Le manuel ultime pour les informations personnellement identifiables ( PII )

PII : Vous pouvez beaucoup bénéficier d’être aussi informé que possible des informations personnelles identifiables ( PII ), en particulier en raison de leur lien avec la confidentialité des données. Il est courant que ces données soient utilisées à des fins illégales comme le vol d’identité et la fraude, donc leur protection peut littéralement vous sauver la vie.

Alors, que pouvez-vous, en tant que navigateur Web innocent, faire pour vous protéger? Ou si vous êtes propriétaire d’un site Web, comment protégez-vous vos utilisateurs et votre entreprise contre les atteintes à la vie privée? Continuez à lire pendant que nous explorons plus en détail les PII et les mesures que vous pouvez prendre pour les protéger des agents malveillants.

Que sont les informations personnellement identifiables (PII) de toute façon?

Bien que les informations personnellement identifiables (PII) aient plusieurs définitions formelles, d’un point de vue général, ce sont des informations que les organisations peuvent utiliser pour identifier, contacter ou localiser une seule personne – ou pour identifier une personne dans son contexte.

En d’autres termes, ce sont toutes les données qui peuvent être utilisées pour identifier des individus directement ou indirectement.

Les PII comprennent des identifiants directs (informations de passeport, numéro de sécurité sociale, permis de conduire, etc.) qui peuvent identifier une personne de manière unique, ainsi que des quasi-identifiants (race, code postal, etc.) pouvant être combinés avec d’autres quasi-identifiants ( date de naissance, sexe, etc.) pour reconnaître un individu. Nous en discuterons plus en détail plus tard.

Le National Institute of Standards and Technology (NIST) explique les PII comme suit:

«Comme toute information sur une personne conservée par une agence, y compris toute information qui peut être utilisée pour distinguer ou retracer l’identité d’une personne telle que le nom, le numéro de sécurité sociale, la date et le lieu de naissance, le nom de jeune fille de la mère ou les enregistrements biométriques; et toute information liée ou pouvant être liée à une personne avec des informations supplémentaires, telles que des informations de santé protégées, des informations sur l’éducation, les finances et l’emploi. »

Il est de la responsabilité d’une organisation de garantir le respect des lois applicables en matière de protection des données. L’une des premières étapes vers la conformité consiste à savoir quelles données sont considérées comme des PII (ou données personnelles) et si elles nécessitent des garanties supplémentaires.

Mais comme il n’y a pas de source unique de définition des PII, vous devriez plutôt utiliser l’évaluation individuelle pour déterminer correctement ce que sont les PII (et ce qu’ils ne sont pas).

Faites simplement attention à la loi, à la procédure, à la réglementation ou à la norme régissant votre secteur ou domaine spécifique, et vous aurez une image plus claire.

Fonctionnement des informations personnellement identifiables (PII)

Les progrès technologiques ont changé à tout jamais le traitement et le traitement des données. Les entreprises fonctionnent différemment; les gouvernements légifèrent différemment; les individus se rapportent différemment. N’oublions pas non plus les outils numériques comme les téléphones portables, le commerce électronique, les médias sociaux et, bien sûr, Internet a provoqué une explosion de l’offre de toutes sortes de données appelées big data.

Les mégadonnées sont une mine d’informations qui sont collectées, analysées et traitées par les entreprises et partagées par d’autres entreprises pour obtenir des informations clés sur la façon d’améliorer l’interaction avec les clients. Cependant, son émergence a également entraîné une augmentation correspondante du nombre de violations de données et de cyberattaques par de mauvais acteurs qui prennent conscience de la valeur de ces informations.

Le résultat direct? Les organismes de réglementation recherchent de nouvelles lois pour protéger les données des consommateurs tandis que les utilisateurs tentent de trouver des moyens anonymes de rester numériques.

Informations personnellement identifiables sensibles par rapport aux informations personnellement identifiables non sensibles

Vous pouvez classer les informations personnelles en deux catégories: sensibles et non sensibles.

Les informations personnelles sensibles comprennent les statistiques juridiques, comme le nom complet, le permis de conduire, le numéro de sécurité sociale, l’adresse de réunion, les informations potentielles, les informations de passeport, les informations de carte de crédit, les dossiers médicaux, etc.

Les entreprises qui partagent des données sur leurs clients utilisent diverses techniques d’anonymisation pour crypter et masquer les informations personnelles, les convertissant en une forme non personnellement identifiable. Par exemple, une organisation qui partage les informations de ses clients avec une société de marketing anonymisera les informations personnelles sensibles contenues dans les données, en ne laissant de côté que les informations pertinentes pour l’objectif de la société de marketing.

