Qu’est-ce que PII et PHI ?

Les informations personnellement identifiables (PII) sont toutes les données qui pourraient potentiellement identifier une personne spécifique. Cela inclut des informations telles que le prénom et le nom, l’adresse, le numéro de sécurité sociale, le numéro de permis de conduire, la date de naissance, le numéro de téléphone, l’adresse e-mail, les coordonnées bancaires, les numéros et scores de crédit, et les informations de passeport.

Le PHI, ou informations médicales protégées, est un sous-ensemble de PII qui concerne spécifiquement l’historique et/ou l’état de santé d’une personne. Cela inclut des choses comme les dossiers médicaux et les demandes d’assurance.

Voici un examen des PII et PHI ainsi qu’un aperçu des lois et réglementations sur la confidentialité des données existant aux États-Unis et dans d’autres pays sélectionnés.

Lois sur la confidentialité des données pour protéger les PII

Il existe de nombreuses lois sur la confidentialité des données visant à protéger les PII d’une personne. Plus de 80 pays ont actuellement une forme de loi sur la confidentialité des données liée aux PII et/ou PHI. Les types de PII comprennent les éléments suivants :

  • Nom
  • Adresse
  • E-mail
  • Numéro de téléphone
  • Date de naissance
  • Numéro de passeport, de permis de conduire ou autre identifiant délivré par le gouvernement
  • Numéro de sécurité sociale ou identifiant gouvernemental équivalent
  • Empreintes digitales ou autres données biométriques
  • Numéro de carte de crédit ou de débit

Réglementations de conformité à la vie privée des PII aux États-Unis

Aux États-Unis, aucune loi ou réglementation unique ne régit les PII. Il existe un ensemble de lois fédérales et étatiques, des réglementations de conformité spécifiques à certains secteurs, et d’autres lois et normes qui régissent la collecte, l’utilisation, le traitement et la divulgation des PII.

La loi Gramm-Leach-Bliley et les PII

La loi Gramm-Leach-Bliley (GLBA) est une loi fédérale qui réglemente la manière dont les PII peuvent être collectées, utilisées et partagées. La GLBA a été promulguée en réponse à la préoccupation croissante concernant la menace pour la vie privée des consommateurs due à l’utilisation accrue des médias électroniques et des données.

La GLBA se compose de trois sections : 1) la règle sur la confidentialité financière qui régit la collecte et la divulgation des informations financières, 2) la règle sur les mesures de sécurité qui oblige les institutions financières à mettre en place des protocoles de sécurité pour protéger les informations collectées, et 3) les dispositions sur la dissimulation qui couvrent les tentatives de dissimulation pour accéder à des informations sensibles.

La GLBA oblige les institutions financières à fournir aux clients un avis annuel sur les politiques de confidentialité. Elle donne également aux clients le droit de refuser le partage de leurs PII avec des tiers.

Le California Consumer Privacy Act et les PII

Le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Il accorde aux consommateurs de nouveaux droits pour savoir quelles informations personnelles sont collectées à leur sujet, le droit de faire supprimer ces informations et le droit de refuser la vente de leurs informations personnelles.

Le CCPA impose également de nouvelles obligations aux entreprises soumises à la loi, notamment l’obligation de divulguer les catégories d’informations personnelles qu’elles collectent et de fournir un moyen aux consommateurs de demander la suppression de leurs données. Le CCPA a été promulgué pour faire face à l’augmentation des incidents de violations de données dans les secteurs de la technologie, des médias, du divertissement et des télécommunications.

La Fair Credit Reporting Act et les PII

La Fair Credit Reporting Act (FCRA) aide à garantir que les agences d’évaluation du crédit utilisent des informations précises et équitables lorsqu’elles prennent des décisions sur la solvabilité d’une personne. C’est important car des informations inexactes pourraient entraîner un refus injuste de crédit ou d’autres opportunités. Elle définit également comment ces informations sont utilisées, partagées et consultées pour limiter les pratiques illégales.

La Consumer Data Protection Act en Virginie et les PII

Le 2 mars 2021, la Virginie a adopté l’équivalent du CCPA sous la forme de la Consumer Data Protection Act (CDPA). Elle établit un cadre de contrôle et de traitement des PII dans le Commonwealth et s’applique à toutes les personnes qui exercent des activités dans le Commonwealth et qui contrôlent ou traitent les PII d’au moins 100 000 consommateurs ou qui tirent plus de 50 % de leurs revenus bruts de la vente de données personnelles et qui contrôlent ou traitent les PII d’au moins 25 000 consommateurs.

Le projet de loi accorde aux consommateurs des droits d’accès, de rectification, de suppression et d’obtention d’une copie des PII, ainsi que le droit de s’opposer au traitement des PII à des fins de publicité ciblée, de vente de PII ou de profilage du consommateur. La CDPA entrera en vigueur le 1er janvier 2023.

