Tout savoir sur les informations personnelles identifiables (PII)

Comprendre les PII

Les informations personnelles identifiables (PII) sont des données importantes dans votre entreprise, car elles vous permettent de gérer des identités numériques. Elles comprennent les informations permettant d'identifier une personne, telles que le numéro de sécurité sociale, la date de naissance ou le lieu de naissance. Une mauvaise gestion de ces données peut entraîner une usurpation d'identité, qui peut avoir des conséquences pour vos utilisateurs ou vos clients. Cela peut également entraîner des amendes importantes et nuire à la réputation de votre entreprise.

Il est fort probable que le fait de ne plus traiter du tout de données à caractère personnel ne soit pas une option envisageable pour votre entreprise. Vous devez plutôt mettre en place des pratiques et des systèmes adaptés afin de garantir un traitement adéquat de ces données. Dans cet article, nous examinerons de plus près les PII. Nous passerons en revue les lois applicables en matière de protection des données, nous analyserons les cybermenaces courantes qui pèsent sur ces données et nous vous proposerons des conseils sur les mesures de protection que votre entreprise peut mettre en plane.

Qu'est-ce que les PII ?

Les PII englobent toutes les données pouvant être utilisées pour identifier de manière précise une personne. Ces données se divisent en deux catégories : les identifiants directs et les identifiants indirects.

Les identifiants directs permettent d'identifier explicitement une personne. Ils comprennent des données telles que :

• Numéros de sécurité sociale
• Numéros de passeport
• Numéros de permis de conduire

Ces identifiants sont souvent propres à chaque individu. À ce titre, ils peuvent refléter directement l'identité d'une personne sans qu'il soit nécessaire de fournir de contexte supplémentaire.

Les identifiants indirects, en revanche, ne permettent pas à eux seuls d'identifier une personne, mais ils peuvent le faire lorsqu'ils sont associés à d'autres données. Prenons par exemple une date et un lieu de naissance. Pris séparément, ces éléments ne suffisent pas à révéler l'identité d'une personne, mais ensemble ils le permettent.

Pour approfondir ces concepts, il est important de comprendre que les données non PII peuvent également devenir des données PII, selon le contexte dans lequel elles sont utilisées ou si elles sont combinées à d'autres informations. Par exemple, nous savons qu'un code postal seul ne constitue pas nécessairement une PII. Toutefois, lorsqu'il est associé au poste occupé par une personne et au nom de son employeur, il peut permettre d'identifier cette personne, en particulier dans les zones moins peuplées.

Cadres légaux et réglementaires

La manière dont vous gérez et traitez les PII est régie par plusieurs lois et réglementations clés en matière de protection des données, qui visent à protéger la vie privée des personnes. Voici un aperçu de certaines des réglementations les plus importantes :

Le Règlement général sur la protection des données (RGPD) de l'Union européenne (UE) est l'une des législations les plus strictes au monde en matière de protection des données. Il impose des obligations aux entreprises partout dans le monde, dès lors qu'elles ciblent ou collectent des données concernant des résidents de l'UE. Le RGPD met l'accent sur la transparence, la sécurité et la responsabilité des entités qui traitent ces données, tout en accordant aux personnes concernées des droits importants sur leurs données.

À l'instar du RGPD, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) accorde aux résidents californiens des droits spécifiques concernant leurs données :

• Le droit de savoir quelles données personnelles sont collectées à leur sujet
• Le droit de demander la suppression de leurs données
• Le droit de s'opposer à la vente de leurs informations personnelles

La CCPA impose également aux entreprises de protéger les données des Californiens à l'aide de mesures de sécurité raisonnables.

Enfin, la Loi sur la portabilité et la responsabilité des assurances maladie (HIPAA, Health Insurance Portability and Accountability Act) aux États-Unis protège toutes les « informations de santé individuellement identifiables » détenues ou transmises par les entités concernées ou leurs partenaires commerciaux. Cette loi impose la protection et le traitement confidentiel des informations de santé protégées.

Le non-respect de ces lois peut entraîner de lourdes sanctions. Les entreprises s'exposent à des poursuites judiciaires, à des amendes et à une atteinte à leur réputation. Si votre entreprise traite des PII, vous devez comprendre ces réglementations et mettre en place les règles et procédures nécessaires pour garantir leur respect.

