Informations sensibles : quelles sont-elles et comment les protéger en entreprise ?

novembre 20, 2023

Que signifie réellement « informations sensibles » ?

Les informations sensibles couvrent un large éventail de données, mais leur point commun est que leur exposition présente des risques pour les personnes et les entreprises. Voici quelques catégories d’informations sensibles :

  • Les données relatives à l’entreprise : informations comptables, financières, prévisionnelles et secrets commerciaux
  • Les données gouvernementales : informations confidentielles, à diffusion restreinte, secrètes et ultra-secrètes
  • Les données à caractère personnel : adresses électroniques, numéros de téléphone, adresses physiques et antécédents médicaux
  • Les données transactionnelles : informations sur les comptes bancaires, numéros de cartes de crédit et numéros de sécurité sociale

La plupart des informations sensibles sont protégées par un faisceau de lois et de réglementations, tant aux États-Unis que dans les autres pays du monde et édictées et mises en application par les pouvoirs publics et les institutions. Ces garde-fous exigent la protection des informations sensibles contre tout accès non autorisé.

Qu’elles se présentent sous une forme physique ou numérique, les informations sensibles doivent être protégées à l’état de repos (c’est-à-dire à l’endroit où elles sont conservées) et en mouvement (à savoir lorsqu’elles passent par des canaux physiques, tels que le courrier postal, ou numériques, tels que le courrier électronique, ou encore lorsqu’elles sont partagées entre des applications).

Nous décrivons en détail certaines des différentes catégories d’informations sensibles ci-dessous.

Les informations personnelles

Ces informations, souvent appelées « informations personnellement identifiables » (PII), constituent une part importante des informations sensibles qui peuvent être rattachées directement à une personne et qui, si elles sont divulguées, peuvent lui porter préjudice. Comme elles permettent de distinguer une personne d’une autre, elles pourraient être utilisées pour désanonymiser des données anonymes.

Il est important de souligner que les données à caractère personnel ne constituent pas, à elles seules, des informations sensibles. Toutefois, une fois reliées, plusieurs données à caractère personnel peuvent constituer des PII. Les entreprises sont donc encouragées à appliquer les mêmes mesures de protection aux informations personnelles et aux informations sensibles afin d’éviter les sanctions pour non-conformité et d’autres conséquences fâcheuses.

Voici quelques exemples d’informations sensibles figurant dans les informations personnelles :

  • Le numéro d’inscription au registre des étrangers
  • Les données biométriques (par exemple, empreintes digitales, empreintes vocales, images de la rétine ou de l’iris, ou autres caractéristiques physiques uniques)
  • Le casier judiciaire
  • La date de naissance
  • Le numéro de permis de conduire
  • Les données génétiques
  • Les adresses de protocole Internet (IP)
  • Les informations sur le lieu géographique
  • Le nom de jeune fille de la mère
  • Le nom de famille
  • Le numéro de carte d’identification des non-conducteurs (aux États-Unis)
  • Le numéro de passeport
  • Le numéro de téléphone
  • La photographie
  • Le lieu de naissance
  • L’affiliation ou opinion politique
  • L’origine raciale ou l’appartenance ethnique
  • Les croyances religieuses ou philosophiques
  • L’orientation sexuelle
  • Le numéro de sécurité sociale
  • L’adhésion à un syndicat
  • Les données sur les anciens combattants et le handicap

Les informations commerciales et les informations sur les clients

Les informations commerciales sensibles comprennent toutes les informations dont la divulgation serait susceptible de faire peser un risque sur l’entreprise. Voici quelques exemples d’informations commerciales et d’informations sur les clients qui peuvent être considérées comme des informations sensibles :

  • Les informations sur les comptes bancaires
  • Les données de titulaires de cartes
  • Les documents judiciaires suite à des rapports sur des consommateurs
  • Les achats par carte de crédit ou de débit
  • Les cotes de crédit
  • Les données des clients
  • Les numéros fiscaux
  • Les données financières
  • Les données sur la propriété intellectuelle
  • Les informations sur les stocks
  • Les plans marketing
  • Les informations opérationnelles
  • Les informations sur les cartes de paiement
  • Les opérations stratégiques en cours sur le capital, telles que les introductions en bourse, les fusions, les acquisitions ou les fractionnements d’actions
  • Le chiffre d’affaires
  • Les informations sur les fournisseurs
  • Les secrets commerciaux
  • Les rapports non rendus publics sur les résultats

Les informations gouvernementales classifiées

Les informations classifiées font référence aux informations gouvernementales dont l’accès est restreint en fonction de leur degré de sensibilité : informations ultrasecrètes, secrètes et confidentielles.

