Données personnelles

Qu’est-ce que les données personnelles ?

Dans un environnement numérique, les données personnelles sont des informations qui peuvent être utilisées pour décrire des attributs ou même identifier un individu. Cela inclut des informations qui identifient directement une personne, comme le nom, l’adresse e-mail ou le numéro de sécurité sociale. Les données personnelles peuvent également inclure des types d’informations moins évidents, comme l’adresse IP, les cookies du navigateur, les données de géolocalisation ou les données biométriques qui, lorsqu’elles sont combinées, peuvent identifier quelqu’un de manière unique.

Le terme données personnelles est très courant et peut avoir différentes significations selon le contexte. Dans un environnement numérique, le terme « données personnelles » englobe à la fois les identifiants que vous utilisez au quotidien (comme le nom, le numéro de téléphone ou l’adresse e-mail) et les informations sur vous et vos activités (comme l’éducation, le revenu, le type de voiture que vous conduisez, les noms de vos amis ou membres de la famille, ou même la fréquence à laquelle vous faites de l’exercice). Cette dernière catégorie peut sembler inoffensive mais, lorsqu’elle est combinée à d’autres faits sur vous, le profil résultant peut être étonnamment précis. Par exemple, l’école dont vous êtes diplômé n’est pas en soi identifiante. Mais si ce nom d’école est combiné avec l’entreprise pour laquelle vous travaillez et les noms de vos amis, quelqu’un pourrait facilement trianguler pour vous identifier en particulier.

Termes similaires à données personnelles

« Informations personnelles » (PI) est équivalent au terme données personnelles. En fait, ces deux termes généraux sont également des termes juridiques adoptés dans des législations récentes sur la confidentialité des données d’un individu. La législation de l’UE RGPD fait référence aux données personnelles pour définir ses règles de confidentialité, tandis que la CCPA (une loi californienne sur la confidentialité) utilise le terme informations personnelles pour définir son périmètre. Bien que les termes soient différents, les définitions sont à peu près les mêmes.

« Informations personnellement identifiables » (PII) ressemble à ces deux autres termes, mais PII est généralement utilisé pour décrire uniquement les informations plus évidemment identifiables, telles que le nom, le numéro de sécurité sociale ou l’adresse. Ainsi, PII est un sous-ensemble des données personnelles et des informations personnelles.

Qui a mes données personnelles ? Comment les obtiennent-ils ?

Vos données personnelles peuvent être trouvées dans les bases de données gérées par des entreprises auxquelles vous avez fourni vos données. Ces types d’organisations peuvent être des entreprises de commerce, financières, gouvernementales, dans le secteur de la santé, des réseaux sociaux ou autres. C’est souvent, mais pas toujours, le résultat d’une activité sur Internet. Depuis ces bases de données, vos données peuvent être transférées vers les systèmes des courtiers en données ; ces entreprises collectent des données auprès de multiples sources, puis les corrèlent et les analysent pour dresser des profils d’individus. Les courtiers en données vendent ensuite leurs résultats à d’autres organisations.

Les données personnelles sont collectées lorsque vous fournissez volontairement des informations, par exemple en entrant votre nom ou votre adresse e-mail dans un formulaire en ligne. Cela peut également inclure des informations sur les choses que vous avez achetées en ligne, le contenu que vous avez téléchargé, ou les comptes de réseaux sociaux que vous avez visités. Une collecte de données moins évidente concerne des éléments tels que l’adresse IP de votre ordinateur, votre historique de géolocalisation, l’historique de navigation et les cookies, et même des détails sur votre appareil et interface utilisateur (on appelle cela fingerprinting).

Les données personnelles peuvent également être collectées sans votre participation en ligne. Beaucoup de données sont publiées dans le cadre d’informations publiques et sont récupérées dans les bases de données des courtiers en données. Si votre nom figure dans les résultats d’un marathon local ou dans les registres fiscaux fonciers publics, alors les courtiers en données (qui collectent ces informations) savent que vous êtes un coureur et un propriétaire foncier. Même les données non publiques (comme certaines informations d’inscription des électeurs) peuvent parvenir à ces bases de données à la suite de pirates accédant à des données sécurisées.

À quoi servent les données personnelles ?

Pour fournir leurs services, une organisation peut avoir besoin de collecter et de référencer vos données personnelles. En effet, votre fournisseur de soins de santé a collecté des données personnelles vous concernant, et les utilisera lors d’une consultation de télémédecine. La plupart des lois et réglementations considèreraient cet usage des données personnelles comme légitime; et la plupart des individus s’attendraient généralement à cette pratique et l’accepteraient.

