Nos experts seront ravis de vous renseigner davantage !
