.png)
Informations personnelles identifiables (IPI)
Les informations personnelles identifiables (IPI) sont des informations ou des données sensibles destinées à identifier une personne. Parfois, un seul élément d'IIP permet d'identifier une personne spécifique, tandis que dans d'autres cas, d'autres détails d'IIP pertinents sont nécessaires pour aboutir à une correspondance précise avec une personne.
Les mauvais acteurs profitent de la nécessité croissante de présenter ces informations personnelles. Les pirates informatiques peuvent s'emparer d'un fichier contenant des milliers d'informations confidentielles et utiliser ces données personnelles pour semer le chaos dans la vie des personnes concernées. Ils peuvent souvent distinguer ou retracer l'identité d'une personne spécifique à l'aide d'un ou plusieurs identifiants directs.
Lorsqu'elles sont utilisées de manière appropriée et conformément au United States General Services Administration (GSA) Privacy Act et aux Rules of Behavior for Handling Personally Identifiable Information (PII), ces informations vitales servent d'identifiants abrégés pour les établissements de soins de santé, les agences nationales des véhicules à moteur et les compagnies d'assurance.
Qu'entend-on par "informations personnellement identifiables" ?
Les informations personnelles identifiables (IPI) sont tout ce qui peut contenir des identifiants directs, qui permettent de déterminer avec précision l'identité d'une personne, comme les données nécessaires à l'obtention d'un permis de conduire ou d'un passeport. Les informations figurant sur ces cartes d'identité, livres ou autres documents peuvent inclure l'adresse du domicile et le numéro de sécurité sociale ou de permis de conduire.
Les quasi-identifiants, tels que les informations relatives à l'héritage racial, peuvent être combinés et utilisés avec d'autres quasi-identifiants, y compris la date de naissance, pour identifier une personne avec succès.
Voici les principaux types d'IPI que les entreprises utilisent pour identifier les personnes :
- Nom complet
- Adresse postale
- Numéro de téléphone
- Adresse électronique
- Dossiers médicaux
- Informations financières, telles que les numéros de cartes de crédit, les comptes bancaires ou les informations sur les rapports de solvabilité.
- Informations sur le passeport, telles que les lieux et les dates de voyage
- Numéros de compte et mots de passe Internet
- Informations biométriques
Les IPI non sensibles et indirectes comprennent les informations quasi-identifiantes susmentionnées, qui relèvent souvent du domaine public ou qui sont collectées de manière si anonyme qu'elles ne peuvent pas être facilement associées à une personne en tant que telle.
Voici quelques exemples de DPI non sensibles :
- Code postal
- Course
- Sexe
- Date de naissance
- Lieu de naissance
- Religion
Si chacun de ces quasi-identifiants peut servir d'outil d'identification d'une personne en conjonction avec des identifiants directs, ils n'ont que peu de valeur en soi pour les acteurs malveillants. De nombreuses IPI non sensibles font partie d'un permis de conduire, d'un passeport ou d'un relevé de facturation. Toutefois, en l'absence d'identifiant direct, les meilleurs hackers se retrouvent souvent dans une impasse lorsqu'ils tentent de les utiliser à des fins frauduleuses.
Qui collecte officiellement les informations personnellement identifiables disponibles ?
Presque toutes les entreprises collectent, stockent, transmettent et traitent aujourd'hui des IIP dans une certaine mesure. Toutefois, certaines organisations détiennent des informations plus sensibles que d'autres, telles que les organisations de soins de santé et un département ou un bureau des véhicules à moteur.
Le big data est ainsi devenu une force majeure dans le monde des affaires d'aujourd'hui, offrant aux entreprises des informations sur les habitudes d'achat des clients, leurs comportements de navigation, leur localisation géographique, et bien plus encore. Cela signifie que les données sont devenues une composante de l'entreprise moderne et que les consommateurs fournissent de plus en plus d'informations personnelles.
Certains mauvais acteurs non officiels veulent avoir accès à des informations personnellement identifiables
Le problème avec le partage d'informations aussi vitales est que les violations de données sont en constante augmentation. Les cyberattaquants reconnaissent la valeur de ces informations, qui servent de raccourci pour connaître l'histoire de la vie d'une personne, y compris ses informations financières.
Si les pirates ne peuvent pas voler directement la victime d'une violation de données, ils peuvent compromettre sa réputation personnelle en essayant d'utiliser son numéro de sécurité sociale pour ouvrir des comptes de carte de crédit et bien d'autres choses encore.
Pourquoi les informations personnelles identifiables sont-elles précieuses pour les pirates et les fraudeurs ?
Les cyber-attaquants ne cessent de chercher des moyens d'extraire tous les bénéfices mal acquis d'une violation de données. Les IIP sont riches en détails et permettent d'identifier et de terroriser rapidement et facilement les personnes qui devaient faire confiance à un hôpital, à une banque ou au fisc.
Comment les voleurs accèdent-ils aux informations personnellement identifiables ?
Le vol de données et les violations de données à grande échelle sont devenus si courants que les individus n'y prêtent guère attention, à moins qu'ils ne soient directement concernés.
Il existe des risques plus proches de nous que chacun doit prendre en considération. Le fait est que le danger guette tout le monde, puisque nous partageons tous quotidiennement des IPI et qu'une fois qu'elles sont entre les mains d'un tiers, on a l'impression d'attendre que l'autre chaussure tombe.
Voici quelques moyens utilisés par les voleurs pour connaître les personnes à travers leurs IPI, qu'elles le veuillent ou non :
- Vol de boîtes aux lettres. Grâce aux services bancaires en ligne et au paiement des factures, de nombreuses personnes laissent leur courrier dans la boîte aux lettres pendant plusieurs jours. Chaque courrier est riche en données, qu'il s'agisse d'une notification du Bureau des véhicules à moteur, de factures médicales ou de relevés de cartes de crédit.
- Plongée dans les poubelles. La poubelle ou la benne à ordures est l'étape suivante après la boîte aux lettres. Si un criminel ne veut pas prendre le risque d'entrer sous le porche d'une personne, la benne à ordures est un choix plus sûr. Ils peuvent trouver toutes les mêmes informations dans des courriers jetés au rebut sans que cela n'attire autant l'attention.
Parmi les autres moyens utilisés par les criminels pour accéder aux IPI, citons les accès sans fil non sécurisés, les incidents liés aux objets trouvés, le phishing, les escroqueries par faux-semblant, les médias sociaux et les manœuvres d'ingénierie sociale.
Il ne s'agit là que de quelques moyens alternatifs permettant aux voleurs d'accéder à l'identité d'une personne. Pourtant, elles sont tout aussi dangereuses pour les individus que les violations de données lancées pour voler des informations personnelles ou d'identification.
Comment le GDPR aborde-t-il les IIP ?
Le règlement général sur la protection des données GDPR est entré en vigueur en mai 2019 avec pour objectif principal de protéger la vie privée des consommateurs de l'Union européenne (UE) et de sauvegarder les données. Le GDPR exige des entreprises de l'UE et du monde entier qu'elles se conforment à ses nombreuses exigences pour sécuriser leurs données, leurs employés, leurs clients et leurs fournisseurs tiers.
Les informations que les entreprises doivent sécuriser comprennent les IPI, et elles ont toutes l'obligation légale de les conserver en toute sécurité.
Le Parlement européen a conçu le GDPR pour protéger les consommateurs de l'UE, avant tout, en leur donnant essentiellement la liberté de contrôler leurs IPI. Voici quelques moyens pour les consommateurs de l'UE de contrôler leurs informations personnelles dans le cadre de leurs activités commerciales :
- Demander aux entreprises de supprimer les IPI
- Demande de correction d'erreurs factuelles
- Demander l'accès aux données personnelles stockées
- Demander l'exportation de données à caractère personnel pour les examiner et les utiliser s'ils le souhaitent.
Quels sont les meilleurs moyens pour les entreprises de protéger les informations confidentielles ?
Toutes les entreprises peuvent prendre des mesures particulières pour protéger les informations confidentielles de leurs clients, dans l'intérêt de tous. Voici quelques-uns des meilleurs moyens de mettre ces informations vitales à l'abri des criminels, en ligne et partout ailleurs :
- Crypter les données lorsqu'elles sont partagées ou stockées électroniquement
- Mettez en œuvre des politiques de mots de passe forts pour les smartphones, les tablettes et les ordinateurs portables.
- Encouragez les employés à utiliser des mots de passe différents pour chaque site web, application et compte.
- Créez des protocoles de sécurité supplémentaires, tels que des questions de sécurité sur le site web.
- Apportez un soin particulier aux ordinateurs et autres appareils hors d'usage, en retirant et en détruisant les disques durs avant de les mettre au rebut ou de les donner. La dernière étape consiste à restaurer les paramètres d'origine de l'appareil pour s'assurer qu'il est clair avant de le jeter.
- Utilisez une déchiqueteuse pour éliminer correctement les copies papier des documents. Déchiquetez soigneusement chaque document pour vous assurer qu'aucune IPI n'est visible.
- Rappelez aux employés et à la direction de ne pas laisser de documents riches en informations confidentielles à la photocopieuse ou à tout autre endroit où ils pourraient s'arrêter pendant qu'ils travaillent sur un dossier.
Plus les entreprises seront vigilantes à l'égard des IPI, plus elles auront de chances de les protéger contre les violations de données et toute autre menace.
.webp)
.webp)
