Les informations personnelles sont partout. Il est généré et stocké quotidiennement, des transactions financières aux dossiers de santé.
Les PII sont toutes les données qui peuvent être utilisées pour identifier un individu. Elle joue un rôle dans divers aspects de notre vie mais présente des défis et des risques, notamment la cybersécurité.
Selon un rapport, les PII des clients étaient la perte d’enregistrement la plus courante, inclus dans 44% des manquements. Le coût moyen général par enregistrement était 161 $une augmentation de 146 $ par dossier volé ou perdu en 2020.
Dans cet article, découvrez le concept de PII dans la cybersécurité et comment le protéger.
Qu’est-ce que les informations personnelles identifiables (PII) ?
PII fait référence à toutes les données qui peuvent être utilisées pour identifier, contacter ou trouver un individu directement ou indirectement lorsqu’elles sont combinées ou liées à d’autres informations disponibles.
Les PII façonnent le paysage numérique, offrant des expériences personnalisées et divers services, mais elles soulèvent également des inquiétudes concernant la confidentialité et la sécurité en ligne.
Essentiellement, les PII représentent des points de données qui dévoilent l’identité d’une personne, posant des risques potentiels s’ils sont mal gérés ou compromis.
Avec certaines personnes pensant que la confidentialité en ligne n’est qu’un mytheil est important de protéger ses PII.
De nombreux types d’informations sont considérés comme PII ; la section suivante vous montrera ce qui relève du champ d’application des PII.
Quelles informations sont considérées comme PII
Les PII englobent divers types de données importants car ils peuvent identifier de manière unique un être humain.
Ces identifiants, tels que les noms, les numéros de sécurité sociale ou les adresses personnelles, fournissent des informations directes sur leur identité.
Cependant, il existe également des informations supplémentaires qui, lorsqu’elles sont combinées avec d’autres données, peuvent être utilisées pour discerner et identifier l’identité d’un individu.
Vous trouverez ci-dessous les deux types d’identifiants qui contribuent à la mosaïque PII.
Identificateurs directs
Les identifiants directs font référence à des informations spécifiques qui peuvent identifier directement un individu. Ces informations comprennent :
- Nom et prénom
- Photographies ou images faciales
- Adresse du domicile
- Adresse e-mail
- Numéro de sécurité sociale (ou équivalent)
- Numéros d’identification nationaux
- Numéro de passeport
- Numéro de permis de conduire
- Numéros de compte financier
- Données biométriques
Ces données fournissent des détails distincts et facilement reconnaissables qui peuvent être directement liés à l’identité d’un individu, ce qui en fait des éléments de PII qui nécessitent une protection minutieuse.
Identifiants indirects
Les identifiants indirects sont des éléments d’information qui ont le potentiel d’identifier un individu. Ils peuvent ne pas indiquer directement l’identité d’un individu, mais ils peuvent conduire à l’identification d’une personne spécifique.
Voici quelques exemples de quasi-identifiants :
- Genre
- Race ou origine ethnique
- Âge ou date de naissance
- Code postal ou code postal
- Profession ou titre du poste
Les identifiants indirects aident à analyser et à rechercher des informations et des modèles précieux d’un individu sans divulguer directement des informations personnelles.
Vous devez connaître deux types de PII si vous souhaitez mieux protéger vos informations.
2 types d’informations personnelles
Il est essentiel de reconnaître que toutes les données personnelles ne sont pas également sensibles ou capables d’identifier un individu.
PII fait référence à toute information spécifique pointant directement vers une personne en particulier.
Et parmi les PII, une distinction existe entre les données sensibles et non sensibles.
Informations personnelles sensibles
Les IPI sensibles font référence aux informations qui, si elles sont divulguées ou mal gérées, peuvent causer un préjudice, une discrimination ou une atteinte à la vie privée. Ce type de données nécessite un niveau de protection plus élevé en raison de son impact potentiel sur les individus.
