Données Personnelles

Qu’est-ce que les données personnelles ?

Les données personnelles (ou informations personnellement identifiables (PII)) sont des informations qui se rapportent à une personne identifiée ou identifiable. Si différentes informations collectées ensemble peuvent conduire à l’identification directe ou indirecte d’une personne, cela constitue également des données personnelles.

Les données personnelles peuvent inclure les éléments suivants :

• Nom
• Genre/orientation sexuelle
• Adresse
• Numéro de téléphone
• Date de naissance
• Adresse e-mail
• Adresse IP et données de géolocalisation
• Historique de navigation sur Internet/identifiants de cookies
• Numéro d’identification/passport/permis de conduire
• Numéro de sécurité sociale
• Orientation sexuelle/origine raciale
• Numéro de carte de crédit ou de débit, coordonnées bancaires
• Dossiers d’employé
• Photos/images vidéo, collectées par CCTV
• Données biométriques telles que empreintes digitales, scans d’iris
• Données de santé/dossiers médicaux et données génétiques
• Informations sur les croyances religieuses ou philosophiques d’une personne

S’il est possible d’identifier directement une personne à partir des informations que vous traitez, même en faisant des inférences entre différentes sources de données, ces informations peuvent être considérées comme des données personnelles.

Les données personnelles se subdivisent en deux groupes :

• Données sensibles : données privées qui, si elles sont révélées, pourraient causer du tort à une personne
• Données non sensibles : données personnelles disponibles librement via plusieurs sources (comme les registres publics, les annuaires téléphoniques, les répertoires d’entreprise et les sites web)

Ces deux types de données doivent être protégés et traités de manière sécurisée, en conformité avec les réglementations et les meilleures pratiques.

Pourquoi les données personnelles sont-elles importantes ?

L’utilisation de données personnelles apporte des avantages tant à l’individu concerné qu’aux organisations. Par exemple, elles peuvent être utilisées pour fournir un service personnalisé à un consommateur, comme cibler des groupes spécifiques avec des produits ou des offres particuliers.

Cependant, elles peuvent être utilisées pour cibler les gens de manière plus insidieuse, comme à travers des publicités sur les réseaux sociaux basées sur des publications que les individus ont vues/aimées, ou même pour profiler et discriminer des groupes spécifiques (comme facturer des prix plus élevés à certains groupes). De nombreuses entreprises numériques (comme les réseaux sociaux gratuits) ont construit leurs modèles économiques en collectant des données personnelles auprès des consommateurs, et en vendant ces informations aux annonceurs qui les utilisent pour cibler les consommateurs avec leurs produits et services.

Dans le pire des cas, si des données personnelles sont volées ou divulguées à des pirates informatiques ou à des criminels, cela peut conduire au vol d’identité, à la fraude bancaire, à des menaces de préjudice personnel et à d’autres infractions graves. Il est donc vital de s’assurer que toute donnée personnelle collectée par une entreprise est protégée et sécurisée, en particulier si elle s’agit de données personnelles sensibles.

Quelles sont les réglementations qui affectent les données personnelles ?

Motivés par les préoccupations concernant la vie privée et l’abus des données personnelles, les gouvernements du monde entier ont mis en œuvre des réglementations sur la collecte, l’utilisation et la protection des données personnelles. Ces réglementations visent à donner aux consommateurs un plus grand contrôle sur leurs données personnelles et sur la manière dont elles sont utilisées par des tiers.

Les réglementations actuelles comprennent :

• Le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne
• La California Consumer Privacy Act (CCPA)
• La loi fédérale américaine sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA)

Souvent, ces réglementations sont assorties de sanctions importantes en cas de non-conformité. Par exemple, en vertu du RGPD, les organisations peuvent être condamnées à une amende pouvant atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros pour des violations significatives.

La tendance générale est à une réglementation accrue des données personnelles, à mesure que de plus en plus de pays et d’États mettent en œuvre une législation principalement basée sur les principes du RGPD et de la CCPA.

Comment les organisations devraient-elles protéger les données personnelles ?

Ne pas protéger les données personnelles a des conséquences graves pour les organisations, notamment :

• Des actions en justice et des amendes en vertu de la législation telle que le RGPD et la CCPA, ainsi que des actions en justice collectives potentielles
• Dommages à la réputation, impactant la fidélité des clients, les revenus et le prix des actions

Les entreprises doivent donc protéger les données personnelles par :

• Une sécurité renforcée et le cryptage pour empêcher les pirates d’accéder aux données personnelles
• Des politiques de gouvernance des données efficaces et documentées qui spécifient qui a accès à des données particulières à un niveau de jeu de données et granulaire, où elles sont stockées et comment elles sont transportées
• Une surveillance constante et la journalisation pour fournir un enregistrement de qui a accédé à des données/des jeux de données spécifiques
• L’utilisation de techniques telles que l’anonymisation et la pseudonymisation pour éviter que les données puissent être utilisées pour identifier accidentellement des individus