Question:
Un numéro de téléphone autonome est-il considéré comme une information personnellement identifiable?
WoJ
2018-07-03 13:22:40 UTC
view on stackexchange narkive permalink

Les informations personnellement identifiables (PII) sont définies (l'exemple ci-dessous est du NIST) comme (c'est moi qui souligne)

Des informations qui peuvent être utilisées pour distinguer ou tracer l'identité d'une personne , telle que le nom, le numéro de sécurité sociale, les données biométriques, etc., seules, ou lorsqu'elles sont combinées avec d'autres informations personnelles ou d'identification liées ou pouvant être liées à une personne spécifique, telles que la date et le lieu de naissance, nom de jeune fille de la mère, etc.

Comment cela doit-il être interprété dans le cas d'un numéro de téléphone unique, non associé à un nom?

En d'autres termes , si une application envoie des numéros de téléphone bruts à un serveur (je vous regarde WhatsApp) sans le nom du propriétaire du numéro , ce numéro est-il toujours des informations personnelles?

EDIT: Jonah Benton a donné dans sa réponse un très joli résumé de la question, je le cite par souci de clarté

(...) la question fait référence à une pratique où une application sur un utilisateur ' Le téléphone de s a accès aux contacts (...) sur le téléphone et télécharge tous les numéros de téléphone sur le serveur sans télécharger également les noms associés à ces numéros (même s'ils y ont accès.)

Sont-ils téléchargés nus nombres, sans noms, considérés comme des informations personnelles?

Que fait exactement WA?D'où proviennent ces chiffres?
@JonahBenton: il obtient le numéro du mobile sur lequel l'application est installée ** et ** les numéros de téléphone dans les contacts.La politique de confidentialité stipule que seuls les numéros sont envoyés, donc ma question.
oui, ok, c'est le scénario que j'ai émis l'hypothèse, alors voyez ma réponse ci-dessous.dans le schéma des choses, ces données doivent être considérées comme pii.
Citant les [informations personnellement identifiables de Wikipédia] (https://en.wikipedia.org/wiki/Personally_identifiable_information#NIST_definition): * Les données suivantes, souvent utilisées dans le but exprès de distinguer l'identité individuelle, ** sont clairement classées comme PII** selon la définition utilisée par l'Institut national des normes et de la technologie (décrite en détail ci-dessous): ... Numéro de téléphone ... *
Si cela peut vous aider, je pense qu'un meilleur nom pour * "informations personnellement identifiables" * aurait été * "personnellement ** informations d'identification **" *.
@Mehrdad mais ce serait incorrect.Les «informations d'identification personnelle» sont des informations qui identifient une seule personne.Les «informations personnellement identifiables» sont des informations qui, associées à d'autres informations, permettent d'identifier une personne.Ainsi, les «informations d'identification personnelle» sont un sous-ensemble strict des «informations personnellement identifiables» et ne sont donc pas équivalentes.
@Josef: Eh bien, il y avait une raison pour laquelle je ne prétendais pas que c'était un nom parfait.Je dis simplement que ce serait beaucoup plus précis car actuellement le nom PII est plutôt bizarre à première vue et suggère que l'entité identifiée est l'information (... par la personne ...?), Pas la personne (par leinformation).
Je pense que la question passe vraiment à côté.Ce qui est en cours de discussion, ce ne sont pas des numéros de téléphone «autonomes» ou «uniques», mais des numéros assemblés en groupes significatifs.
Six réponses:
Josef says Reinstate Monica
2018-07-03 13:49:18 UTC
view on stackexchange narkive permalink

Cela dépend. Ce numéro pourrait-il être lié à une seule personne? (par exemple, c'est votre numéro de cellule et si je sais que ce numéro est dans une base de données et que je sais que c'est le vôtre, alors je sais que vous êtes dans cette base de données)

Alors oui.

Si c'est n'est pas possible (par exemple, c'est l'appel central en numéro d'une grande entreprise qui est connecté à un agent disponible) alors non.

Si vous n'avez que des numéros de téléphone sans plus d'informations à leur sujet, vous devez supposer il s'agit de PII, car vous ne savez pas si un numéro appartient à un individu ou non.

Donc, vous dites que s'il s'agit d'un numéro personnel, qu'il s'agit d'un PII, parce que quelqu'un pourrait le reconnaître?
Non, ce que je dis, c'est ** s'il peut être utilisé pour distinguer ou tracer l'identité d'un individu ** alors c'est PII!C'est le cas si un mappage de nombre-> personne existe.Même si personne ne pouvait le reconnaître mais qu'il appartient à un individu, il s'agit de PII.
@Josef En quoi est-ce différent de ce que jpaugh a dit?Un tel mappage doit exister pour tous les numéros personnels, car au moins le fournisseur dispose d'un tel mappage.Mais en quoi est-ce utile pour distinguer ou tracer l'identité d'un individu si personne ne le reconnaît - cette reconnaissance ne fait-elle pas partie du processus de cartographie, ce qui signifie qu'une personne extérieure au fournisseur a obtenu ou reconnu cette cartographie?
@Michael le cas est où le nombre à lui seul suffit à servir d'identifiant
@Michael Vous pouvez utiliser ce numéro pour suivre un individu à travers un certain nombre de `` contacts '' (au sens radar): Ce numéro a contacté ce numéro à ce moment-là, ce numéro enregistré dans cette tour de téléphonie cellulaire à ce moment, etc.observations, ce modèle caractérise un seul individu, même si vous ne connaissez pas son nom.En fait, c'est exactement la façon dont les capteurs IMSI sur les drones sont utilisés.Comme autre analogie, considérez une photographie de sa ressemblance: il peut clairement s'agir d'une information personnellement identifiable, même si vous ne disposez pas d'un moyen de rechercher le nom de la personne.
@Relaxed Gotcha ... il semble que ce soit plus un cas de, "ce nombre est PII à un moment tel que nous pouvons traverser le fossé de le mapper à un individu devant lequel c'est PII juste sans nom" qui peut être fait par inférenceétant donné suffisamment d'autres points de données qui lui sont associés.Pour le regarder d'un autre point de vue, si vous envoyez votre avocat contester une infraction au code de la route et que la société émettrice du ticket n'a pas accès pour associer votre visage à un nom, elle ne peut pas prouver que les deux sont liés,mais si vous vous présentez à la cour, cette association est révélée.
Il est à noter qu'il serait difficile (probablement de manière prohibitive) pour toute application informatique stockant le numéro de vérifier qu'il appartient à cette dernière catégorie, auquel cas l'OP est préférable de supposer que quelqu'un entrera un numéro qui peut les identifier.En d'autres termes, il vaut mieux faire preuve de prudence lors du développement d'une application.
@jpmc26 Bien sûr.si vous avez juste quelques numéros de téléphone sans plus d'informations (par exemple le carnet d'adresses d'un téléphone portable sans nom), vous devez supposer que les numéros sont des PII.Ce n'est que si vous créez intentionnellement une liste des numéros de support des entreprises ou quelque chose de similaire, il est possible de supposer que les chiffres ne sont pas des PII.
@Michael La différence est que je pourrais acheter une carte SIM prépayée anonyme aujourd'hui et commencer à l'utiliser.Si je ne donne ce numéro à personne, personne ne peut reconnaître que c'est mon numéro.Même l'opérateur réseau ne connaît pas mon nom car je viens de payer en espèces.Pourtant, si quelqu'un collectait toutes les métadonnées et que je n'utilisais que la carte, cela pourrait être utilisé pour m'identifier plus tard.(Je dors principalement dans mon appartement la nuit et je travaille à mon bureau pendant la journée, je pourrais appeler des amis parfois ...)
Jonah Benton
2018-07-03 16:47:06 UTC
view on stackexchange narkive permalink

Je n'utilise pas WA, je ne sais donc pas précisément à quelle pratique la question fait référence, mais supposons que la question se réfère à une pratique où une application sur le téléphone d'un utilisateur a accès aux contacts et à l'historique des textes sur le téléphone et télécharge tous les numéros de téléphone sur le serveur sans également télécharger les noms associés à ces numéros (malgré y avoir accès.)

Ces numéros nus téléchargés, sans noms, sont-ils considérés comme des PII?

Oui, absolument.

Le serveur ne collecte pas les séquences de nombres au hasard, les utilise pour remplir un modèle quelconque, puis les supprime.

Il s'agit de construire une structure de données durable qui a des entités qui sont destinées en fin de compte à être mappées aux humains, et de stocker ces nombres sous forme de métadonnées avec ces entités. (Test clé - lorsqu'un contact sur le téléphone a 2 numéros, ces 2 numéros sont-ils associés d'une manière ou d'une autre à la même entité durable côté serveur?)

Le fait qu'à un point particulier de zoom dans l'architecture globale à un moment donné, il n'y a pas de nom stocké directement avec le numéro dans une ligne de base de données relationnelle n'est pas pertinent.

Dans l'architecture globale, comprenant à la fois les applications clientes et le serveur, et les données les flux actuellement en place ainsi que les flux de données qui pourraient raisonnablement facilement être mis en place sans action de l'utilisateur - par exemple, une mise à jour d'application qui collectait également des noms pourrait être déployée de manière triviale sans connaissance de l'utilisateur ou autorisation supplémentaire - vue d'ensemble, il s'agit d'une architecture graphique qui a PII.

Les informations personnelles sont un problème au niveau de la forêt, pas un problème au niveau de l'arbre.

Votre premier paragraphe décrit exactement la situation.Mais alors vous supposez qu'à un moment donné, il y aura un mappage entre un individu spécifique et nommé et le numéro, ce qui, selon WA, n'est pas le cas.D'autre part, le numéro est unique à une personne, ce qui signifie que WA sait ce que fait user87989, sans savoir que user87989 est en fait John Brown.Ce qui, par lecture littérale des PII et d'autres réponses, signifie toujours qu'il s'agit bien d'une PII.
Oui.La définition des PII se veut expansive, car elle concerne la confidentialité.Et une fois que l'application est autorisée à récupérer les informations des contacts, le fait que l'application à ce moment-là décide de ne pas récupérer le nom du contact, uniquement le numéro, est sans importance.Une fois qu'il a la permission, il peut récupérer le nom et tout autre chose à tout moment.
L'autre point est que le nom qu'un utilisateur a entré dans ses contacts pour un numéro donné est souvent un surnom ou un raccourci ou quelque chose qui caractérise uniquement la relation, mais qui ne fait pas autorité du point de vue de l'identité.Il existe de nombreux services auxquels FB peut attribuer un numéro et obtenir des quantités de données d'identité faisant autorité.Donc, si l'affirmation selon laquelle les noms ne sont pas extraits des contacts, seuls les chiffres, est faite pour des raisons de confidentialité, eh bien, c'est au mieux trompeur.
Hugo
2018-07-03 14:20:59 UTC
view on stackexchange narkive permalink

Les PII sont tout ce qui peut être associé directement ou indirectement à une personne sur la base du règlement 2016/679 du Parlement européen.

«données personnelles» désigne tout les informations relatives à une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques au physique, physiologique, l'identité génétique, mentale, économique, culturelle ou sociale de cette personne physique;

De la section des définitions du règlement susmentionné

Parce que vous peut mettre en corrélation un numéro de téléphone avec une personne (propriétaire du contrat) et ce numéro peut être unique à cette personne, vous devriez le considérer comme des informations personnelles.

Je dis cela par précaution car vous ne savez jamais si c'est est un numéro de téléphone public, un téléphone partagé ou tout autre cas d'utilisation.

Dans de nombreux cas, même s'il s'agit d'un numéro partagé, il est toujours possible de le corréler à une personne.

Le seul qui n'est pas possible est les téléphones publics.

Parce que nous ne le savons pas, nous ne pouvons pas prendre le risque d'une sécurité assouplie pour tous les autres numéros de téléphone qui pourraient être associés de manière unique à une personne spécifique.

L'adresse IP peut également être des informations personnelles , parce que nous ne savons pas s'il s'agit d'un proxy ou d'un routeur dans une maison, nous devrions les traiter comme égaux.

Une explication plus simpliste peut être trouvée dans le lien ci-dessous du Parlement européen avec des exemples.

https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en

Les données personnelles sont toute information relative à une personne vivante identifiée ou identifiable. Différentes informations, qui ensemble peuvent conduire à l'identification d'une personne en particulier, constituent également des données personnelles.Les données personnelles qui ont été dépersonnalisées, cryptées ou pseudonymisées mais qui peuvent être utilisées pour réidentifier une personne restent des données personnelles et tombent dans le cadre de la loi. Les données personnelles qui ont été rendues anonymes de telle sorte que l'individu n'est pas ou plus identifiable ne sont plus considérées comme des données personnelles. Pour que les données soient réellement anonymisées, l'anonymisation doit être irréversible.La loi protège les données personnelles quelle que soit la technologie utilisée pour le traitement de ces données - elle est technologiquement neutre et s'applique à la fois au traitement automatisé et manuel, à condition que les données soient organisées conformément aux pré- critères définis (par exemple ordre alphabétique). Peu importe la manière dont les données sont stockées - dans un système informatique, via la vidéosurveillance ou sur papier; dans tous les cas, les données personnelles sont soumises aux exigences de protection énoncées dans le RGPD.

"sur la base de la déclaration des législateurs européens" pouvez-vous lier ou citer la loi?
@Schroeder J'ai proposé une modification pour ajouter la citation et le lien vers le règlement de l'UE
https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en
Merci à la personne qui a pris son temps pour éditer mon message.
AnoE
2018-07-04 00:52:11 UTC
view on stackexchange narkive permalink

Oui

Clairement et fondamentalement, sans aucun doute; et avec des implications particulièrement fortes lorsqu'il est utilisé dans un contexte de médias sociaux comme WhatsApp.

Le problème n'est pas de savoir si WhatsApp associe ce numéro de téléphone à un nom lors de son envoi à leur serveur. Le problème est que l'information elle-même (le numéro de téléphone) est liée à vous, une personne. Les informations personnelles ne concernent pas tant l'utilisation, mais davantage le contenu d'informations statiques de certaines données.

Bien sûr, il y a des degrés à cela. Par exemple, les dates de naissance. Si je prends un échantillon d'une date de naissance aléatoire (sans aucune information jointe) d'une personne que je rencontre dans la rue la plus fréquentée d'une ville de 10 millions d'habitants, alors cette date de naissance ne m'aide probablement pas à identifier la personne plus tard. Mais si je fais la même chose dans une petite salle de classe, il est fort probable que je puisse le faire. (Nonobstant le paradoxe de l'anniversaire.)

Dans le cas du numéro de téléphone, ou d'un numéro d'identification sociale, etc., le cas est clair - je peux immédiatement identifier la personne seule sur le monde liée à ce numéro ( peut-être à partir d'un annuaire téléphonique, peut-être simplement en appelant et en obtenant leur nom s'ils ne font pas attention).

Les scénarios potentiellement inquiétants pour l'utilisation de tels numéros de téléphone nus sont nombreux; par exemple. profilage (par correspondance avec d'autres enregistrements contenant le numéro); découvrir des groupes de personnes (en saisissant un ensemble de nombres qui sont en quelque sorte regroupés dans l'application); etc.

Comment la date de naissance que vous avez recueillie d'une personne n'est-elle PAS des informations personnelles?
@DmitryGrigoryev, Je n'implique pas cela, n'est-ce pas?
Niels van Reijmersdal
2018-07-04 15:01:41 UTC
view on stackexchange narkive permalink

La majorité des numéros de téléphone sont liés à des personnes uniques (par exemple, leur téléphone portable, leur bureau ou leur domicile), ce qui fait d'un numéro de téléphone un numéro d'identification unique pointant vers une seule personne.

Vous pourriez aussi affirmer que certains numéros de téléphone ne sont évidemment pas associés à une personne, mais puisque le pourcentage de nombres qui sont largement supérieurs à ceux qui ne le sont pas. (Depuis 2005, les lignes de téléphonie fixe sont en baisse et l'utilisation du téléphone mobile est en hausse, avec actuellement 67% de la population mondiale ayant un numéro de téléphone mobile. )

Les numéros de téléphone peuvent clairement être utilisés pour réidentifier une personne à un stade ultérieur du traitement des données. Si vous l'enrichissez avec suffisamment d'autres données (par exemple, abonnements, visites de sites Web, géolocalisations), vous pouvez même identifier la personne physique. Certaines entreprises associent des numéros de téléphone à des identifiants de cookies publicitaires en ligne menant à des profils très riches. Les services en ligne (par exemple, le service d'achat de billets de cinéma) sont également connus pour vendre ces données.

C'est pourquoi je pense que dans la plupart des cas, un numéro de téléphone doit être considéré comme une donnée personnelle. Donc toujours gérer les numéros de téléphone comme des données personnelles semble la chose la plus sage à faire, à moins que vous ne soyez sûr à 100% que vous ne traitez que les numéros de téléphone des organisations publiques par exemple.

Un numéro de téléphone n'est pas intrinsèquement lié à une personne.Il n'y a pas de numéro de passeport qui n'appartient à une seule personne, mais de nombreux numéros de téléphone ne sont pas liés à une personne identifiable. Et si vous citez une loi, elle doit être interprétée dans un contexte juridique.
Suppression de la citation.Mais affirmer qu'un numéro de téléphone n'est pas intrinsèquement lié à une personne ressemble à ce que l'industrie de la publicité a fait pour les identifiants de cookie et les adresses IP, en disant que ce n'est pas une personne.Je pense que les nouvelles lois européennes ont l'intention de rendre personnelles toute donnée permettant de réidentifier une personne.Je crois vraiment que les numéros de téléphone devraient tomber exactement dans la même catégorie, c'est pourquoi j'ai lié à l'article 4: https://gdpr-info.eu/art-4-gdpr/
Vous essayez d'adapter la situation à la définition.Un «numéro d'identification» est un numéro utilisé pour l'identification.L'article 4 (et ses considérants) contient plus qu'assez pour justifier les numéros de téléphone comme étant des informations personnelles, mais vous n'avez pas besoin d'étendre une définition existante pour y parvenir.
Peut être.Je peux confondre un identifiant utilisé pour une personne et un identifiant pour identifier un téléphone, les deux sont un identifiant, mais pas un "numéro d'identification" selon vous.J'ai du mal à trouver la définition de «numéro d'identification», peut-être que dans une culture basée en anglais, il est très évident que ces mots ne signifient que des choses comme EIN ou SSN.La lecture de la traduction néerlandaise et la définition des mots nous donnent toujours le sentiment qu'un numéro de téléphone conviendrait parfaitement.Il décrit tout nombre pouvant être utilisé pour identifier des personnes.Quand ma femme m'appelle, je peux voir que c'est elle (numéro de téléphone), qui répond à cette définition.
@NielsvanReijmersdal Je peux offrir mon point de vue en tant que locuteur natif anglais: «numéro d'identification» signifie généralement un numéro créé dans le but d'identifier de manière unique une personne ou une chose.Il y a beaucoup de choses que vous pourriez probablement utiliser pour identifier une personne qui ne serait généralement pas appelée numéros d'identification.Par exemple, un numéro de téléphone n'est pas un numéro d'identification parce que son but est de _contacter_ une personne (ou une entreprise ou ainsi de suite), pas de les _identifier_.
Lio Elbammalf
2018-07-04 15:08:15 UTC
view on stackexchange narkive permalink

Oui

Une comparaison de base que j'ai utilisée est avec le nom d'un client, est-ce qu'une information me permet de choisir un individu meilleur ou pire qu'un nom? Vous pouvez avoir des centaines de 'John Smith's mais vous n'aurez jamais qu'un seul individu par numéro de téléphone (ou, tout au plus, une famille) et, par conséquent, cela en fait une information plus identifiante que le nom de la personne .



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...