Information personnelle ou PII : définition et importance en cybersécurité

Information personnelle ou PII : définition et importance en cybersécurité

Antoine L.
Calendar picto
2/12/2021
Clock picto
7 min

Les informations personnelles ou PII (Personal Identifiable Information) sont les données permettant d'identifier un individu. Face à la menace des cybercriminels, leur protection est un enjeu majeur dans les années à venir pour les entreprises et les gouvernements. Découvrez tout ce que vous devez savoir sur le sujet.

Qu’est-ce qu'une information personnelle ?

Le terme d'information personnelle (PII ou Personal Identifiable Information) désigne toute information permettant d'identifier un individu. Certaines PII permettent d'identifier une personne directement, d'autres doivent être combinées avec d'autres données.

Au fil des dernières années, le volume de données générées par l'humanité a explosé. Ceci est directement lié à l'essor des technologies numériques comme les smartphones, internet, le e-commerce ou les réseaux sociaux. Nous sommes entrés dans l'ère du “Big Data”.

Par exemple, les applications web et les réseaux sociaux conservent des données à propos de leurs utilisateurs. Ces données peuvent être stockées sur leurs serveurs, ou dans les Data Centers d'un fournisseur de Cloud.

Or, ces données sont collectées, analysées, partagées par les entreprises. Cette pratique permet de mettre en lumière des informations précieuses sur les performances de l'activité, sur les attentes des consommateurs, sur les tendances du marché ou même sur la concurrence.

Le Big Data est un véritable atout pour les entreprises de tous les secteurs. C'est la raison pour laquelle elles se livrent désormais à une guerre des données, considérées comme des ressources extrêmement précieuses.

Toutefois, cette augmentation massive du volume de données a aussi augmenté le risque de fuite. Une erreur de sécurité, un oubli peuvent conduire à l'exposition de données personnelles sur le web. Ces informations risquent ensuite de tomber entre de mauvaises mains.

Des criminels peuvent notamment se servir de PII pour usurper l'identité d'un individu, pour accéder à ses comptes sur les sites web ou pour le piéger via des techniques d'ingénierie sociale. C'est la raison pour laquelle les cybercriminels attaquent les entreprises pour dérober les données qu'elles stockent sur leurs serveurs.

En confiant leurs données à des entreprises, les individus en perdent aussi la propriété et le contrôle. Il s'agit d'un grave danger pour la vie privée et la confidentialité.

Par conséquent, la protection des données personnelles est devenue une priorité. Les experts capables d'assurer la sécurité des PII sont très recherchés, et de nouvelles lois sont votées comme le RGPD en Europe. Les consommateurs quant à eux prêtent de plus en plus attention à leur anonymat dans la sphère digitale.

Notons que la définition des informations personnelles varie d'un pays à l'autre. Aux États-Unis, ce terme se limite aux informations permettant de distinguer l'identité d'un individu. Dans l'Union européenne, la définition du RGPD englobe aussi les identificateurs partiels.

Qu'est-ce qu'une information personnelle "sensible" ?

On distingue les informations personnelles sensibles, et non sensibles. En guise d'exemple d'informations sensibles, on peut citer le nom, le numéro de sécurité sociale, le numéro de permis de conduire, l'adresse postale, les informations de passeport, de carte de crédit ou encore les enregistrements médicaux.

Ces informations sont confidentielles et n'ont pas vocation à être partagées publiquement. C'est la raison pour laquelle elles sont considérées comme sensibles.

Lorsque les entreprises partagent ce type de données liées à leurs clients, elles utilisent des techniques d'anonymisation comme le chiffrement. De cette manière, il n'est plus possible d'identifier une personne à partir de ces données.

En revanche, les informations personnelles non sensibles sont accessibles à partir de sources publiques comme l'annuaire, internet ou les répertoires d'entreprise. Il s'agit par exemple d'un code postal, du genre, de la date ou du lieu de naissance, de la religion.

Ces données seules ne permettent pas d'identifier la personne, et peuvent donc être partagées sans risque. Toutefois, en combinant plusieurs informations non sensibles, il reste possible de remonter jusqu'à l'identité d'un individu. Les techniques de désanonymisation et de réidentification peuvent être efficaces à condition d'agréger suffisamment de données partiellement identifiantes.

Comment protéger les informations personnelles ?

De nombreuses lois de protection des données ont été adoptées au fil des dernières années, comme le RGPD dans l'Union européenne ou le CCPA en Californie. Ces lois ont pour but de protéger les informations personnelles des consommateurs.

Les entreprises sont contraintes à respecter ce règlement, sous peine de sanctions colossales. Il s'agit d'un moyen efficace de s'assurer que les bonnes pratiques de sécurité soient adoptées. Par exemple, les données sensibles ne doivent être collectées qu'en cas de besoin.

Le RGPD impose aussi aux entreprises de supprimer les données personnelles dès qu'elles n'en ont plus besoin. Elles ne doivent pas non plus les partager avec des tiers incapables de garantir leur protection.

Dans les années à venir, la protection des données restera un enjeu majeur pour les entreprises, les gouvernements et les individus. Les menaces grandissent et se multiplient, et le développement technologique ne peut se faire sans tenir compte de ce danger.

Les cybercriminels sont prêts à tout pour s'emparer des PII stockées sur les serveurs des entreprises. Ils vendent ensuite ces informations à prix d'or sur le marché noir du Dark Web. D'autres criminels achètent ces données et les utilisent pour des opérations de fraude ou de hameçonnage.