Réglementations de conformité à la vie privée des PII en EMEA, au Canada et en APJ 

La loi sur la protection générale des données (GDPR) dans l’Union européenne est la loi sur la confidentialité des données la plus connue. Mais d’autres réglementations de conformité liées à la confidentialité des données existent dans d’autres endroits, comme la loi canadienne sur la protection des renseignements personnels et les documents électroniques (PIPEDA) et la loi britannique sur la protection des données de 2018 (DPA 2018).

GDPR et PII

Le GDPR est un règlement de l’Union européenne (UE) qui est entré en vigueur le 25 mai 2018. Il renforce les règles de protection des données de l’UE en donnant aux individus plus de contrôle sur leurs données personnelles, y compris le droit de faire effacer leurs données et le droit de s’opposer à leur utilisation. En vertu du GDPR, les organisations doivent prendre des mesures pour protéger les données utilisateur contre tout accès, destruction, altération ou utilisation non autorisés.

Il établit des règles strictes concernant la collecte, l’utilisation et la protection des données personnelles par les organisations opérant dans l’UE. Le RGPD a complètement changé la manière dont les entreprises doivent gérer les données personnelles.

Ce règlement s’applique à toute entreprise qui traite ou a l’intention de traiter les données de personnes résidant dans l’UE, que cette entreprise soit basée en Europe ou non.

PIPEDA et PII

Depuis son entrée en vigueur en 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) réglemente la manière dont les organisations collectent, utilisent et divulguent les informations personnelles des Canadiens. PIPEDA s’applique à toute organisation qui collecte, utilise ou divulgue des informations personnelles dans le cadre d’activités commerciales, ce qui concerne pratiquement toutes les entreprises opérant au Canada.

En 2018, PIPEDA a été mise à jour pour mieux protéger les informations personnelles des Canadiens.

Bien que PIPEDA s’applique à toutes les organisations ayant une présence commerciale au Canada, elle ne s’applique pas à certains types d’entreprises, telles que celles réglementées par les lois provinciales ou territoriales régissant les informations de santé.

DPA 2018 et PII

La loi sur la protection des données de 2018 du Royaume-Uni (DPA 2018) établit des règles pour la collecte, le traitement et le stockage des données personnelles par les organisations. La loi s’applique à toute organisation qui traite ou a l’intention de traiter les données de résidents du Royaume-Uni, que l’organisation soit basée au Royaume-Uni ou non.

Évaluation de l’impact des violations de PII

Les données PII continuent d’être très attrayantes pour les acteurs malveillants car elles peuvent être utilisées pour le vol d’identité et la fraude. Des centaines de millions de personnes sont touchées par des violations de PII chaque année. Les entreprises subissent des pertes de revenus, des dommages à leur réputation et des pénalités réglementaires lorsqu’elles sont victimes d’une attaque.

Qu’est-ce que le PHI

Pour que les données de santé soient considérées comme des informations médicales protégées (PHI) et réglementées par la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), elles doivent être 1) personnellement identifiables pour le patient et 2) utilisées ou divulguées à une entité couverte au cours des soins. Ainsi, bien que le PHI soit similaire au PII et en soit un sous-ensemble, il n’est pas exactement le même.

Normes HIPAA pour la protection du PHI

En ce qui concerne le PHI, l’HIPAA a été adoptée et promulguée en 1996 dans le but d’établir des normes strictes pour la protection du PHI. La conformité HIPAA détaille 18 identifiants d’information différents pour le PHI qui peuvent être utilisés pour identifier, contacter ou localiser la personne. Ils sont :

  • Nom
  • Adresse (tout ce qui est plus petit qu’un État)
  • Dates (à l’exception des années) liées aux individus, telles que la date de naissance, la date d’admission, etc.
  • Numéro de téléphone
  • Numéro de fax
  • Adresse électronique
  • Numéro de sécurité sociale
  • Numéro de dossier médical
  • Numéro de bénéficiaire de régime de santé
  • Numéro de compte
  • Numéro de certificat ou de licence
  • Identifiants de véhicules, tels que les numéros de plaque d’immatriculation et les numéros de série
  • Identifiants d’appareils
  • URL Web
  • Adresses de protocole Internet (IP)
  • Identifiants biométriques tels que les empreintes digitales ou les empreintes vocales
  • Photographies de face complète et autres photos de caractéristiques d’identification
  • Tout autre caractéristique qualifiante unique

La divulgation non autorisée de PHI est une violation grave de l’HIPAA, c’est pourquoi il est important pour les entités couvertes (CE) de prendre des mesures pour sécuriser les données sensibles des patients.