Ultrasecrètes

Ce type d’informations gouvernementales sensibles fait référence aux informations relatives à la sécurité nationale, qui nécessitent le plus haut niveau de protection. Cette désignation est assortie d’exigences strictes.

Selon les « Code of Federal Regulations » (code des règlements fédéraux des États-Unis), si ces informations venaient à être consultées sans autorisation, il serait raisonnable de penser qu’il en résulterait « un préjudice exceptionnellement grave pour la sécurité nationale ».

Voici quelques exemples de « préjudices exceptionnellement graves » cités dans ce Code :

  • Les conflits armés contre les États-Unis ou leurs alliés
  • La désorganisation des relations extérieures ayant des conséquences vitales pour la sécurité nationale
  • La mise en péril des plans vitaux de défense nationale
  • La révélation d’opérations de renseignement sensibles
  • La divulgation de progrès scientifiques essentiels pour la sécurité intérieure

Secrètes

La deuxième classification par ordre d’importance pour les informations gouvernementales s’applique aux informations sensibles qui requièrent « un degré substantiel de protection » selon le Code of Federal Regulations, dans la mesure où l’on pourrait raisonnablement s’attendre à ce qu’un accès non autorisé à ces informations occasionnerait un « préjudice grave pour la sécurité nationale ».

Voici quelques exemples de « préjudices graves » donnés dans ce Code :

  • La désorganisation des relations extérieures affectant sensiblement la sécurité intérieure
  • Une atteinte sérieuse portée à un programme ou à un règlement en lien direct avec la sécurité intérieure
  • La divulgation de plans militaires ou d’opérations de renseignement de la plus haute importance
  • La mise en péril d’avancées scientifiques ou technologiques importantes pour la sécurité intérieure

Confidentielles

Les informations gouvernementales classées confidentielles sont susceptibles de « porter atteinte à la sécurité intérieure » en cas de consultation non autorisée. Ces informations doivent être protégées, mais pas autant que les informations secrètes et ultrasecrètes.

Voici quelques exemples d’informations confidentielles :

  • La mise en péril d’informations relatives à la puissance des forces terrestres, aériennes et navales aux États-Unis et dans les zones d’outre-mer
  • Les rapports d’opérations et de batailles contenant des informations utiles à l’ennemi
  • Les rapports des services de renseignement
  • Les documents et manuels contenant des informations techniques utilisées à des fins de formation à l’utilisation de munitions de guerre classifiées, ainsi que d’entretien et d’inspection de ces dernières.
  • La recherche sur les mutions de guerre, leur mise au point, leur production et leur achat
  • Les caractéristiques de performance, les données d’essai, les dessins, et données de fabrication des munitions de guerre
  • Les plans de mobilisation
  • Les documents indiquant la signification des noms de code ou des symboles utilisés pour faire référence à des informations confidentielles
  • Les documents relatifs aux enquêtes spéciales, à l’habilitation ou à l’affectation du personnel appelé à connaître des informations classifiées ou à y avoir accès
  • Les détails concernant les particularités des conteneurs de transport spéciaux, les itinéraires et les calendriers d’expédition de produits confidentiels

Les informations protégées par le secret médical (PHI) ou les informations électroniques protégées par le secret médical (ePHI)

Les PHI, ou ePHI, sont un type d’informations sensibles régies aux états-Unis par la loi sur la transférabilité et la responsabilité des assurances maladie (Health Insurance Portability and Accountability Act, HIPAA). Elles englobent toute information médicale permettant d’identifier une personne, ou toute information médicale créée, utilisée ou divulguée dans le cadre de la prestation de services de soins de santé. Cette notion recouvre toute information relative à la santé médicale, physique ou mentale d’un patient, enregistrée et conservée dans des dossiers physiques ou numériques.

Voici quelques exemples de PHI et d’ePHI :

  • Les rendez-vous
  • Les identifiants et numéros de série des appareils
  • Les historiques médicaux
  • Le services de soins prodigués aux patients
  • Les résultats d’examens de biologie ou médicaux
  • Les documents médicaux
  • Les factures médicales
  • Les formulaires des patients
  • Les ordonnances
  • Les communications avec les prestataires ou les patients

Les documents relatifs à la scolarité

Les informations et données relatives à la scolarité sont considérées comme sensibles, et leur consultation par des employeurs potentiels, des établissements d’enseignement financés par des fonds publics et des gouvernements étrangers est strictement réglementée.

