lorsque les organisations cherchent à protéger les données de leurs utilisateurs, il est nécessaire qu’elles comprennent les données dont elles ont besoin pour les protéger. Les données personnelles, dans le contexte du RGPD, couvrent un éventail beaucoup plus large d’informations que les informations personnellement identifiables (PII), couramment utilisées en Amérique du Nord. En d’autres termes, bien que toutes les PII soient considérées comme des données personnelles, toutes les données personnelles ne sont pas des PII.
Ce qui appelle une explication.
qu’est-Ce que PII?,
personnellement, les informations identifiables sont définies par le us Office of Privacy and Open Government comme suit:
« Les informations qui peuvent être utilisées pour distinguer ou tracer l’identité d’une personne, telles que son nom, son numéro de sécurité sociale, ses enregistrements biométriques, etc. seul, ou lorsqu’il est combiné avec d’autres informations personnelles ou d’identification qui sont liées ou pouvant être liées à une personne spécifique, comme la date et le lieu de naissance, le nom de jeune fille de la mère, etc., »
distinguer un individu, c’est identifier un individu en distinguant une personne d’une autre et tracer un individu, c’est traiter suffisamment d’informations pour déterminer un aspect spécifique des activités ou du statut d’un individu. Suivant cette définition, le nom, l’adresse e-mail, l’adresse postale, le numéro de téléphone, les numéros d’identification personnels (par exemple, sécurité sociale, passeport, permis de conduire, compte bancaire) sont considérés comme des PII.
L’Information est conçue comme liée si une information personnelle peut être utilisée pour identifier une personne. (par ex.,: nom de naissance). L’Information est classée comme information liable si, à elle seule, elle peut ne pas être suffisante pour permettre d’identifier une personne, mais lorsqu’elle est combinée avec un autre élément d’information, elle pourrait identifier, tracer ou localiser une personne (p. ex.: date de naissance).
Prenez par exemple deux ensembles de données contenant des PII différents. Lorsque les deux ensembles de données sont accessibles à la même personne, il devient possible d’identifier des individus en combinant les ensembles de données ou en accédant à des informations supplémentaires sur le sujet. C’est là que la sécurité de l’information entre en jeu., Si les contrôles visant à séparer les sources de données sont insuffisants, les données sont considérées comme liées. Lorsqu’une source supplémentaire d’informations reste externe ou à distance-c’est le cas des bases de données cloisonnées au sein des organisations ou via un moteur de recherche sur internet pour des informations accessibles au public, ces données sont considérées comme pouvant être liées.
qu’est-ce que les IPI sensibles?
Les IPI sont considérées comme sensibles si la perte, la compromission ou la divulgation sans autorisation de ces données pourrait entraîner un préjudice, un embarras, un inconvénient ou une injustice pour une personne., Par exemple, les informations suivantes sont considérées comme des PII sensibles:
- médical
- éducatif
- financier
- informations sur l’emploi
qu’est-ce que les données personnelles en vertu du RGPD?,
l’article 4 du RGPD définit les données à caractère personnel comme suit:
« données à caractère personnel” désigne toute information relative à une personne physique identifiée ou identifiable (« Personne Concernée »); une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs facteurs propres à son identité physique, physiologique, mentale, économique, culturelle ou sociale ».,
Dans cette définition, nous voyons quatre éléments principaux: « aucune information”, « se rapportant à”, « une personne identifiée ou identifiable” et « personne physique”.
Premier élément: « toute information”
Le terme « informations” contenues dans la Directive exige manifestement une interprétation large de la notion. En ce qui concerne la nature des informations, cela signifie que les informations objectives et subjectives d’une personne peuvent être considérées comme des données personnelles. En ce qui concerne le contenu, les données personnelles couvrent tout type d’information., La définition est également neutre sur le plan technologique, peu importe la manière dont les données personnelles sont stockées (par exemple: alphabétique, numérique, graphique, photographique, acoustique). À titre d’exemple, les images d’individus capturées par un système de vidéosurveillance peuvent être des données personnelles dans la mesure où les individus sont reconnaissables.
deuxième élément: « relatif à”
en termes généraux, les informations peuvent être considérées comme »relatives” à un individu lorsqu’elles concernent cet individu en particulier., Afin de prendre en compte les données liées à quelqu’un, l’une des trois fonctionnalités fluides doit être présente: contenu, objectif ou résultat. Ces trois caractéristiques doivent être considérées comme des conditions alternatives et non comme des conditions cumulatives. Par conséquent, la même information peut se rapporter à des individus différents en même temps, selon l’élément présent à l’égard de chacun.
