Les informations personnelles identifiables (PII) et les données personnelles sont deux classifications de données qui causent souvent de la confusion pour les organisations qui collectent, stockent et analysent ces données.
les PII sont utilisées aux États-Unis, mais aucun document juridique ne les définit. Le système juridique aux États-Unis est un mélange de nombreuses lois fédérales et étatiques et de réglementations sectorielles. Ils définissent et classent tous différents éléments d’information sous L’égide de L’IIP.,
d’autre part, les données personnelles ont une signification juridique, qui est définie par le règlement général sur la Protection des données (RGPD), accepté comme loi dans toute l’Union Européenne (UE).
Les deux termes couvrent un terrain d’entente, classant l’information qui pourrait révéler l’identité d’une personne directement ou indirectement.
Mais pourquoi tout cela est-il si important? En tant qu’administrateur de site web, créateur d’application ou propriétaire de produit, vous devez être conscient que les traces laissées par les visiteurs et les utilisateurs peuvent être de nature sensible., Ces traces peuvent vous permettre d’identifier des individus, vous devez donc gérer ces données avec la plus grande prudence. D’un point de vue juridique, il pourrait s’agir de violations et de violations aux conséquences graves. Il est essentiel de saisir la situation dans son ensemble pour assurer la sécurité et la conformité juridique de votre organisation.
- qu’est-ce que les informations personnelles identifiables (PII)?
- Quelles informations sont considérées comme des PII?
- qu’est-ce que les non-PII?
- qu’est-Ce que les données personnelles?
- qu’est-ce que les données non personnelles?,
- EN QUOI les PII diffèrent des données personnelles
- cadre juridique
- où s’appliquent les règles sur les PII et les données personnelles
- rester à jour sur les réglementations en matière de confidentialité des données
qu’est-ce que les informations personnellement identifiables (PII)?
les PII sont souvent référencés par les agences gouvernementales américaines et les organisations non gouvernementales. Pourtant, les États-Unis n’ont pas une loi prépondérante sur les PII, de sorte que votre compréhension des PII peut différer en fonction de votre situation particulière.
La définition la plus courante est fournie par le National Institute of Standards and Technology (NIST).,
Il est dit que:
Les renseignements personnels sont tous les renseignements sur une personne conservés par un organisme, y compris (1) Tous les renseignements qui peuvent être utilisés pour distinguer ou retracer l’identité d’une personne, tels que le nom, le numéro de sécurité sociale, la date et le lieu de naissance, le nom de jeune fille de la mère ou les dossiers biométriques; et (2) tous les autres renseignements qui sont liés ou qui peuvent être reliés à une personne, tels que les renseignements médicaux, éducatifs, financiers et d’emploi.
Cependant, la frontière entre l’IPI et d’autres types d’informations est flou., Comme l’a souligné la General Services Administration des États-Unis, « La définition des IPI n’est pas ancrée dans une catégorie unique d’information ou de technologie. Elle exige plutôt une évaluation au cas par cas du risque spécifique qu’une personne puisse être identifiée”.
Quelles informations sont considérées comme des IPI?
selon le NIST, les PII peuvent être divisées en deux catégories: les informations liées et les informations liables.
Les informations liées sont plus directes., Il pourrait inclure tout détail personnel pouvant être utilisé pour identifier une personne, par exemple:
- nom complet
- adresse du domicile
- adresse e-mail
- numéro de sécurité sociale
- numéro de passeport
- numéro de permis de conduire
- numéros de carte de crédit
- Date de naissance
- numéro de, numéro d’identification du véhicule (NIV)
- informations de Connexion
- Processeur ou de l’appareil numéro de série*
- contrôle d’accès au support (MAC)*
- Protocole Internet (adresse IP)*
- Id de Périphérique*
- les Cookies*
*De la note!
le NIST indique que les informations liées peuvent être « des informations D’actifs, telles que L’adresse IP (Internet Protocol) ou L’adresse MAC (Media Access Control) ou tout autre identifiant statique persistant spécifique à l’hôte qui lie systématiquement une personne en particulier ou un petit groupe de personnes bien défini”., Cela signifie que les cookies et l’identifiant de l’appareil tombent sous la définition de PII.
Les informations pouvant être liées sont indirectes et peuvent en elles-mêmes ne pas être en mesure d’identifier une personne, mais lorsqu’elles sont combinées avec une autre information, elles peuvent identifier, tracer ou localiser une personne.
Voici quelques exemples de réticulable d’informations:
- nom ou prénom (si commun)
- Pays, état, ville, code postal
- Genre
- Race
- Non spécifiques de l’âge (p. ex., 30-40 au lieu de 30)
- poste et lieu de travail
Apprenez à protéger les PII, les non-PII et les données personnelles
tout, de la définition détaillée de chacun aux approches pratiques de collecte et de travail avec différents types de données
Qu’est-ce que les non-PII?
les informations non personnellement identifiables (non-PII) sont des données qui ne peuvent pas être utilisées seules pour tracer ou identifier une personne.,Les exemples de non-IPI incluent, mais ne sont pas limités à:
- statistiques agrégées sur l’utilisation de produits / services
- adresses IP partiellement ou entièrement masquées
cependant, la classification des IPI et des non-PII est vague. De plus, le NIST ne fait pas référence aux ID de cookies et aux ID d’appareils, de sorte que de nombreuses entreprises AdTech, annonceurs et éditeurs les considèrent comme non-PII. Comme nous le verrons, cela contraste avec la définition des données personnelles, qui traite ces tackers numériques comme des informations qui pourraient identifier un individu.