Voici des exemples de documents relatifs à la scolarité :

  • Les spécialisations et activités universitaires
  • Les documents sur l’orientation
  • Les récompenses décernées
  • Les cours suivis
  • La date et le lieu de naissance
  • Les diplômes obtenus
  • Les données relatives aux sanctions disciplinaires
  • Les registres de présence
  • Les services éducatifs reçus
  • Les coordonnées des personnes à contacter en cas d’urgence (parent et/ou tuteur)
  • Les notes et/ou moyennes générales
  • Les fiches médicales et sanitaires créées, collectées et conservées par l’établissement scolaire
  • Le nombre de cours auxquels l’étudiant/l’élève est inscrit
  • Les lettres officielles concernant le statut de l’élève au sein de l’établissement scolaire
  • L’adresse du ou des parents et/ou tuteurs
  • L’emploi du temps
  • Les établissements scolaires fréquentés
  • Les données relatives à la scolarité spécialisée
  • L’adresse électronique de l’élève
  • L’identifiant national de l’étudiant
  • Les résultats aux épreuves

Différence entre informations sensibles et informations à caractère personnel

Les informations sensibles Les informations à caractère personnel
Il s’agit d’un type d’information à caractère personnel qui, si elle est révélée, peut exposer une personne à la discrimination ou au harcèlement et avoir des répercussions sur ses moyens de subsistance, sa qualité de vie ou sa capacité à participer à des activités quotidiennes. Les informations à caractère personnel permettent d’identifier un individu. Il peut s’agir de tout élément d’information permettant d’identifier plus ou moins précisément une personne physique.
Voici des exemples d’informations sensibles :
– Les antécédents judiciaires
– Les affiliations politiques
– L’origine raciale ou l’appartenance ethnique
– La religion
– L’orientation sexuelle
– L’appartenance à un syndicat ou à une association 		Voici des exemples d’informations à caractère personnel :
– L’adresse personnelle
– Les nom et prénom
– L’adresse électronique
– Le numéro de carte d’identité
– L’adresse IP
– Les données de localisation géographique

Lois et réglementations sur les informations sensibles

Nous dressons ci-dessous une liste de lois et réglementations faisant référence aux informations sensibles et qui imposent leur protection.

Lois nationales

Aux États-Unis

  • La loi COPPA (Children’s Online Privacy Protection Act, loi sur la protection de la vie privée en ligne des enfants)
  • La loi FERPA (Family Educational Rights and Privacy Act, loi sur les droits à léducation familiale et à la protection de la vie privée)
  • La loi Gramm-Leach-Bliley (Gramm-Leach-Bliley Act, GLBA)
  • La loi HIPAA (Health Insurance Portability and Accountability Act, loi sur la transférabilité et la responsabilité des assusrances)
  • L’U.S. Privacy Act de 1974 (loi américaine sur la protection de la vie privée)

Dans d’autres pays du monde

  • L’Australian Federal Privacy Act (loi fédérale australienne sur la protection de la vie privée )
  • Loi australienne sur la protection de la vie privée et les informations sensibles (Australian Privacy Act and Sensitive Information)
  • La loi Lei Geral de Proteçao de Dados (LGPD) (loi générale brésilienne sur la protection des données))
  • La loi Personal Information Protection and Electronic Documents Act (PIPEDA, loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE, ou Personal Information Protection Electronic Documents Act, PIPEDA, en anglais)
  • La loi chilienne n° 19.628 sur la protection de la vie privée
  • La loi chinoise sur la protection des données, loi sur la protection des informations personnelles (PIPL)
  • La loi égyptienne sur la protection des données personnelles (PDPL)
  • Le règlement général sur la protection des données (GDPR) de l’Union européenne et loi Informatique et Libertés en France
  • La loi japonaise sur la protection des informations personnelles
  • Réglementation nigériane sur la protection des données (NDPR)
  • La loi thaïlandaise sur la protection des données personnelles (PDPA)
  • Le UK’s Data Protection Act (loi britannique sur la protection des données)

