Vocabulaire sur la confidentialité des données : différences entre PII, PHI, NPI et PCI

La plupart d'entre nous ont déjà été touchés par une compromission de données au cours des dernières années. Lorsqu'une entreprise est attaquée et que des données sont volées, c'est à elle qu'il incombe de notifier chacune des victimes de la violation de données. L'entreprise peut également expliquer sur un site Web les efforts déployés pour répondre à l'incident en incluant notamment des informations sur les données qui ont été exposées. Malheureusement, ces notifications ne sont pas toujours claires ce qui laisse les victimes dans l'incertitude concernant l'exactitude des données exposées. Le terme « données du titulaire de carte » peut sembler assez simple mais est en réalité c'est plus complexe qu'on ne se l'imagine.

Toutes les données sont utilisées et réglementées de différentes manières avec différents niveaux de responsabilité pour l'entreprise. La plupart d'entre nous conviendront que les données « sensibles » et « privées » doivent être protégées du public, mais ça ne suffit pas, parce que nous ne sommes pas d'accord sur ce qui constitue une donnée sensible et privée. On n'a toujours pas réussi à se mettre d'accord sur la protection des dossiers publics dans certaines circonstances. L'environnement réglementaire exige des spécificités pour protéger le public contre l'exposition des données et la fraude. Cette spécificité aide également les entreprises à comprendre leurs obligations en matière de protection des données et des victimes des violations de données.

Cet article passera en revue les termes de données les plus courants utilisés dans les notifications de violation. Les lois sur la protection des données varient d'un pays à l'autre. Je vais donc faire simple et me concentrer sur les États-Unis, en commençant par les données à caractère personnel.

Données à caractère personnel (PII)

Les PII sont définies dans la publication 800-122 du National Institute of Standards and Technology (NIST).  En résumé, les PII sont des informations qui peuvent être utilisées pour distinguer ou retracer l'identité d'une personne (nom, numéro de sécurité sociale) ou d'autres informations liées à une personne (informations financières, antécédents professionnels).  Voir la section 2.1 de la publication NIST pour plus de détails sur ce qui est considéré comme des PII. 

Informations de santé protégées (PHI)

La loi américaine de 1996 sur la portabilité et la responsabilisation de l'assurance maladie (Health Insurance Portability and Accountability Act of 1996, HIPAA) est l'une des lois les plus connues en matière de protection des données. Elle définit les normes nationales relatives à la confidentialité, à la sécurité et aux violations des informations médicales. Les règles HIPAA peuvent faire référence à des informations personnelles (PII) et à des informations de santé protégées (PHI).

Les PHI sont un sous-ensemble des PII et sont limitées aux informations de santé partagées avec les entités couvertes par la loi HIPAA.  Pour être classées comme PHI, les informations doivent inclure l'un des 18 identifiants, comme un nom ou un numéro de téléphone. Si tous les identifiants sont supprimés d'un dossier PHI, le dossier n'est plus considéré comme relevant des informations de santé protégées. Cela permet de dépersonnaliser les données médicales et de les partager avec d'autres parties à des fins de recherche. Cependant, les règles PHI ne s'appliquent qu'aux entités couvertes par la loi HIPAA, c'est pourquoi les écoles ne sont pas soumises aux règles HIPAA, même si elles conservent des données de type PHI.

Informations personnelles non publiques (NPI)

La loi de 1999 sur la modernisation des services financiers, également connue sous le nom de loi Gramm-Leach-Bliley (GLBA), a modifié la manière dont les institutions financières font des affaires entre elles et avec les consommateurs. La GLBA a été l'une des premières lois américaines à normaliser les pratiques de protection des données dans les institutions financières. Elle oblige ces institutions à divulguer leurs pratiques en matière de protection de la vie privée et à respecter des règles strictes lorsqu'elles communiquent des informations à des tiers.