Troisième élément: « identifiée ou identifiable”
« Identifié” lorsque, au sein d’un groupe de personnes, il ou elle est « distingué” de tous les autres membres du groupe., La personne physique est « identifiable” lorsque, bien que la personne n’a pas encore été identifiée, il est possible de le faire.
Quelles informations peuvent être un identifiant? Le RGPD fournit une liste non exhaustive d’identifiants communs qui, lorsqu’ils sont utilisés, peuvent permettre d’identifier la personne à laquelle les informations en question peuvent se rapporter (par exemple, Nom, numéro d’identification, données de localisation, identifiant en ligne).
Le concept d’identification « directe” ou « indirecte” implique que la mesure dans laquelle certains identificateurs sont suffisants pour réaliser l’identification dépend du contexte.,
certaines caractéristiques sont si uniques que quelqu’un peut être identifié sans effort. Si je mentionne « notre patron », vous saurez exactement de qui je parle.
quatrième élément: « personne physique”
la notion de personne physique renvoie à l’Article 6 de la Déclaration universelle des droits de l’homme, selon lequel « toute personne a le droit d’être reconnue partout en tant que personne devant la loi”. Le droit à la protection des données personnelles est, en ce sens, un droit universel qui n’est pas limité aux ressortissants ou aux résidents d’un certain pays., Ainsi, une personne physique traite de l’exigence selon laquelle les « données personnelles » concernent des » individus vivants « . En vertu du RGPD, les données personnelles des personnes décédées ne sont pas couvertes mais peuvent encore bénéficier indirectement d’une certaine protection dans certains cas, en particulier lorsque ces données personnelles concernent des personnes encore en vie.
qu’est-ce que les données sensibles en vertu du RGPD?
Les données personnelles suivantes sont considérées comme des catégories particulières de données personnelles et sont soumises à des conditions de traitement spécifiques conformément à l’art., 9 du RGPD:
- données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques;
- appartenance syndicale;
- données génétiques, données biométriques traitées uniquement pour identifier un être humain;
- données liées à la santé;
- données concernant la vie sexuelle d’une personne ou des données sensibles.
Qu’à des identifiants en ligne?,
Le considérant 30 du Règlement clarifie la définition de l ‘ « identifiant en ligne” mentionnée
à l’Article 4:
« les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications, outils et protocoles, tels que les adresses de protocole internet, les identifiants de cookies ou d’autres identifiants tels que les étiquettes d’identification par radiofréquence. Cela peut laisser des traces qui, en particulier lorsqu’elles sont combinées avec des identifiants uniques et d’autres informations reçues par les serveurs, peuvent être utilisées pour créer des profils des personnes physiques et les identifier.,”
les identifiants D’appareils, les adresses IP et les Cookies sont considérés comme des données personnelles au sens du RGPD. Selon la définition des IPI, elles ne sont pas des IPI car elles sont anonymes et ne peuvent pas être utilisées seules pour identifier, retracer ou identifier une personne.
qu’en est-il des données pseudonymisées?
Une donnée à caractère personnel est considérée comme anonymisée si elle ne concerne pas une personne physique identifiée ou identifiable ou si elle a été rendue anonyme de telle manière que la personne concernée n’est pas ou plus identifiable.,
la Pseudonymisation des données consiste à remplacer toute caractéristique d’identification des données par un pseudonyme, ou, en d’autres termes, une valeur qui ne permet pas d’identifier directement la personne concernée. Les données pseudonymisées sont-elles toujours considérées comme des données personnelles?
selon l’article 29 de l’avis du groupe de travail, les données à caractère personnel qui ont été dépersonnalisées, cryptées ou pseudonymisées mais qui peuvent être utilisées pour ré-identifier une personne restent des données à caractère personnel et entrent dans le champ d’application du RGPD., Les données personnelles qui ont été rendues anonymes de telle sorte que la personne n’est pas ou plus identifiable ne sont plus considérées comme des données personnelles. Pour que les données soient réellement anonymisées, l’anonymisation doit être irréversible.
les PII comprennent toute information qui peut être utilisée pour ré-identifier des données anonymes. Les informations qui sont anonymes et ne peuvent pas être utilisées pour retracer l’identité d’une personne ne sont pas des PII. Les ID d’appareil, les cookies et les adresses IP ne sont pas considérés comme des PII pour la plupart des États-Unis. Mais certains États, comme la Californie, classent ces données comme des PII., La Californie classe également les Alias et les noms de compte comme des informations personnelles.
en un mot, les PII font référence à toute information qui peut être utilisée pour distinguer un individu d’un autre. La définition GDPR des données personnelles est – délibérément – très large. En principe, il couvre toute information qui se rapporte à un individu vivant identifiable.
Laisser un commentaire