le gouvernement des États-Unis a utilisé le terme « personnellement identifiable » en 2007 dans un mémorandum du Bureau Exécutif du Président, Office of Management and Budget (OMB), et cet usage apparaît maintenant dans les normes américaines telles que le NIST Guide to Protecting the Confidentiality of Personally Identifiable Information (SP 800-122). Le mémorandum de L’OMB définit les PII comme suit:
informations qui peuvent être utilisées pour distinguer ou tracer l’identité d’une personne, telles que son nom, son numéro de sécurité sociale, ses enregistrements biométriques, etc., seul, ou lorsqu’il est combiné avec d’autres informations personnelles ou d’identification qui sont liées ou pouvant être liées à une personne spécifique, comme la date et le lieu de naissance, le nom de jeune fille de la mère, etc.,p>Article 2 bis: »données à caractère personnel »: toute information relative à une personne physique identifiée ou identifiable (« personne concernée »); une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs facteurs spécifiques à son identité physique, physiologique, mentale, économique, culturelle ou sociale;
toutefois, dans les règles de L’UE, il a été plus clair que la Personne Concernée peut potentiellement être identifiée par des moyens supplémentaires traitement d’autres attributs—quasi – ou pseudo-identifiants.,l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique
un autre terme similaire à PII, « informations personnelles » est défini dans une section de la loi californienne sur les notifications de violation de données, SB1386:
(e) aux fins de la présente section, « Informations Personnelles » désigne le prénom ou le prénom ou plusieurs des éléments de données suivants, lorsque le nom ou les éléments de données ne sont pas cryptés: (1) numéro de sécurité sociale., (2) Numéro de permis de conduire ou numéro de carte D’identité californienne. (3) le numéro de compte, le numéro de carte de crédit ou de débit, en combinaison avec tout code de sécurité, code d’accès ou mot de passe requis permettant l’accès au compte financier d’une personne. (f) aux fins de la présente section, les « informations personnelles » ne comprennent pas les informations accessibles au public qui sont légalement mises à la disposition du grand public à partir de documents gouvernementaux fédéraux, étatiques ou locaux.,
Le concept de combinaison d’informations donné dans la définition SB1386 est essentiel pour distinguer correctement les informations personnelles, telles que définies par OMB, des « informations personnelles », telles que définies par SB1386. Les informations, comme un nom, qui manquent de contexte ne peuvent pas être considérées comme des « informations personnelles » SB1386, mais elles doivent être considérées comme des PII telles que définies par la OMB. Par exemple, le nom John Smith n’a aucune signification dans le contexte actuel et n’est donc pas SB1386 « renseignements personnels », mais il s’agit de PII., Un numéro de sécurité sociale (SSN) sans nom ou toute autre information d’identité ou de contexte associée n’est pas SB1386 « informations personnelles », mais il s’agit de PII. Par exemple, le SSN 078-05-1120 en soi est PII, mais ce n’est pas SB1386 « informations personnelles ». Cependant, la combinaison D’un nom valide avec le SSN correct est SB1386 « informations personnelles ».
la combinaison d’un nom avec un contexte peut également être considérée comme une IPI; par exemple, si le nom d’une personne figure sur une liste de patients pour une clinique de VIH. Cependant, il n’est pas nécessaire que le nom qui doit être combiné avec un contexte pour être IPI., La raison de cette distinction est que des éléments d’information tels que les noms, bien qu’ils puissent ne pas être suffisants en eux-mêmes pour faire une identification, peuvent ensuite être combinés avec d’autres informations pour identifier les personnes et les exposer à un préjudice.