D’autre part, les informations personnelles non sensibles ou indirectes peuvent être consultées à partir de sources publiques telles qu’Internet, les annuaires téléphoniques et les annuaires d’entreprise. Certains exemples courants incluent le code postal, le sexe, la race, la date de naissance, le lieu de naissance et la religion.

Vous avez peut-être remarqué que les exemples incluent des quasi-identifiants – quelque chose qui peut généralement être rendu public en toute sécurité. Mais cela ne signifie pas que les informations sensibles ne peuvent pas être potentiellement dangereuses.

Vous voyez, bien que les informations non sensibles ne soient pas délicates, elles peuvent être liées. Cela signifie que les données non sensibles, lorsqu’elles sont utilisées avec d’autres informations personnelles pouvant être liées, peuvent révéler l’identité d’un individu.

De plus, les techniques de désanonymisation et de ré-identification ont plus de chances de réussir lorsque plusieurs ensembles de quasi-identifiants sont combinés pour distinguer une personne d’une autre. Par exemple, les experts ont constaté que 87% de la population américaine peut être identifié de manière unique par une combinaison de sexe, de code postal et de date de naissance.

Ainsi, même si la législation américaine ne considère pas les quasi-identifiants comme des PII, la législation européenne peut le faire.

Exemple de violation d’informations personnelles identifiables (PII)

Rappelez-vous comment Facebook a été victime d’une violation de données majeure en 2018? Environ 50 millions de profils d’utilisateurs Facebook ont ​​été collectés sans le consentement de Facebook par une société extérieure appelée Cambridge Analytica.

L’entreprise extérieure a obtenu les données de la plate-forme de médias sociaux directement par l’intermédiaire d’un chercheur qui travaillait à l’Université de Cambridge, qui a créé un quiz de personnalité sous la forme d’une application Facebook conçue pour recueillir les informations de ceux qui se sont portés volontaires pour donner accès à leurs données pour le quiz.

Cependant, non seulement l’application a collecté les données du participant au quiz, mais elle a également collecté les données des amis et des membres de la famille des participants au quiz.

Facebook avait une faille dans son système en raison de laquelle plus de 50 millions d’utilisateurs de Facebook ont ​​vu leurs données exposées à Cambridge Analytica sans leur consentement. Même si Facebook a interdit la vente de leurs données, Cambridge Analytica a fait demi-tour et a vendu les données à des fins de conseil politique.

Désormais, les entreprises continueront de rechercher des moyens de collecter des données, en particulier des informations personnelles, en proposant des produits aux consommateurs et en augmentant leurs bénéfices. Mais ils devraient être soumis à des réglementations plus strictes afin qu’une autre débâcle comme la violation de données de Facebook ne se répète pas.

Comment protéger vos informations personnelles identifiables (PII)

Voyons comment vous pouvez sécuriser vos PII contre toute perte ou compromis en empêchant quelques mesures préventives et correctives.

Étape 1: Identifiez vos informations personnelles et trouvez où vous les stockez

La première étape consiste à savoir si votre entreprise stocke ou utilise des informations personnelles.

Les agences gouvernementales peuvent stocker des informations personnelles telles que les numéros de sécurité sociale, les détails du passeport, les adresses et les numéros de licence. D’autre part, les vendeurs peuvent avoir des coordonnées bancaires et des informations de connexion.

Après avoir identifié toutes les données PII de votre entreprise, vous devez déterminer où vous les stockez. Cela peut inclure des serveurs de fichiers, des services cloud, des portails, des ordinateurs portables d’employés, etc. Considérer ce qui suit:

  • Données en cours d’utilisation: Les données que vos employés utilisent pour faire le travail, et qui sont généralement stockées dans un état numérique non persistant comme la RAM.
  • Données au repos: Les données stockées ou archivées dans des emplacements tels que les disques durs, les bases de données, les ordinateurs portables, les serveurs Web et SharePoint.
  • Données en mouvement: Les données qui transitent d’un emplacement à un autre, telles que le transfert de données d’un périphérique de stockage local vers un serveur cloud, ou entre deux employés par e-mail.

Vous devez tenir compte des trois états de données pour développer votre plan de protection des PII. Cela vous aidera à décider où se trouvent les informations personnelles, comment elles sont utilisées et les différents systèmes que vous devez protéger.

Étape 2: Classez toutes vos données PII en fonction de la sensibilité

Ensuite, vous devez créer une politique de classification des données pour trier vos données PII en termes de sensibilité. Comme il s’agit d’un élément crucial de la protection des PII, vous devez le faire correctement.

Tenez compte des facteurs suivants pour classer vos données PI:

  1. Dans quelle mesure vos données sont-elles uniques? Si même un seul enregistrement peut identifier un individu par lui-même, ces données sont très sensibles.
  2. Pouvez-vous identifier un individu unique en combinant deux ou plusieurs éléments de données?
  3. Combien de personnes peuvent accéder à vos données PII et à quelle fréquence vos données sont-elles transmises sur les réseaux?
  4. Vos données sont-elles soumises à l’une des réglementations suivantes: PCI DSS, GDPR, HIPAA et HITECH ACT (États-Unis), et Criminal Justice and Immigration ACT (Royaume-Uni)?

Après avoir pesé les facteurs ci-dessus, vous pouvez classer vos données PII en fonction de leur sensibilité. Au minimum, vous devez avoir trois niveaux de classification des données:

  • Limité. Cela inclut les informations personnelles hautement sensibles qui pourraient causer des dommages importants si elles tombent entre de mauvaises mains.
  • Privé. Bien qu’elles ne soient pas aussi sensibles que les données restreintes, les données privées peuvent tout de même causer des dommages modérés à l’entreprise ou à l’individu si elles sont compromises.
  • Publique. Données non sensibles et à faible risque avec peu ou pas de restrictions d’accès.

La classification des données peut guider votre équipe de réponse aux incidents lors d’une faille de sécurité en l’informant du niveau d’informations qui a été compromis. Assurez-vous de supprimer toutes les PII anciennes ou inutiles pour les rendre inaccessibles aux cybercriminels.

Étape 3: Concevoir une politique d’utilisation acceptable (AUP)

Peu de gens le font, mais avoir une AUP peut être très utile pour protéger vos actifs sensibles.

Il devrait couvrir des éléments tels que qui peut accéder aux PII et établir des règles de base claires concernant la manière acceptable d’utiliser les PII. Votre AUP peut également servir de point de départ pour créer des contrôles basés sur la technologie pour appliquer un accès et une utilisation appropriés des PII.

Étape 4: Crypter vos informations personnelles et supprimer les erreurs d’autorisation

Vous devez toujours crypter vos PII au repos et en transit pour appliquer une protection appropriée des PII.

Nous vous recommandons d’utiliser un cryptage renforcé et une gestion des clés avant de partager des informations personnelles sur un réseau non approuvé ou de les télécharger dans le cloud. Mais, pour ce faire, vous aurez besoin du bon ensemble de contrôles techniques. Vous pouvez également automatiser le processus de chiffrement en fonction de la classification des données pour gagner du temps.

Le suivi de vos droits de contrôle d’accès devrait être le prochain sur votre liste.

Vous devez mettre en œuvre et appliquer le principe du moindre privilège lorsque vous accordez l’accès à des données sensibles. Cela garantira que seules ces personnes auront accès aux données PII qui en ont besoin pour faire leur travail.

Étape 5: Éliminer les menaces internes sous la forme d’employés partants

Les menaces pesant sur les données de votre entreprise peuvent être internes et externes.

Les employés qui partent mécontents sont les menaces internes les plus courantes. C’est pourquoi vous devriez travailler à la création d’une procédure normalisée pour les employés qui partent:

  • Supprimez tous les comptes utilisateurs et accédez aux différents systèmes d’entreprise pour supprimer complètement tout accès à votre système.
  • Envoyez un rappel juridique sur les responsabilités légales concernant les PII et autres données sensibles.
  • Partagez une copie d’un accord de confidentialité signé qui couvre les informations personnelles et les données sensibles.

Étape 6: Éduquer les employés sur l’importance de protéger les IPI

Éduquer les employés sur l’importance de la protection des PII est une étape simple et cruciale pour la protection des PII.

Étant donné que la PUA de votre entreprise est une partie vitale de votre programme de formation des employés, vous devez vous assurer que chaque employé en a une copie et signe une déclaration reconnaissant qu’il accepte de suivre les politiques énoncées dans le document.

Une autre excellente tactique consiste à mettre en place une politique de formation des employés sur la protection des PII pour inculquer un sentiment d’appartenance aux employés, leur faisant penser qu’ils ont effectivement un rôle important à jouer dans la protection des PII.

Vous devez également permettre aux employés de signaler plus facilement toute activité ou comportement suspect à la direction.