qu’est-Ce que les données personnelles?,p> « données à caractère personnel », toute information relative à une personne physique identifiée ou identifiable (« personne concernée »); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique;
Cette définition s’applique non seulement au nom et au prénom d’une personne, mais également aux détails qui pourraient l’identifier.personne., C’est le cas lorsque, par exemple, vous êtes en mesure d’identifier un visiteur revenant sur votre site web à l’aide d’un cookie ou d’informations de connexion.
en vertu du RGPD, vous pouvez considérer les cookies comme des données personnelles car, selon
considérant 30:
les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications, outils et protocoles, tels que des adresses de protocole internet, des identifiants de cookies ou d’autres identifiants tels, Cela peut laisser des traces qui, en particulier lorsqu’elles sont combinées avec des identifiants uniques et d’autres informations reçues par les serveurs, peuvent être utilisées pour créer des profils des personnes physiques et les identifier.
et la définition des données personnelles couvre diverses informations telles que:
- historique des transactions
- adresses IP
- historique du navigateur
- messages sur les réseaux sociaux
fondamentalement, il s’agit de toute information relative à un individu ou à une personne identifiable, directement ou indirectement.
qu’est-ce que les données non personnelles?,
conformément aux dispositions du RGPD, les données non personnelles sont des données qui ne vous permettent pas d’identifier une personne. Le meilleur exemple est les données anonymes. Selon
considérant 26:
Les principes de protection des données ne devraient donc pas s’appliquer aux informations anonymes, à savoir les informations qui ne se rapportent pas à une personne physique identifiée ou identifiable ou aux données à caractère personnel rendues anonymes de telle sorte que la personne concernée ne soit pas ou plus identifiable.,
D’autres exemples de données non personnelles incluent, mais ne sont pas limités à:
- données généralisées, par exemple tranche d’âge, par exemple,uch comme données de recensement ou reçus fiscaux collectés pour des œuvres financées par des fonds publics
- statistiques agrégées sur l’utilisation d’un produit ou d’un service
- adresses IP partiellement ou entièrement masquées
pour en savoir plus sur l’anonymisation des données, lisez nos autres articles de blog:
- EN QUOI les IPI diffèrent des données personnelles
- Les États-Unis.,l Trade Commission (FTC) et son Département de la Protection des consommateurs
- départements locaux de la consommation
- La Federal Communications Commission (FCC)
- L’Institut National des normes et de la technologie (NIST)
- La Network Advertising Initiative (Nai), un organisme d’autoréglementation
comme nous L’avons déjà mentionné, dans certains contextes, les différences entre ces deux types de données semblent assez vagues., Si nous devons tracer une ligne claire ici, alors nous appliquerions le cadre juridique et à qui ces données s’appliquent.
cadre juridique
toutes les règles et responsabilités concernant les données personnelles sont définies par le RGPD, qui vise à renforcer et unifier la collecte de données auprès des résidents de l’UE. Cela signifie également qu’il existe une approche plus unifiée de l’application, qui n’a cessé de croître depuis mai 2018, Date de l’entrée en vigueur du RGPD.
Il est beaucoup plus difficile de définir un seul texte législatif qui contrôle les IPI en raison de l’absence d’une seule loi fédérale régissant son utilisation. Cependant, parmi les diverses lois qui régissent la collecte et l’utilisation des PII, les plus importantes sont:
où les règles sur les PII et les données personnelles s’appliquent
Les données personnelles étant strictement liées états de l’Espace économique européen-les 28 États membres de l’UE plus l’Islande, Le Liechtenstein et la Norvège., Nous appellerons ce groupe les résidents de l’UE, pour faire court.
pourtant, le champ d’application du RGPD n’est pas vraiment limité à l’UE. Elle affecte non seulement les entités basées dans l’UE, mais pratiquement toutes les entreprises traitant des données des résidents de l’UE.
en revanche, il est beaucoup plus difficile de déterminer les juridictions où les IIP sont applicables.
même aux États-Unis, où les IPI sont certainement applicables, leur application varie à la fois d’un État à l’autre et d’un secteur à l’autre. Plusieurs documents juridiques et normes de l’industrie ont leur propre opinion sur ce qu’est L’IPI.,
par conséquent, il est assez difficile de déterminer à qui s’applique L’IPI et comment.
Apprenez à protéger les PII, les non-PII et les données personnelles
tout, de la définition détaillée de chacun aux approches pratiques pour collecter et travailler avec différents types de données
rester mise à jour de la réglementation sur la protection des données
Les définitions générales des IIP et des données personnelles évoluent pour couvrir de plus en plus de types de données., Les différences entre les deux sont également de moins en moins distinctes. Les exigences légales sont de plus en plus strictes des deux côtés de l’Atlantique.
Ces changements apporteront de nouveaux défis. Pour les organisations de toutes sortes, cela signifie examiner de plus près les données qu’elles collectent et suivre l’évolution du paysage juridique pour rester en conformité.
Nous espérons que notre blog a répondu à certaines de vos questions concernant les renseignements et les données personnelles. Mais si vous voulez en savoir plus, n’hésitez pas à nous contacter à tout moment. Nos experts se feront un plaisir de vous renseigner!