Pour beaucoup dans le monde des médias et de la publicité, en particulier aux États-Unis, les informations personnellement identifiables (PII) ont longtemps été interdites de collecte et de suivi. Des efforts considérables sont déployés pour tracer une ligne de démarcation entre les IPI et les autres informations, voire pour masquer ou pseudonymiser les IPI de manière à ce qu’elles ne soient plus identifiables (et donc utilisables à des fins de marketing). Cependant, la ligne aux États-Unis est en train de se déplacer et en Europe, avec le GDPR qui doit entrer en vigueur le 25 mai 2018, elle pourrait ne pas exister du tout.

Qu’est-ce qu’un PII ?

Le ministère de la Défense (DoDD 5400.11, 29 octobre 2014) définit les PII comme :

« Les informations utilisées pour distinguer ou retracer l’identité d’un individu, telles que le nom, le numéro de sécurité sociale, la date et le lieu de naissance, le nom de jeune fille de la mère, les enregistrements biométriques, les numéros de téléphone personnels, d’autres informations démographiques, personnelles, médicales et financières. Les IPI comprennent toute information qui est liée ou peut être liée à un individu spécifique, seule ou combinée à d’autres informations personnelles ou d’identification. Aux fins de cette publication, le terme PII comprend également les informations personnelles et les informations sous forme identifiable. »

S’appuyant sur cette définition, la plupart des agences gouvernementales américaines font la distinction entre les PII non sensibles et les PII sensibles (celles qui, si elles sont divulguées, pourraient causer un préjudice à l’individu). Cela permet de différencier les informations accessibles au public d’informations plus potentiellement dangereuses, telles que le statut de citoyenneté, l’affiliation religieuse ou l’orientation sexuelle (guide du DHS). Le caractère sensible ou non des IPI dépend souvent du contexte et de l’interprétation. Les spécialistes du marketing et les éditeurs font très attention à ne pas utiliser les IIP, et se concentrent plutôt sur les non-IIP pour rendre les publicités plus pertinentes pour les consommateurs.

Non-PII

Selon la Mobile Marketing Association, les non-IIP sont « des informations qui peuvent correspondre à une personne, un compte ou un profil particulier, mais qui ne sont pas suffisantes pour identifier, contacter ou localiser la personne à laquelle ces informations se rapportent. Un lead non qualifié ». En voici quelques exemples :

• Identifiants d’appareils
• Adresses IP
• Cookies
• Type de navigateur
• Détails du plug-in
• Préférence linguistique
• Fuseaux horaires

En analysant ces informations, les entreprises de données sont en mesure de créer des profils détaillés des consommateurs afin de prédire leur intérêt et leur intention d’achat. Cela permet aux spécialistes du marketing de cibler les bons publics avec des publicités pertinentes, au bon endroit et au bon moment.

L’expansion des DPI

Récemment, les défenseurs de la vie privée ont commencé à déplacer la ligne entre les DPI et les non-DPI pour encourager la protection de plus d’informations. Par exemple, la directrice de la FTC, Jessica Rich, a indiqué que les identifiants persistants devraient probablement être considérés comme des PII. « Nous considérons les données comme « personnellement identifiables », et donc justifiant des protections de la vie privée, lorsqu’elles peuvent être raisonnablement liées à une personne, un ordinateur ou un dispositif particulier. Dans de nombreux cas, les identifiants persistants tels que les identifiants d’appareils, les adresses MAC, les adresses IP statiques ou les cookies répondent à ce critère ». Les exemples de la FTC comprennent :

• Numéro de client détenu dans un cookie
• Adresse IP
• Numéro de série du processeur ou du dispositif
• Identification unique du dispositif

Ces identifiants persistants supplémentaires élargissent considérablement ce qui a historiquement constitué les DPI et indiquent la volonté réduite de la FTC d’ignorer les méthodes de suivi modernes.

Tout est une donnée personnelle dans le cadre du GDPR!

Dans le contexte du règlement européen sur la protection de la vie privée GDPR, la distinction entre PII et non-PII n’a pas d’importance. En fait, on peut faire valoir que presque tout devrait être protégé comme une donnée personnelle en vertu du GDPR. Plutôt que le test du « lien raisonnable » de la FTC, le GDPR fait la distinction entre les données pseudonymes et anonymes. D’une manière générale, les données pseudonymes sont protégées en tant que données à caractère personnel, tandis que les données anonymes ne le sont pas. Toutefois, le seuil d’anonymat est difficile à franchir tout en conservant de la valeur pour les spécialistes du marketing. En fait, la directive demande aux responsables du traitement des données et aux sous-traitants de prendre en considération « la technologie disponible au moment du traitement et les évolutions technologiques » pour déterminer si une personne concernée (lire : une personne) peut être isolée en combinant des données pseudonymes ou disparates. Selon cette définition, les données personnelles ont une portée si large que les contrôleurs et les processeurs peuvent vouloir supposer que la plupart de leurs données sont personnelles, et travailler à rebours à partir de là.

Quoi maintenant ?

Avec l’entrée en vigueur du GDPR en mai 2018, nous devons reconnaître que la nomenclature américaine commune des PII et Non-PII n’est plus applicable à une partie importante de la communauté internationale. Le GDPR oblige les entreprises du monde entier qui traitent des données européennes à repenser et à réorganiser leurs politiques de données. Si les États-Unis n’adopteront peut-être jamais le GDPR tel qu’il est rédigé, nous ne pouvons pas nous permettre d’ignorer l’évolution de la sensibilisation à la protection de la vie privée et la barre élevée de la protection des données personnelles en Europe.

Vous voulez en savoir plus sur le GDPR ? Consultez le reste de notre série :

• Le groupe de travail GDPR de SpotX
• Qu’est-ce que le GDPR ? Ce que vous devez savoir sur l’Ad Tech et le règlement général sur la protection des données
• GDPR : Top 7 des choses que les éditeurs devraient faire pour se protéger
• Comment les entreprises basées aux États-Unis devraient penser au GDPR
• Pourquoi les entreprises américaines devraient se préoccuper des PII, non-PII et des données personnelles
• Qu’est-ce que le  » Privacy by Design and Default  » et comment peut-il m’aider à faire des choix difficiles dans un monde post-GDPR ?
• Comment le GDPR va resserrer l’emprise de Google et Facebook sur les dollars publicitaires mondiaux – N’est-ce pas ironique ?
• Vlog : Jessica Berman, chef de produit senior, s’exprime sur le GDPR

.