Données à caractère personnel identifiantes
Les PII (Personally Identifiable Information) désignent toute information permettant d'identifier directement ou indirectement une personne physique. Elles incluent notamment le nom, l'adresse, le numéro de sécurité sociale, les données biométriques et tout élément pouvant être combiné pour identifier un individu.
Le concept de PII (Personally Identifiable Information) est un pilier de la protection des données dans le monde entier. Il englobe deux catégories : les identifiants directs (nom complet, numéro de passeport, numéro de sécurité sociale) qui permettent à eux seuls d'identifier une personne, et les identifiants indirects (date de naissance, code postal, profession) qui, combinés entre eux, peuvent permettre une identification. Le RGPD européen utilise la notion plus large de « données à caractère personnel », qui couvre les PII et au-delà.
Dans le cadre des processus KYC et de conformité, les PII sont au cœur de chaque vérification d'identité. Les entreprises collectent nécessairement des PII — copies de pièces d'identité, justificatifs de domicile, coordonnées bancaires — pour satisfaire leurs obligations réglementaires. Cette collecte crée une tension permanente entre l'impératif de vérification et le devoir de protection : chaque PII stockée représente un risque en cas de violation de données.
Les réglementations internationales (RGPD en Europe, CCPA en Californie, LGPD au Brésil) imposent des obligations strictes pour le traitement des PII : base légale documentée, durée de conservation limitée, mesures de sécurité techniques et organisationnelles, et droits d'accès et de suppression pour les personnes concernées. Les solutions de vérification modernes comme CheckFile.ai minimisent l'exposition des PII en extrayant uniquement les données nécessaires et en ne conservant pas les copies de documents au-delà de la vérification.
Réglementations
Exemples concrets
- 1Un prestataire de vérification d'identité classifie les champs extraits d'un passeport — nom, date de naissance, numéro de document — comme PII et applique un chiffrement AES-256 pour leur stockage, avec une suppression automatique après 90 jours.
- 2Une fintech californienne reçoit une demande CCPA d'un utilisateur souhaitant connaître toutes les PII détenues à son sujet : elle doit fournir un inventaire complet incluant les données KYC, l'historique de connexion et les métadonnées de vérification.
- 3Un service RH automatise l'anonymisation des PII des candidats non retenus 6 mois après la clôture du processus de recrutement, conformément aux recommandations de la CNIL sur la conservation des données de candidature.