selon la OMB, les IPI ne sont pas toujours « sensibles », et le contexte peut être pris en compte pour décider si certaines IPI sont sensibles ou non.,
Australiedit
en Australie, la Privacy Act de 1988 traite de la protection de la vie privée des individus, en utilisant les principes de L’OCDE sur la vie privée des années 1980 pour mettre en place un modèle réglementaire large et fondé sur des principes (contrairement aux États-Unis, où la couverture n’est généralement pas fondée sur des principes généraux mais sur des technologies, des pratiques commerciales ou des éléments de données spécifiques). L’article 6 contient la définition pertinente., Le détail essentiel est que la définition de « renseignements personnels »s’applique également aux cas où l’individu peut être identifié indirectement:
» renseignements personnels » désigne les renseignements ou une opinion sur une personne identifiée, ou une personne qui est raisonnablement identifiable, que l’information ou l’opinion soit vraie ou non; et si l’information ou l’opinion est enregistrée sous une forme importante ou non.,
cela pose la question du caractère raisonnable: supposons qu’il soit théoriquement possible d’identifier une personne à partir d’informations qui n’incluent pas de nom ou d’adresse, mais contiennent des indices qui pourraient être recherchés pour savoir à qui elle se rapporte. Combien d’efforts supplémentaires faut-il pour rendre déraisonnable l’identification de telles informations?, Par exemple, si les informations impliquent une adresse IP et que le FAI concerné stocke des journaux qui pourraient facilement être inspectés (si vous aviez une justification juridique suffisante) pour rattacher l’adresse IP au titulaire du compte, leur identité peut-elle être « raisonnablement établie »? Si une telle liaison était coûteuse, lente et difficile, mais devient plus facile, cela change-t-il la réponse à un moment donné?,
Il semble que cette définition soit beaucoup plus large que l’exemple californien donné ci-dessus, et donc que le droit australien de la vie privée, bien qu’à certains égards faiblement appliqué, peut couvrir une catégorie plus large de données et d’informations que dans certaines lois américaines.,
en particulier, les entreprises de publicité comportementale en ligne basées aux États-Unis mais collectant subrepticement des informations auprès de personnes d’autres pays sous forme de cookies, de bogues, de trackers et autres peuvent constater que leur préférence pour éviter les implications de vouloir construire un profil psychographique d’une personne en particulier en utilisant la rubrique « Nous ne collectons pas d’informations personnelles » peut trouver que cela n’a pas de sens dans une définition plus large comme celle de la Loi australienne sur la protection des renseignements personnels.
notez que le terme « PII » n’est pas utilisé dans le droit australien de la vie privée.,n de la Loi sur la protection des renseignements personnels et des lois provinciales similaires régissent les organismes gouvernementaux provinciaux
Union Européennedit
la loi européenne sur la protection des données n’utilise pas le concept de renseignements personnels identifiables, et sa portée est plutôt déterminée par un concept plus large et non synonyme de « données personnelles ».,
- Article 8 de la Convention européenne des droits de l’homme
- Le règlement général sur la Protection des données adopté en avril 2016. Entrée en vigueur le 25 mai 2018
- remplace la Directive sur la Protection des données – 95/46 / CE
- Directive 2002/58/CE (La Directive E-Privacy)
- Directive 2006/24/CE Article 5 (La Directive sur la conservation des données)
D’autres exemples sont disponibles sur le site Web de l’UE sur la protection des données.,(Europe, 2016)
Nouvelle-zélandemodifier
Les douze principes de confidentialité de l’information de la Privacy Act 1993 s’appliquent.,
Suissedit
La Loi fédérale sur la protection des données du 19 juin 1992 (en vigueur depuis 1993) a mis en place une protection de la vie privée en interdisant pratiquement tout traitement de données à caractère personnel non expressément autorisé par les personnes concernées. La protection est soumise à l’autorité du commissaire fédéral à la Protection des données et à l’Information.
En outre, toute personne peut demander par écrit à une société (gérant des fichiers de données) la correction ou la suppression de toutes données personnelles. La société doit répondre dans les trente jours.,
États-UnisModifier
La Loi de 1974 sur la protection de la vie privée (Pub.L. 93-579, 88 Stat. 1896, promulguée le 31 décembre 1974, 5 U. S. C. § 552A), une loi fédérale des États-Unis, établit un Code de pratiques équitables en matière d’Information qui régit la collecte, la maintenance, l’utilisation et la diffusion d’informations personnellement identifiables sur des individus qui sont conservées dans des systèmes de registres par des agences fédérales.
l’un des principaux objectifs de la loi HIPAA (Health Insurance Portability and Accountability Act) est de protéger les informations de santé protégées d’un patient (PHI), qui sont similaires aux IPI. américain., Le Sénat a proposé la Loi sur la protection des renseignements personnels de 2005, qui a tenté de limiter strictement l’affichage, l’achat ou la vente de PII sans le consentement de la personne. De même, la Loi Anti-hameçonnage (proposée) de 2005 a tenté d’empêcher l’acquisition de PII par le biais de l’hameçonnage.