Le règlement de confidentialité GLBA protège les informations personnelles non publiques (NPI) et est appliqué par la Federal Trade Commission (FTC) américaine. Les NPI désignent toute information financière personnellement identifiable collectée par une institution financière « dans le cadre de la fourniture d'un produit ou d'un service financier ». Le nom, l’adresse, l’historique des achats et les rapports de crédit sont tous considérés comme des NPI dans des cas précis. Si les informations sont accessibles au public, elles ne peuvent pas être considérées comme des NPI, même si elles le devraient autrement. La FTC prend comme exemple, un numéro de téléphone privé vs un numéro connu du public. Un numéro de téléphone privé peut créer un dossier NPI, et le fait d'avoir un seul dossier NPI dans une liste d'informations non-NPI caractérise l'ensemble de la liste comme une NPI. Les NPI sont un autre sous-ensemble des PII.

Les données des titulaires de carte et de l'industrie des cartes de paiement (PCI) 

Le conseil des normes de sécurité de l'industrie des cartes de paiement (Payment Card Industry Security Standards Council, PCI SSC) a été créé en 2006 pour gérer les normes de sécurité des cartes de paiement. Le conseil gère et administre la norme de sécurité des données de l'industrie des cartes de paiement (Payment Card Industry Data Security Standard, PCI DSS).  Il existe douze exigences que les entreprises doivent respecter pour être considérées comme conformes à la norme PCI. La plupart d'entre elles sont des mesures de sécurité informatique standard : sécurité des mots de passe, firewalls appropriés, protection antivirus mise à jour, etc. L'obligation de protéger les données des titulaires de cartes impose que les données des cartes soient chiffrées et que les commerçants scannent régulièrement les numéros de compte principaux (Primary Account Number, PAN) figurant sur les cartes pour s'assurer qu'aucune donnée n'est déchiffrée.

Le PCI SSC définit les données du titulaire de la carte comme le numéro de compte primaire complet, ainsi que le nom du titulaire de la carte, la date d'expiration ou le code de service. Si l'un de ces trois éléments est présent dans le PAN, il s'agit de données relatives au titulaire de la carte. Les données d'authentification sensibles sont toutes les informations liées à la sécurité qui sont utilisées pour authentifier un titulaire de carte ou une transaction. Il peut s'agir d'informations provenant d'une bande magnétique ou d'une puce, et elles ne sont généralement pas stockées par un commerçant, mais capturées lors des opérations de transit si elles sont exposées. Les termes « violation de données PCI » et « violation de la conformité PCI » font généralement référence à une violation des données des titulaires de cartes.

Autres termes

Les signalements d'une violation de données font souvent référence à des informations sensibles ou des données privées au lieu d'utiliser une classification appropriée. Les entreprises ne divulguent souvent aucun détail d'une violation de données tant que les notifications individuelles de la violation ne sont pas en cours, ce qui signifie que le public peut uniquement décrire une violation de données en utilisant des termes communs dont l'explication est largement partagée. Des expressions telles que « dossiers protégés » et « informations personnelles » sous-entendent que des informations privées et potentiellement dommageables ont été révélées. Le public ne peut pas savoir ce qui a été volé à moins que ces informations soient précisément décrites ou qu'une classification n'ait été fournie.

En fonction de votre emplacement, ces termes courants peuvent avoir une définition juridique qui s'applique à vous ou à votre entreprise. Par exemple, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) donne aux consommateurs le droit de limiter les données sensibles, qui comprennent « les informations relatives à l'origine raciale ou ethnique, aux croyances religieuses ou philosophiques, ou à l'appartenance à un syndicat ». Ces informations sont réglementées en tant que données personnelles sensibles en vertu du règlement général sur la protection des données (RGPD). Le RGPD fait également des données personnelles sensibles un sous-ensemble de données personnelles, qui est également défini de manière spécifique dans le règlement.

Il existe de nombreuses autres classifications de données et elles sont toutes soumises à la réglementation en vigueur. Nous ne pouvons pas toutes les couvrir, mais nous continuerons à explorer des sujets concernant la réglementation et l'exposition des données. N'oubliez pas que vous devez consulter un avocat ou un expert en conformité si vous avez des questions sur vos propres droits et responsabilités, car aucun de ces conseils n'est juridique. Il pourrait également être intéressant pour vous de procéder à un audit de sécurité informatique afin de vous assurer que vous répondez à toutes les exigences techniques requises par votre environnement réglementaire.