Toutes les entreprises qui traitent du PHI doivent suivre l’HIPAA. Cela inclut le maintien de la confidentialité des données des patients et la garantie que seules les personnes autorisées peuvent y accéder. Les entités couvertes doivent avoir des mesures de sécurité en place pour protéger le PHI. Les entités couvertes comprennent :

  • Cabinets de médecins, cabinets dentaires, cliniques, psychologues
  • Maisons de retraite, pharmacies, hôpitaux ou agences de santé à domicile
  • Plans de santé, compagnies d’assurance et organisations de maintenance de la santé (HMO)
  • Programmes gouvernementaux qui paient pour les soins de santé
  • Centres de traitement des données de santé

Les mesures de sécurité que ces organisations doivent avoir en place pour protéger les informations des patients incluent le chiffrement, la sécurité physique et les systèmes de contrôle d’accès.

HITECH pour la protection du PHI

En 2009, la loi sur la technologie de l’information de santé pour la santé économique et clinique (HITECH) a été promulguée dans le cadre de la loi américaine de relance et de réinvestissement. L’objectif principal de HITECH était de stimuler l’adoption de la technologie de l’information de santé (health IT) et de l’échange afin d’améliorer la qualité et l’efficacité des soins de santé.

Une façon dont cela se fait est en établissant des exigences en matière de confidentialité et de sécurité des informations de santé électroniques. Ces exigences sont conçues pour protéger les informations médicales identifiables (PHI) des patients contre tout accès, utilisation ou divulgation non autorisés.

Relation entre HIPAA et HITECH

Bien que la règle de confidentialité de la HIPAA ne s’applique qu’aux “entités couvertes” (régimes de santé, centres de traitement des données de santé et fournisseurs de soins de santé qui transmettent des informations de santé sous forme électronique) et à leurs partenaires commerciaux, la loi HITECH exige que le ministère de la Santé et des Services sociaux adopte de nouveaux ensembles de réglementations.

L’une des conséquences est la règle de notification des violations, qui oblige les entités couvertes et leurs partenaires commerciaux à informer les personnes concernées et le secrétaire du HHS en cas de violation impliquant des informations de santé protégées électroniquement (ePHI). La notification doit être effectuée sans délai et au plus tard 60 jours après la découverte de la violation. Tant la HITECH que la HIPAA exigent également que les informations médicales protégées (PHI) soient chiffrées en transit ainsi que lorsqu’elles sont stockées sur des appareils et d’autres supports.

Évaluation de l’impact des informations médicales et des informations personnelles divulguées 

L’industrie de la santé reste l’industrie la plus touchée par les violations de données depuis 12 ans consécutifs. L’impact financier, de réputation et réglementaire d’une violation de données se chiffre en millions de dollars et peut avoir des effets durables sur l’organisation qui a été victime de la violation, sans parler des personnes dont les informations médicales ont été divulguées.

Les violations d’informations personnelles identifiables (PII) et d’informations médicales (PHI) sont une préoccupation majeure pour les organisations. L’impact d’une seule violation peut se chiffrer en millions de dollars. Pour 2022, IBM et le Ponemon Institute, dans leur dernier “Rapport sur le coût d’une violation de données”, ont constaté que le coût moyen d’une violation de données est de 4,35 millions de dollars. Cela n’inclut pas l’impact négatif sur une marque lorsque la violation de données est divulguée au public.

La menace que représentent les cybercriminels et les États voyous pour les établissements de santé et autres institutions est importante, et les décideurs politiques et l’industrie de la santé continuent de faire évoluer les normes de conformité réglementaire dans le but de renforcer les protocoles et les capacités de sécurité pour les protéger contre les attaques malveillantes. Et en ce qui concerne les informations médicales, cela est certainement vrai. Les dossiers PHI sont souvent les plus recherchés sur le dark web.

Les organisations qui cherchent à gérer leur risque cybernétique en ce qui concerne les PII et les PHI peuvent mettre en œuvre différents principes de cybersécurité pour aider à atténuer les risques. Ceux-ci doivent être inclus dans la stratégie de gestion des risques cybernétiques d’une organisation.

Évaluez les PII et les PHI que votre entreprise collecte et stocke

Si vous possédez ou exploitez une entreprise, il est important de comprendre ce que sont les PII et les PHI et comment les protéger. Cela nécessite une approche complète de la classification des données. Si votre entreprise collecte et stocke des PII et des PHI, le risque de violation de données est énorme si vous n’avez pas les bonnes mesures de sécurité et de gouvernance en place.

Pour évaluer les PII et les PHI que votre entreprise collecte et stocke, examinez le type d’informations que vous collectez auprès des clients, des partenaires, des employés et d’autres personnes. Voir ci-dessus pour une liste de PII et de PHI.

