Qu'est-ce que les données sensibles ?

Avec l'avènement de la transformation numérique — stimulée par l'augmentation du travail à distance liée à la pandémie — les entreprises stockent désormais la majorité de leurs données de manière numérique. Bien que le passage au stockage numérique des données soit incroyablement pratique et favorise une collaboration et une efficacité accrues, cela a également ouvert la porte à un nombre sans précédent de cyberattaques et de violations de données.

Au cours des dernières années, différents pays, états et industries ont adopté des réglementations de plus en plus strictes sur la protection des données qui régissent la manière dont les entreprises traitent les données sensibles.

Définition des données sensibles

Les gens utilisent souvent les termes données sensibles, données personnelles et données confidentielles de manière interchangeable. Dans un usage courant, les données sensibles sont toutes informations que vous ne souhaitez pas divulguer. Cependant, en ce qui concerne les obligations légales, la définition des données sensibles est plus spécifique.

Les données sensibles constituent une catégorie spéciale de données qui nécessitent une protection supplémentaire en raison des conséquences de leur exposition. Si les données sensibles sont exposées, il y a une forte probabilité de dommages financiers, personnels ou de réputation si elles tombent entre de mauvaises mains. Comprendre la signification des données sensibles est crucial pour les organisations afin de s'assurer qu'elles protègent adéquatement les informations personnelles et confidentielles contre l'accès non autorisé.

Données personnelles vs. Données sensibles

Les informations personnelles sont toutes données pouvant être utilisées pour identifier une personne. Des informations telles que les noms, adresses ou numéros de téléphone constituent des données personnelles. Dans certains cas, votre e-mail peut être considéré comme une donnée personnelle — par exemple, si c’est yourname@yourcompany.com. Les données personnelles peuvent également inclure des informations qu'une personne peut utiliser pour confirmer que vous étiez à un endroit spécifique, telles que vos empreintes digitales ou des images de vous sur une caméra de sécurité.

Les informations sensibles sont une sous-catégorie des données personnelles qui peuvent être utilisées pour nuire à une personne d'une manière ou d'une autre. Votre nom est une donnée personnelle, mais votre numéro de sécurité sociale est une donnée sensible car un acteur malveillant pourrait l'utiliser pour voler votre identité. Toutes les données personnelles ne sont pas sensibles.

Types de données sensibles

En général, les données sensibles ne sont pas accessibles au public et appartiennent à l'une des plusieurs catégories à haut risque. Voici quelques exemples de données personnelles sensibles :

Données financières

Les informations liées au statut financier d'une personne ou d'une entité sont considérées comme des données sensibles. Cela inclut :

• Numéros de compte bancaire
• Informations sur les cartes de crédit et de débit
• Historique de crédit
• Déclarations fiscales

Les entreprises qui acceptent, traitent, transmettent ou stockent des informations de carte de paiement doivent se conformer à la norme Payment Card Industry Data Security Standard (PCI DSS). Elle exige des pratiques de gestion de la sécurité renforcées pour protéger les données des titulaires de carte.

Personal Data

Les données personnelles, également connues sous le nom d'Informations Personnellement Identifiables (PII), sont toutes informations pouvant être utilisées pour identifier une personne spécifique. Des réglementations telles que le EU General Data Protection Regulation (GDPR) et le California Consumer Privacy Act (CCPA) protègent les données personnelles. Bien que les deux réglementations protègent les données personnelles, elles les définissent légèrement différemment.

• Le RGPD définit les 'données personnelles' comme toute information se rapportant à une personne physique identifiée ou identifiable ('sujet des données'). Les données personnelles peuvent être directes, telles qu'un nom, un numéro d'identification, des données de localisation ou un identifiant en ligne. Elles peuvent également être indirectes, comme des caractéristiques physiques, des informations sur la santé ou des marqueurs d'identité culturelle ou sociale.
• Le CCPA possède une définition bien plus large des données personnelles. Il inclut toute information qui identifie, se rapporte à, décrit, fait référence à, est susceptible d'être associée à, ou pourrait raisonnablement être liée, directement ou indirectement, à un consommateur ou un foyer particulier.

Le RGPD s'applique aux entreprises qui traitent les données personnelles de tout citoyen de l'UE, tandis que le CCPA s'applique aux entreprises qui gèrent les données de tout résident de l'État de Californie. Les deux réglementations prescrivent des mesures de protection des données étendues que les organisations doivent suivre pour prévenir l'accès non autorisé ou les violations.

Protected Health Information (PHI)

Les informations de santé protégées (PHI) selon le Health Insurance Portability and Accountability Act (HIPAA) font référence à toute information concernant l'état de santé, la prestation de soins de santé ou le paiement pour les soins de santé qui peut être liée à un individu. Cela inclut une large gamme d'identifiants personnels ainsi que des informations sur l’état de santé physique ou mentale passé, présent ou futur d’une personne.

Les prestataires de soins de santé, les fournisseurs d'assurance, les centres de traitement des données de santé et leurs entités commerciales doivent suivre les directives HIPAA lors de la manipulation des données des patients. HIPAA comprend des mesures strictes sur la manière dont les PHI peuvent être utilisées et divulguées.