Cybermenaces pesant sur les PII

Les cyberattaques actuelles menacent la sécurité de vos PII. Il est important de bien comprendre ces cybermenaces afin que votre entreprise puisse mettre en place des mesures de sécurité efficaces. Les cybermenaces courantes contre les PII incluent :

• Compromission de données : situation dans laquelle des données sensibles, protégées ou confidentielles sont consultées ou divulguées sans autorisation. Les compromissions de données peuvent résulter de cyberattaques sophistiquées, ou simplement d'une erreur humaine. Cependant, les répercussions d'une compromission de données peuvent être extrêmement étendues et entraîner des préjudices financiers et une atteinte à la réputation considérables.
• Attaques de phishing : tentatives frauduleuses, généralement menées par e-mail, visant à obtenir des informations sensibles en se faisant passer pour une entité de confiance. Souvent, l'objectif d'une attaque de phishing est d'extraire des PII telles que des noms d'utilisateur, des mots de passe ou des coordonnées bancaires. Le phishing est l'une des méthodes les plus couramment utilisées par les cyberattaquants pour collecter des PII à des fins malveillantes.

Logiciel malveillant : tout logiciel conçu dans le but d'endommager un ordinateur, un serveur, un client ou un réseau informatique. Lorsque les cybercriminels infectent un système avec un logiciel malveillant, ils peuvent causer des dommages supplémentaires, tels que le vol de PII, le blocage de l'accès aux utilisateurs légitimes ou d'autres actions préjudiciables.

Bonnes pratiques en matière de protection des PII

Votre entreprise devrait mettre en œuvre les bonnes pratiques suivantes en matière de protection des données, afin de protéger les PII contre les cybermenaces susmentionnées et d'autres cybermenaces similaires.

Minimisation des données

Ne collectez que les données nécessaires à la finalité prévue. Si vous n'avez pas de raison valable de collecter une donnée particulière, ne la collectez pas. Moins vous traitez d'informations sensibles, moins vous risquez d'en divulguer accidentellement. De plus, cela vous permet de réduire au minimum votre charge de conformité, ce qui simplifie votre tâche pour vous conformer aux réglementations en matière de protection des données.

Anonymisation et pseudonymisation des données

Dans la mesure du possible, anonymisez ou pseudonymisez les données afin de renforcer la protection de votre vie privée. L'anonymisation, également appelée désidentification, consiste à supprimer des données les éléments permettant d'identifier une personne. Il devient ainsi impossible d'identifier la personne concernée sans informations supplémentaires.

La pseudonymisation consiste à remplacer les identifiants par des identifiant fictifs. Cela permet de traiter les données sans révéler l'identité des personnes concernées.

Chiffrement

Utilisez le chiffrement pour protéger les données au repos, en transit et en cours d'utilisation. Vous garantissez ainsi que, si les données venaient à être interceptées, elles resteraient illisibles pour toute personne ne disposant pas de la clé de déchiffrement appropriée.

Stockage sécurisé

Utilisez des données de stockage sécurisées, telles que des bases de données sécurisées ou des compartiments de stockage dans le cloud, afin de protéger les données contre tout accès non autorisé et toute compromission. Veillez à sécuriser ces solutions de stockage à l'aide de contrôles d'accès appropriés.

Audits de sécurité réguliers

Réalisez régulièrement des audits de sécurité et des évaluations de vulnérabilité afin d'identifier et de corriger les failles de sécurité potentielles du système.

L'adoption de ces pratiques permet de garantir que vos données personnelles sont protégées contre tout accès non autorisé et toute utilisation abusive. Cela réduira le risque de violation de données et vous aidera à respecter la législation en matière de protection de la vie privée.

L'approche de CrowdStrike en matière de protection des PII

Dans cet article, nous avons abordé les PII, la réglementation régissant leur protection, ainsi que les cybermenaces qui pèsent sur elles. Nous avons également examiné les bonnes pratiques qui vous aideront à protéger les données à caractère personnel de votre entreprise. 

Crowdstrike Falcon® Data Protection offre une surveillance continue et une visibilité en temps réel sur les données sensibles de vos applications et systèmes natifs du cloud. Cet outil vous aide à identifier où sont stockées les PII et comment elles sont accessibles au sein de votre entreprise. En tant que plateforme native d'IA assurant une sécurité continue, CrowdStrike Falcon® Data Protection applique de manière dynamique les règles de sécurité des données, en adaptant ses mesures de protection tandis que de nouvelles cybermenaces sont détectées ou que les données circulent au sein du réseau.