Lois fédérales américaines régissant les informations sensibles

  • La loi CPRA (California Privacy Rights Ac, loi californienne sur les droits à la vie privée), qui modifie la loi CCPA (California Consumer Privacy Act, loi californienne sur la protection de la vie privée des consommateurs
  • La loi CPA (Colorado Privacy Act, loi du Colorado sur la protection de la vie privée)
  • La loi du Connecticut sur la confidentialité des données personnelles et la surveillance en ligne (Connecticut Personal Data Privacy and Online Monitoring Act)
  • La loi de l’Indiana sur la protection des données des consommateurs (Indiana Consumer Data Protection Act)
  • La loi ICDPA de l’Iowa (Iowa Consumer Data Protection Act, loi de l’Iowa sur la protection des données des consommateurs)
  • La loi du Maryland sur la protection des consommateurs en ligne (Maryland Online Consumer Protection Act)
  • La loi du Massachusetts sur la confidentialité des données (Massachusetts Data Privacy Law)
  • La loi du Montana sur la confidentialité des données des consommateurs (Montana’s Consumer Data Privacy Act)
  • La loi de l’État de New York sur la protection de la vie privée (New York Privacy Act)
  • La loi SHIELD de l’État de New York (Stop Hacks and Improve Electronic Data Security Act, loi sur l’arrêt des piratages et l’amélioration de la sécurité des données électroniques)
  • La loi OCPA (Oregon Consumer Privacy Act, de l’Oregon sur la protection de la vie privée des consommateurs)
  • La loi Tennessee Information Protection Act (loi du Tennessee sur la protection de l’information)
  • La loi TDPSA du Texas (Texas Data Privacy and Security Act, sur la confidentialité et la sécurité des données)
  • La loi UCPA de l’Utah (Utah Consumer Privacy Act, loi sur la protection de la vie privée des consommateurs)
  • La loi VCDPA (Virginia Consumer Data Protection Act, loi de la Virginie sur la protection des données des consommateurs)

Les principales catégories d’informations sensibles incluses dans les lois et réglementations

Voici certains des points abordés par les diverses lois et réglementations américaines, qui précisent les aspects du traitement des informations sensibles.

Données biométriques    

  • Permettre au consommateur de s’opposer à la vente d’informations biométriques ;
  • Élaborer des règles écrites concernant la collecte ou la conservation d’identifiants biométriques ;
  • Mettre en œuvre un type spécifique de données biométriques (par exemple, empreintes digitales, visage, voix, iris et paume de la main) ;

Protection de la vie privée en ligne des enfants

  • Interdire la collecte d’informations sur les utilisateurs mineurs à des fins de marketing ;
  • Exiger des exploitants de sites web, de services en ligne ou d’applications qu’ils effacent les informations personnelles concernant un mineur si elles ont déjà été collectées ;

Appareils connectés (par exemple, haut-parleurs, téléphones portables, caméras et vidéosurveillance)
Interdiction éventuelle des actions suivantes liées aux données capturées par les appareils connectés sans le consentement de la personne concernée :

  • Collecte
  • Stockage
  • Utilisation

Droits des consommateurs
Conférer des droits spécifiques aux consommateurs en ce qui concerne leurs informations sensibles et leurs données à caractère personnel, par exemple :

  • Un droit d’accès leur permettant de consulter toutes les informations conservéées à leur sujet
  • Un droit de suppression leur permettant de demander que toutes les informations les concernant soient supprimées
  • Un droit de correction leur permettant de demander la mise à jour d’informations inexactes les concernant

Confidentialité du lieu géographique

  • Interdire le transfert ou la vente sans consentement de données de géolocalisation ou de système de localisation GPS des consommateurs ;

Confidentialité relative aux sites web

  • Obliger l’exploitant d’un site web commercial ou d’un service en ligne qui collecte des informations personnellement identifiables (PII) à informer ses clients de ses pratiques de partage d’informations à caractère personnel
  • Exiger un consentement avant tout partage d’informations de navigateur Internet

Assurer la protection des informations sensibles en mettant en œuvre le principe de « Protection de la vie privée dès la conception »

La protection des informations sensibles est d’une importance capitale pour l’entreprise. Les organisations sont de plus en plus nombreuses à adopter l’approche appelée « Protection de la vie privée dès la conception ». Cette approche de la sécurité intègre le respect de la vie privée dans la mise en œuvre et le déploiement de l’ensemble des politiques, systèmes et appareils.

Appelée « Privacy by Design » en anglais, elle aide les entreprises à assurer la protection des informations sensibles en s’appuyant sur sept principes fondamentaux :

  1. Prendre des mesures en amont, pas après coup ; des mesures préventives, non pas correctives
  2. Assurer la protection « par défaut » de la vie privée
  3. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques
  4. Assurer une fonctionnalité complète selon un paradigme à somme positive et non à somme nulle
  5. Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements
  6. Assurer et maintenir la visibilité et la transparence
  7. Respecter la vie privée des utilisateurs, que la protection reste centrée sur l’utilisateur

Quelle que soit l’approche retenue, les entreprises doivent protéger les informations sensibles afin de se conformer aux multiples réglementations et lois et de répondre aux attentes sur la protection des données sensibles.

Autres articles susceptibles de vous intéresser :

Produit

Minimisez les risques. Optez pour une stratégie Zero Trust

Produit

Atténuer pour de bon les risques cyber grâce à la sécurité des identités

Article

Qu’est ce que le modèle Zero Trust?

Exploiter toute la puissance de la sécurité des identités unifiée.

Contrôle centralisé. À l’échelle de l’entreprise.

Faire connaissance avec le produit