Les législateurs américains ont accordé une attention particulière au numéro de sécurité sociale car il peut être facilement utilisé pour commettre un vol d’identité. La loi (proposée) sur la Protection des numéros de sécurité sociale de 2005 et la loi (proposée) sur la prévention du vol d’identité de 2005 visaient chacune à limiter la distribution du numéro de sécurité sociale d’un individu.,
D’autres informations personnelles identifiables spécifiques aux États-Unis incluent, mais sans s’y limiter, les enregistrements I-94, les numéros D’identification Medicaid, la documentation de L’Internal Revenue Services (I. R. S.). L’exclusivité des informations personnellement identifiables affiliées aux États-Unis met en évidence les préoccupations nationales en matière de sécurité des données et l’influence des informations personnellement identifiables dans les systèmes de gestion des données fédéraux américains.,
définition du NISTMODIFIER
Le National Institute of Standards and Technology (NIST) est un laboratoire de sciences physiques et une agence non réglementaire du Département du Commerce des États-Unis. Sa mission est de promouvoir l’innovation et la compétitivité industrielle
Les données suivantes, souvent utilisées dans le but exprès de distinguer l’identité individuelle, classent clairement comme informations personnellement identifiables selon la définition utilisée par le NIST (décrite en détail ci-dessous):
- numéro D’identification National (par exemple, numéro de sécurité sociale aux États-Unis.,)
- numéros de compte bancaire
- numéro de passeport
- numéro de permis de conduire
- numéros de carte de débit/crédit
Les éléments suivants sont moins souvent utilisés pour distinguer l’identité individuelle, car ce sont des traits partagés par de nombreuses personnes. Cependant, il s’agit potentiellement d’IPI, car elles peuvent être combinées à d’autres renseignements personnels pour identifier une personne.,
- nom complet
- adresse du domicile
- ville
- État
- Code Postal
- Pays
- Téléphone
- âge, Date de naissance, surtout si non spécifique
- sexe ou race
- cookie Web
Lorsqu’une personne souhaite rester anonyme, les descriptions d’entre eux emploient souvent plusieurs ce qui précède, comme « un homme blanc de 34 ans qui travaille chez Target ». Notez que l’information peut toujours être privée, dans le sens où une personne peut ne pas souhaiter qu’elle devienne connue du public, sans être personnellement identifiable., De plus, parfois, plusieurs éléments d’information, dont aucun n’est suffisant en soi pour identifier de manière unique une personne, peuvent identifier de manière unique une personne lorsqu’ils sont combinés; c’est l’une des raisons pour lesquelles plusieurs éléments de preuve sont généralement présentés lors de procès criminels. Il a été démontré qu’en 1990, 87% de la population des États-Unis pouvait être identifiée de manière unique par le sexe, le code postal et la date complète de naissance.
dans l’argot hacker et Internet, la pratique consistant à trouver et à publier de telles informations est appelée « doxing ». Il est parfois utilisé pour dissuader la collaboration avec les forces de l’ordre., À l’occasion, le doxing peut déclencher une arrestation, en particulier si les organismes d’application de la loi soupçonnent que l’individu « doxed » peut paniquer et disparaître.
lois de l’état et décisions de justice importantesmodifier
- Californie
- La constitution de L’État de Californie déclare la vie privée un droit inaliénable à L’Article 1, Section 1.,
- California Online Privacy Protection Act (OPPA) de 2003
- SB 1386 exige que les organisations informent les individus lorsque des PII (en combinaison avec un ou plusieurs éléments de données spécifiques supplémentaires) sont connus ou supposés être acquis par une personne non autorisée.
- En 2011, La Cour suprême de L’État de Californie a statué que le code postal d’une personne est PII.
- Nevada
- Nevada Lois Révisées 603A-la Sécurité des Informations Personnelles
- Massachusetts
- 201 CMR 17.,00: normes pour la Protection des informations personnelles des résidents du Commonwealth
- En 2013, La Cour suprême du Massachusetts a statué que les codes postaux sont des PII.
federal lawdit
- Titre 18 Du United States Code, section 1028d(7)
- The Privacy Act of 1974, codifié au 5 U. S. C. § 552A et suivants.
- règles du « Privacy Shield » américain (Harmonisation avec L’UE)