Cependant, l’utilisation des données personnelles n’est pas toujours limitée à ces scénarios légitimes. Souvent, les données personnelles sont partagées avec d’autres organisations ou vendues à des fins de marketing, souvent sans le consentement ou la connaissance de l’individu. Les données personnelles peuvent aussi être référencées dans des vérifications d’antécédents et peuvent être volées et vendues à des fins illégales.

Bien que toutes les organisations ne soient pas soumises à des réglementations limitant ce qu’elles peuvent faire avec vos données personnelles, beaucoup sont tenues de divulguer ce qu’elles pourraient en faire. Cette déclaration est faite dans un document appelé une politique de confidentialité. Elle est généralement fournie sous forme de lien sur le site web de l’entreprise. Une politique de confidentialité peut être difficile à lire, et parfois même difficile à trouver. Mais c’est la meilleure source d’informations sur ce qu’une organisation prévoit de faire avec les données personnelles qu’elle collecte.

Données personnelles, confidentialité et sécurité

La plus grande menace pour la sécurité de vos données à caractère personnel est la violation des données. Lorsque vos données se retrouvent entre des mains non autorisées, elles peuvent être utilisées pour vous cibler dans des arnaques d’ingénierie sociale et des vols. Un e-mail d’hameçonnage (phishing) est beaucoup plus convaincant lorsque l’attaquant peut utiliser des détails vous concernant et vos activités en ligne.

La collecte et le partage inutiles de données personnelles nuisent également à votre confidentialité. Lorsque des courtiers en données collectent vos données personnelles pour dresser un profil détaillé de vous, et qu’une entreprise utilise ce profil pour vous montrer des publicités ciblées avec précision, cela peut sembler inquiétant et intrusif.

Il existe des réglementations qui traitent de la collecte et de l’utilisation des données personnelles; des exemples bien connus sont le RGPD, le HIPAA et la CCPA. En plus de limiter les données pouvant être collectées, pour quelles finalités et comment elles peuvent être partagées; ces réglementations accordent également aux individus des droits quant à la suppression des données et à l’exclusion de la collecte des données. Ces lois exigent également de notifier les individus en cas de violations de données. Malheureusement, puisque seules certaines personnes vivent dans des zones où ces réglementations s’appliquent, tout le monde n’est pas protégé par elles.

Que puis-je faire pour protéger mes données personnelles ?

Il n’y a pas grand-chose que vous puissiez faire en tant qu’individu pour protéger vos données personnelles ou influencer leur utilisation, une fois qu’elles sont dans la base de données de quelqu’un d’autre. Cependant, vous pouvez faire preuve de prudence quant à l’endroit et au moment où vous fournissez vos données personnelles, afin de réduire leur exposition au risque d’utilisation abusive :

• Prenez un moment pour réfléchir aux conséquences possibles avant de fournir des données personnelles à un site web ou une application susceptibles de collecter vos données.
• Souvenez-vous que tout contenu que vous publiez sur les réseaux sociaux peut être collecté et combiné avec d’autres données personnelles pour améliorer un profil créé par des courtiers en données.
• Adoptez de bonnes habitudes en ligne, comme le rejet des cookies, l’utilisation des paramètres du navigateur pour minimiser les traqueurs et l’utilisation d’un VPN pour masquer votre véritable adresse IP.
• N’utilisez pas une connexion de tiers pour accéder à un site web. Lorsque vous utilisez vos identifiants Google ou Facebook pour vous connecter à quelque chose qui n’est pas Google ou Facebook, vous donnez à ces entreprises Big Tech encore plus d’informations vous concernant.
• N’autorisez les applications téléphoniques à suivre votre localisation que lorsque cela est vraiment nécessaire. Gérez activement quelles données sont suivies et partagées par des applications comme les moniteurs de santé et les contrôleurs de dispositifs domestiques.
• Si vous vivez dans un endroit où le RGPD, la CCPA ou des réglementations similaires en matière de confidentialité s’appliquent, vous pouvez (et devriez) demander au propriétaire d’un site web de supprimer vos données de ses archives.

L’utilisation d’un navigateur doté de solides protections en matière de confidentialité et de sécurité, tel que le navigateur Brave, limitera également la collecte de vos données à caractère personnel. Brave dispose d’un VPN intégré, et bloque par défaut les publicités et les traqueurs, ainsi que les cookies tiers et une variété de techniques de fingerprinting. Ce blocage empêche un traqueur de collecter vos données personnelles lorsque vous naviguez sur différents sites.