PII non sensibles
Les PII non sensibles incluent des informations qui, bien qu’elles soient capables d’identifier un individu, présentent un risque moindre si elles sont divulguées. Bien qu’ils puissent contribuer au marketing ciblé ou à la recherche, leur exposition à elle seule peut ne pas entraîner de préjudice ni de problème de confidentialité.
Reconnaître la différence entre les PII sensibles et non sensibles est vital pour les organisations et les individus.
Il permet la mise en œuvre de garanties et de pratiques de confidentialité appropriées tout en équilibrant l’utilisation et le partage des données pour améliorer l’expérience de l’utilisateur sans compromettre la vie privée.
Comment protéger les IPI
La protection des PII implique la mise en œuvre de mesures de sécurité solides telles que le cryptage, les contrôles d’accès et des audits de données réguliers pour se protéger contre l’accès non autorisé aux appareils ou aux comptes.
Les PII sont vulnérables aux pirates principalement en raison de leur valeur sur le marché noir, car elles peuvent être vendues pour le vol d’identité ou utilisées dans des attaques ciblées.
Des pratiques de sécurité faibles, des mesures de protection des données inadéquates et l’ingénierie sociale font des PII une cible pour les cybercriminels à la recherche d’informations personnelles à des fins lucratives ou malveillantes.
Les organisations peuvent établir des cadres de confidentialité des données qui contiennent des politiques, des procédures et des contrôles complets pour protéger les PII.
Cadre de confidentialité des données
Un cadre de confidentialité des données est un ensemble de directives et de pratiques qu’une organisation établit pour protéger la confidentialité et la sécurité des informations personnelles. Il comprend des mesures de protection des données collectées et traitées par l’organisation.
Voici comment une organisation peut créer un cadre de confidentialité des données personnalisé :
- Classification: Dans l’étape de classification, l’organisation identifie et catégorise les différents types de données qu’elle traite.
Cela implique de comprendre la sensibilité des données et toutes les exigences légales ou réglementaires qui peuvent s’appliquer.
En classant les données, l’organisation peut hiérarchiser ses efforts de protection et déterminer les mesures de traitement et de sécurité appropriées en fonction du niveau de sensibilité des données.
- Évaluation: Au cours de la phase d’évaluation, l’organisation évalue les pratiques de confidentialité des données et identifie les risques ou vulnérabilités potentiels.
Cela comprend la réalisation d’évaluations d’impact sur la vie privée (PIA) ou d’évaluations d’impact sur la protection des données (DPIA) pour évaluer les implications sur la vie privée des activités de traitement des données.
Grâce à ces évaluations, l’organisation peut identifier les domaines d’amélioration, combler les lacunes en matière de conformité et atténuer les risques liés aux droits individuels à la vie privée.
- Environnement de conformité: La création d’un environnement de conformité implique l’établissement de politiques, de procédures et de contrôles pour garantir le respect des lois, réglementations et normes de l’industrie applicables en matière de confidentialité.
Cette étape comprend également la nomination d’un responsable de la protection des données (DPD) ou d’une équipe de confidentialité chargée de superviser les efforts de conformité et de promouvoir une culture axée sur la confidentialité au sein de l’organisation.
- Contrôles de sécurité PII: Il s’agit des mesures mises en œuvre pour protéger les PII. Il comprend des contrôles techniques, organisationnels et administratifs pour protéger la confidentialité, l’intégrité et la disponibilité des PII.
Des exemples de contrôles de sécurité peuvent inclure le cryptage des données sensibles, des sauvegardes régulières des données et la formation des employés sur la confidentialité et la sécurité des données.
Ces contrôles aident à prévenir le risque de violation de données et de divulgation non autorisée de PII.
En suivant ces étapes, une organisation peut créer un cadre de confidentialité des données robuste pour protéger et se conformer aux réglementations pertinentes en matière de confidentialité.
Conclusion
Reconnaître l’importance des PII et prendre des mesures proactives pour les protéger est essentiel pour maintenir la confidentialité et la sécurité dans ce monde numérique.
En donnant la priorité à la protection des PII, vous pouvez garantir la confiance des individus tout en minimisant le risque de vol d’identité, de fraude et d’autres atteintes à la vie privée.