Mettez en place des mesures de sécurité solides pour protéger les PII et les PHI

Voici quelques mesures pratiques que vous pouvez prendre pour protéger les PII et les PHI et réduire les chances d’une violation :

  • Adoptez une approche de défense en profondeur
  • Utilisez le chiffrement pour toutes les données en mouvement et au repos
  • Sécurisez les PII et les PHI sans gêner les utilisateurs
  • Définissez des autorisations basées sur les rôles pour les utilisateurs internes et externes (tiers)
  • Appliquez des contrôles de politique granulaires pour protéger la confidentialité des données
  • Appliquez des politiques de gestion des risques de contenu de manière cohérente sur tous les canaux de communication

Unifiez les communications de contenu sensible sur une seule plateforme

L’approche de sécurité recommandée pour protéger les PII et les PHI est une plateforme qui unifie et centralise la gouvernance et la protection de toutes les données en mouvement et au repos. Avec la plupart des entreprises travaillant avec plusieurs tiers, une plateforme unique garantit des politiques et des contrôles cohérents dans chaque transaction et sur les canaux de communication cloisonnés tels que l’e-mail, le partage de fichiers, le transfert de fichiers géré, les formulaires Web et les interfaces de programmation d’applications (API).

Formez les employés aux meilleures pratiques pour gérer les PII et les PHI

Toutes les entreprises possèdent des PII qui doivent être protégées, et la plupart ont des PHI. La formation des employés est la clé pour protéger ces informations et assurer la conformité. Voici quelques pratiques recommandées :

  • Ne collectez que le minimum de PII et de PHI nécessaire à des fins commerciales.
  • Gardez les informations personnelles identifiables (PII) et les informations médicales protégées (PHI) sécurisées en les stockant dans une base de données protégée par mot de passe et chiffrée.
  • Utilisez l’authentification multifactorielle (MFA) pour accéder aux PII et PHI, y compris pour les systèmes utilisés pour les envoyer, les partager, les recevoir et les stocker.
  • Ne partagez jamais de PII ou de PHI sans le consentement explicite de la personne concernée.
  • Assurez-vous que les employés savent repérer les tentatives de phishing et autres menaces de cybersécurité grâce à une formation rigoureuse et continue à la sensibilisation à la sécurité.

Limitez la quantité de PII collectée à ce qui est nécessaire

Bien qu’il soit essentiel pour les entreprises de collecter certaines PII afin de fournir des services ou des biens, il est important de limiter la quantité de PII collectée à ce qui est absolument nécessaire.

Évaluez pourquoi votre entreprise a besoin de certains types de PII et s’il existe des alternatives qui vous permettraient d’atteindre vos objectifs sans collecter d’informations sensibles.

Protégez les PII stockées avec des mesures de sécurité physiques, technologiques et organisationnelles

Pour protéger les PII stockées, les organisations doivent adopter une approche multicouche. Cela signifie que des mesures de sécurité physiques, technologiques et organisationnelles doivent toutes être en place pour créer une défense solide contre les violations de données.

Les PII doivent être chiffrées en mouvement et au repos. Le chiffrement doit s’étendre de l’échange numérique de PII en interne et en externe jusqu’à son stockage sur le système du destinataire (par exemple, e-mail, système de fichiers, etc.).

Détruisez ou dépersonnalisez les PII lorsqu’elles ne sont plus nécessaires

Une façon de réduire les risques cybernétiques liés aux PII est de les détruire ou de les dépersonnaliser une fois qu’elles ne sont plus nécessaires. Cela garantit que les PII ne peuvent pas être utilisées pour le vol d’identité, la fraude ou le chantage. De plus, les entreprises doivent avoir une politique de conservation des données qui précise combien de temps les PII doivent être conservées. En prenant ces précautions, les entreprises peuvent contribuer à assurer la sécurité et la confidentialité des PII.

Utilisation d’un réseau de contenu privé pour protéger les PII et les PHI 

Le réseau de contenu privé de Kiteworks unifie les communications de contenu sensible, y compris les PII et les PHI, sur une seule plateforme. Une gouvernance centralisée et une sécurité intégrée vous permettent d’établir des politiques de gestion des risques de contenu qui suivent et contrôlent qui peut accéder aux PII et aux PHI, qui peut modifier le contenu et à qui il peut être envoyé. Le chiffrement de bout en bout, les contrôles automatisés et une approche de sécurité en profondeur simplifient l’échange numérique d’informations privées, y compris les PII et les PHI.

Planifiez une démonstration sur mesure du réseau de contenu privé Kiteworks pour voir comment il garde les PII et les PHI privées et assure la conformité de votre organisation aux réglementations sur la protection des données.

Retour au glossaire sur les risques et la conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks