Le problème des trois réglementations
Un marché mondial basé au Royaume-Uni traitant des documents de vérification des vendeurs provenant de 80 pays fait face à trois cadres réglementaires simultanés : le GDPR pour les vendeurs basés dans l'UE, le LGPD (Lei Geral de Proteção de Dados) pour les vendeurs brésiliens, et la loi indienne sur la protection des données personnelles numériques (DPDP) pour les vendeurs indiens. Chaque cadre désigne différents identifiants nationaux comme des données personnelles protégées nécessitant un traitement spécifique.
CPF brésilien (Cadastro de Pessoas Fisicas) : Le numéro d'identification fiscale individuel à 11 chiffres avec le format XXX.XXX.XXX-XX. Les deux derniers chiffres sont des chiffres de contrôle dérivés d'un algorithme d'arithmétique modulaire spécifique. Le LGPD brésilien considère le CPF comme un identifiant unique pour les personnes physiques — équivalent au SSN en termes de sensibilité. Un outil qui ne connaît pas le format CPF et l'algorithme de somme de contrôle ne peut pas le détecter.
Aadhaar indien : Le numéro d'identité biométrique à 12 chiffres délivré par l'Autorité d'identification unique de l'Inde. Contrairement au CPF et au SSN, les numéros Aadhaar sont attribués de manière aléatoire avec un chiffre de contrôle selon l'algorithme de Verhoeff. La loi DPDP de l'Inde impose des obligations aux organisations traitant des données liées à Aadhaar. La détection nécessite une reconnaissance de format (12 chiffres consécutifs avec vérification de Verhoeff) et une suppression contextuelle (tous les numéros à 12 chiffres ne sont pas des Aadhaar).
SSN américain : Le numéro de sécurité sociale à 9 chiffres avec des contraintes documentées sur le numéro de zone (les 3 premiers chiffres), la structure du numéro de groupe (les 2 chiffres du milieu) et la plage de numéros de série (les 4 derniers chiffres). Les algorithmes de validation sont établis et bien documentés.
Ces trois identifiants ont des formats différents, des algorithmes de validation différents et des contextes réglementaires différents. Un système de conformité traitant simultanément des documents du Brésil, de l'Inde et des États-Unis ne peut pas se fier à un outil unique construit pour le format d'un seul pays.
Le fossé multi-réglementaire en pratique
Le fossé entre la détection du SSN et la couverture mondiale est plus important que la plupart des équipes de conformité ne le réalisent. Les organisations qui vérifient "notre outil PII fonctionne" en le testant sur des données américaines ne découvrent jamais qu'il échoue sur des formats non américains jusqu'à ce qu'un événement réglementaire fasse surface l'échec.
L'article 28 du GDPR exige un accord de traitement des données écrit avec chaque processeur de données. L'EIEA pour l'outil d'anonymisation doit traiter de la question de savoir si l'outil couvre tous les formats d'identifiants présents dans les données traitées. Un EIEA qui liste "détection du SSN" comme le principal contrôle PII pour un ensemble de données contenant des vendeurs brésiliens avec des numéros CPF contient un fossé de conformité documenté — un qui peut être identifié lors d'un audit réglementaire.
La combinaison de l'amende maximale de 4 % du chiffre d'affaires mondial annuel du GDPR, des dispositions équivalentes du LGPD et de l'application émergente du DPDP crée un risque réglementaire cumulatif pour les organisations mondiales qui s'appuient sur des outils de détection de PII d'un seul pays.
Sources :