logo

Quelles sont les données sensibles ?

Avec l’avènement de la transformation numérique, dopée par la montée en puissance du télétravail pendant la pandémie, les entreprises stockent désormais la plupart de leurs données sous forme électronique. Si la dématérialisation du stockage de données se révèle incroyablement pratique et favorise une collaboration et une efficacité accrues, elle ouvre aussi la voie à une hausse sans précédent des cyberattaques et des violations de données.

Ces dernières années, les différents pays, États et secteurs ont adopté des réglementations de protection des données toujours plus strictes qui régissent le traitement des données sensibles en entreprise.

Repérer les données sensibles

On utilise souvent de manière interchangeable les termes « données sensibles », « données personnelles » et « données confidentielles ». Dans la langue courante, les données sensibles comprennent toute information que vous ne souhaitez pas rendre publique. Toutefois, dans le cadre d’obligations légales, la définition est plus précise.

Les données sensibles, parce que leur révélation pourrait avoir des répercussions, forment une classe spécifique qui requiert une protection particulière. Entre de mauvaises mains, elles causeraient fort probablement des dommages financiers, personnels ou réputationnels. Pour les organisations, il est crucial de bien comprendre ce que sont les données sensibles afin de garantir la protection adéquate des informations confidentielles et personnelles contre les accès non autorisés.

Données personnelles ou sensibles

Les informations personnelles correspondent à tout renseignement permettant d’identifier une personne. Noms, adresses ou numéros de téléphone en font partie. Parfois, votre email peut s’avérer être une donnée personnelle, par exemple s’il suit le format VotreNom@VotreEmployeur.com. Les données personnelles comprennent aussi des renseignements permettant de confirmer votre présence quelque part, par exemple vos empreintes digitales ou des images de surveillance.

Les informations sensibles sont un sous-ensemble de données personnelles qui pourraient servir à causer du tort à quelqu’un. Si votre nom est une donnée personnelle, votre numéro de sécurité sociale est sensible, car un malfaiteur pourrait l’utiliser pour se faire passer pour vous. Toutes les données personnelles ne sont pas sensibles.

Sélection de contenus associés (en anglais) :

Types de données sensibles

En règle générale, les données sensibles ne sont pas publiques et appartiennent à une catégorie à fort enjeu, notamment les suivantes :

Données financières

Les renseignements sur l’état financier d’une personne ou d’une entité sont considérés comme des données sensibles. Ils comprennent :

  • les coordonnées bancaires
  • les informations de carte bancaire
  • les antécédents de crédit
  • les déclarations fiscales

Les entreprises qui acceptent, traitent, transmettent ou stockent des informations de cartes bancaires doivent respecter la norme de sécurité des cartes de paiement Payment Card Industry Data Security Standard (PCI DSS). Cette norme impose des pratiques strictes de gestion de la sécurité afin de protéger les données des titulaires de cartes.

Données personnelles

Les données personnelles, dites aussi données à caractère personnel ou informations d’identification personnelle (PII), constituent toute information permettant d’identifier précisément un individu. Les réglementations comme le règlement général sur la protection des données (RGPD) et la loi californienne de protection des consommateurs (CCPA) protègent les données personnelles. Si les deux ont le même but, leurs définitions des données personnelles diffèrent quelque peu.

  • Dans le RGPD, les « données personnelles » désignent toutes les informations relatives à une « personne physique identifiée ou identifiable » (« personne concernée »). Elles peuvent être identifiantes directement – comme un nom, un numéro d’identification, des informations de géolocalisation ou un identifiant en ligne – ou indirectement – comme les caractéristiques physiques, des informations médicales, ou des traits culturels ou sociaux.
  • La loi californienne CCPA propose une définition beaucoup plus large. Elle y inclut toute information qui identifie un consommateur ou un foyer donné, y a trait, le décrit, y fait référence, est susceptible d’y être associée ou pourrait raisonnablement l’être directement ou indirectement.

Le RGPD s’applique aux entreprises traitant des données personnelles de citoyens de l’UE, et la CCPA à celles gérant des données de résidents de l’État de Californie. Les deux textes imposent aux organisations des mesures rigoureuses de protection des données pour prévenir les accès non autorisés ou les violations.

Informations médicales protégées (PHI)

Dans le cadre de la loi américaine sur la transférabilité et la responsabilité en matière d’assurance maladie (HIPAA), les « protected health information (PHI) » comprennent tout renseignement que l’on peut relier à un individu sur son état de santé, ses prestations de soins de santé ou le paiement de ces soins. Sont concernés tout un ensemble d’identifiants personnels ainsi que des informations sur l’état de santé physique ou mentale passé, présent ou futur.

Les prestataires et professionnels de la santé, les compagnies d’assurance, les concentrateurs et leurs entités commerciales doivent suivre les directives de HIPAA lorsqu’ils traitent les données des patients. La loi HIPAA régit strictement l’utilisation et la divulgation des données PHI.

Sélection de contenus associés (en anglais) :

Données sensibles exposées au risque

Les données sensibles se trouvent sous forme structurée et non structurée dans différents systèmes de stockage et applications. Le déplacement des données est relativement limité dans les dépôts de données structurées, comme la base de données d’un serveur SQL, ce qui vous donne un meilleur contrôle de la transmission et de la sécurisation. Par ailleurs, les fichiers stockés dans les référentiels non structurés, comme les partages de fichiers ou les sites SharePoint, sont plus librement déplacés, ce qui complique leur localisation précise. Les données cachées sont plus difficiles à maîtriser et à sécuriser.

Même si le RGPD est la législation de protection des données personnelles la plus souvent évoquée, plus de 70 % des pays ont mis en œuvre de telles obligations de confidentialité. La plupart de ces réglementations partagent l’objectif de protéger les informations personnelles sensibles, mais varient dans leurs dispositions précises. Ce patchwork réglementaire oblige les entreprises à prendre le contrôle des données sensibles en leur possession. Il leur faut donc savoir où se trouvent ces données sensibles et quelles mesures de réduction du risque d’exposition ont été mises en œuvre.

Les entreprises qui échouent à sécuriser ces informations peuvent subir de graves conséquences. Dans le cadre du RGPD, un défaut flagrant de conformité peut entraîner des sanctions jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. À ce jour, Meta, la maison mère de Facebook, détient le record de la plus grosse amende : 1,2 milliard d’euros pour des manquements à la protection des données de citoyens de l’UE transmises aux États-Unis.

Sécuriser les données sensibles

Pour éviter les amendes de non-conformité, vous devez localiser et protéger vos données sensibles où qu’elles se trouvent. L’inventaire et la classification des données aident à repérer et à classer les données en fonction de leur sensibilité et de leur importance. Vous devrez ensuite tenir à jour cet inventaire complet de vos actifs informationnels, notamment leur emplacement, les autorisations d’accès qui y sont octroyées et leur utilisation.

Si la première étape de la conformité est de savoir où les données sont stockées, vous aurez aussi à vous assurer d’avoir les bons contrôles en place pour empêcher tout accès sans autorisation. Les entreprises doivent aussi se rendre compte de la quantité d’informations qu’elles collectent et se limiter au strict nécessaire, et dépouiller en outre les données du superflu pour limiter toute accumulation. Ce qui n’est pas collecté n’a pas besoin d’être protégé.

Sélection de contenus associés (en anglais) :

L’avantage Netwrix

Netwrix fournit une plateforme puissante qui vous aide à régir les accès à tous vos systèmes, applications et données sensibles. Ses plus de 40 modules intégrés de collecte de données identifient les données dans les systèmes aussi bien cloud que sur site : vous restez maître de vos actifs d’information où qu’ils se trouvent. Vous n’avez pas à vous inquiéter d’omettre des données sensibles dans des formats non structurés.

Netwrix Access Analyzer participe à réduire le risque de violation de données et à réussir vos audits de conformité. Vous pouvez repérer en amont les failles de votre posture de sécurité comme les autorisations excessives ou les comptes désactivés que des attaquants pourraient exploiter. Access Analyzer traitera automatiquement les menaces par la suppression des comptes inactifs et le retrait des permissions en surnombre.

En suivant le principe de moindre privilège, vous pouvez surveiller qui accède à vos données et à quelles fins. Révoquez rapidement les privilèges inutiles pour consolider la sécurité de vos données. Contactez-nous aujourd’hui pour demander un essai gratuit.

FAQ

Quelles sont les données considérées comme sensibles ?

Les données sensibles comprennent des informations variées que leur potentiel de mésusage oblige à surprotéger. Cette catégorie inclut les dossiers médicaux ou les informations financières – coordonnées bancaires, numéros de cartes bancaires, numéros de sécurité sociale, etc. On y trouve aussi les données biométriques, comme les empreintes digitales et la reconnaissance faciale, les numéros d’identification personnels issus des permis de conduire et passeports, et des informations commerciales confidentielles. Les données sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, la vie sexuelle ou l’orientation sexuelle sont aussi considérées comme sensibles. La protection de ces données est essentielle pour éviter les utilisations abusives, l’usurpation d’identité et la discrimination.

Quelles sont les données considérées comme non sensibles ?

Les données non sensibles comprennent les informations publiques comme les noms sans autres détails identifiants, les intitulés de poste génériques, les coordonnées professionnelles et les données anonymisées, dont les identifiants personnels ont été supprimés. Ce type d’informations n’expose qu’à un risque minime en cas de divulgation et n’exige généralement aucune mesure de protection spéciale.

Quelles sont les informations considérées comme sensibles ?

Les données sensibles se caractérisent par le préjudice important que leur exposition pourrait causer comme le vol d’identité, des pertes financières ou des discriminations. Elles comprennent généralement les données à caractère personnel qui peuvent identifier quelqu’un directement ou indirectement. Elles concernent souvent la santé, l’état financier, les identificateurs biométriques ou des opérations commerciales confidentielles. Elles doivent être sécurisées pour en protéger la confidentialité et pour respecter les réglementations de protection des données. Elles doivent aussi faire l’objet d’un consentement explicite à leur collecte et à leur traitement de par leur nature intrinsèquement personnelle.

Quels sont les trois types de données sensibles ?

Les données sensibles sont de trois grands types : les informations d’identification personnelle (PII), qui peuvent identifier quelqu’un comme les noms et les numéros de sécurité sociale ; les données de santé et informations médicales protégées (PHI), dont les dossiers médicaux ; et les données financières, notamment les coordonnées bancaires, les numéros de cartes de crédit et les opérations financières.

 

Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data governance Data security Insider threat IT security Office 365 PowerShell Risk assessment SharePoint Windows Server
...