Données sensibles en danger

Les données sensibles se trouvent dans des types de données structurées et non structurées dans diverses applications et systèmes de stockage. Le mouvement des données est assez limité au sein des dépôts de données structurées comme une base de données SQL server, ce qui vous donne plus de contrôle sur la manière dont elles sont transmises et sécurisées. Cependant, les fichiers stockés dans des dépôts non structurés tels que les partages de fichiers et les sites SharePoint ont tendance à circuler plus librement, rendant plus difficile la localisation précise de leur emplacement. Ces données cachées sont plus difficiles à contrôler et à sécuriser.

Bien que le RGPD soit la loi sur la protection des données la plus discutée, plus de 70 % des pays ont adopté des réglementations en matière de confidentialité des données. La plupart de ces réglementations partagent un objectif commun : protéger les données personnelles sensibles, mais les spécificités varient. Cet ensemble hétérogène de réglementations oblige les entreprises à reprendre le contrôle de leurs données sensibles. Pour ce faire, elles doivent savoir où elles se trouvent et quelles mesures de sécurité ont été mises en place pour réduire l’exposition des données sensibles.

Les entreprises peuvent faire face à de graves conséquences pour ne pas avoir sécurisé les données sensibles. Selon le RGPD, un manquement particulièrement grave au respect de la conformité peut entraîner des pénalités de plus de 20 millions de dollars ou 4 % du chiffre d'affaires mondial annuel, selon la valeur la plus élevée. À ce jour, l'amende la plus élevée a été infligée à Meta, la société mère de Facebook. Elle a été condamnée à une amende de 1,3 milliard de dollars pour ne pas avoir suffisamment protégé les données des citoyens de l'UE qui étaient transmises aux États-Unis.

Sécurisation des données sensibles

Pour éviter les amendes liées à la non-conformité, vous devez trouver et sécuriser vos données sensibles, peu importe où elles se trouvent. Un inventaire de data classification vous aidera à identifier et classer les données en fonction de leur sensibilité et de leur importance. Une fois cela fait, vous devrez maintenir un inventaire complet de tous vos actifs de données, y compris où ils sont stockés, qui y a accès et comment ils sont utilisés.

Savoir où vos données sont stockées est la première étape de la conformité, mais vous devrez également vous assurer d'avoir les bons contrôles pour empêcher l'accès non autorisé. Les entreprises doivent aussi être conscientes et éviter de collecter plus de données que nécessaire, en plus de limiter la croissance des données en supprimant les données inutiles. Vous n'avez pas à sécuriser les données que vous ne collectez pas.

Comment Netwrix peut aider

Netwrix fournit une plateforme puissante pour vous aider à gouverner l'accès à toutes vos données sensibles, applications et systèmes. Avec plus de 40 modules de collecte de données intégrés qui identifient les données sur les systèmes basés dans le cloud et sur site, vous pouvez rester en contrôle de vos actifs de données, peu importe où ils sont stockés. Vous n'avez pas à vous soucier de négliger des données sensibles dans des formats non structurés.

Netwrix’s Access Analyzer peut vous aider à réduire le risque de violations de données et à passer facilement les audits de conformité. Vous pouvez de manière proactive identifier les lacunes dans votre posture de sécurité telles que les permissions utilisateur excessives et les comptes désactivés que les acteurs malveillants pourraient exploiter. L'Access Analyzer remédiera automatiquement aux menaces en supprimant les comptes inactifs et en retirant les permissions excessives.

By following the principle of least privilege, you can monitor who is accessing your data and for what purposes. Quickly revoke unnecessary privileges to tighten your data security. Reach out today to request a free trial.

FAQ

Qu'est-ce qui est considéré comme des données sensibles ?

Sensitive data includes a range of information that requires extra protection due to its potential for misuse. Examples of sensitive personal data include health records or financial information such as bank account details, credit card numbers, and Social Security numbers. It also includes biometric data, such as fingerprints and facial recognition, personal identification numbers from driver’s licenses and passports, and confidential business information. Information about racial or ethnic origin, political opinions, religious or philosophical beliefs, and sexual orientation and behavior is also considered sensitive data. Protecting this data is crucial to prevent misuse, identity theft, and discrimination.

Qu'est-ce qui n'est pas considéré comme des données sensibles ?

Non-sensitive data includes publicly available information, such as names without additional identifying details, generic job titles, business contact information, and anonymized data where personal identifiers have been removed. This type of data poses minimal risk if exposed and typically doesn’t need special protective measures.

What information is considered sensitive?

Sensitive data is characterized by its potential to cause significant harm if exposed, including identity theft, financial loss, or discrimination. It typically includes personally identifiable information that can directly or indirectly identify an individual. This data often pertains to personal health, financial status, biometric identifiers, or confidential business operations. This data needs to be secured to protect privacy and security and to comply with data protection regulations. Sensitive data also often requires explicit consent for collection and processing due to its inherently private nature.

What are the three types of sensitive data?

The three main types of sensitive data are Personal Identifiable Information (PII), Protected Health Information (PHI), and financial information. PII includes data that can identify an individual, such as names and Social Security numbers. PHI encompasses medical and health-related data. Financial information involves bank details, credit card numbers, and financial transactions.