Pourquoi ne pas appliquer les mêmes règles partout ?

Parce que les identifiants nationaux ont des formats, longueurs et clés différents. Des règles génériques manquent des identifiants réels et déclenchent des faux positifs sur des nombres anodins.

Un SSN américain et un numéro de sécu français, c'est pareil ?

Non : 9 chiffres côté US, 15 chiffres (avec clé) côté France. Les détecter correctement demande des règles spécifiques à chaque pays.

Que se passe-t-il pour un pays non couvert ?

Un bon outil applique un repli raisonnable (familles communes : e-mail, IBAN, carte…) tout en indiquant que la couverture des identifiants nationaux n'est pas encore optimale pour ce pays.

Tous les articles

Fondamentaux6 min de lecture

Données sensibles : États-Unis vs France, ce qui change

SSN, EIN, ZIP côté US ; numéro de sécurité sociale, SIREN, IBAN côté France. Les identifiants sensibles diffèrent par pays — pourquoi la détection doit s'adapter.

Par Alexis de ONYRI3 juin 2026

Les données sensibles ne prennent pas la même forme aux États-Unis et en France : un SSN américain (9 chiffres) n'a rien à voir avec un numéro de sécurité sociale français (15 chiffres), et un EIN ou un ZIP code n'ont pas d'équivalent direct dans les formats français (SIREN, code postal, IBAN). Conséquence pratique : un moteur de détection efficace doit être « country-aware » — adapter ses règles au pays, sinon il rate des identifiants ou multiplie les faux positifs.

Identifiants personnels : des formats différents

États-Unis : SSN (9 chiffres), parfois au format 123-45-6789.
France : numéro de sécurité sociale (15 chiffres, avec clé).
Téléphone, adresse, date : conventions et formats distincts (MM/JJ vs JJ/MM).

Identifiants d'entreprise et fiscaux

États-Unis : EIN (numéro d'employeur), routing/numéro de compte bancaire.
France : SIREN/SIRET, IBAN, identifiant fiscal.
Adresses : ZIP code (5 chiffres) vs code postal français (5 chiffres mais autre logique).

Pourquoi la détection doit être « country-aware »

Appliquer des règles françaises à un texte américain (ou l'inverse) produit deux problèmes : des fuites (un SSN non reconnu n'est pas masqué) et du bruit (des suites de chiffres prises à tort pour un identifiant). Adapter les détecteurs au pays — formats, longueurs, clés de contrôle — améliore à la fois le rappel et la précision.

Au-delà de FR et US

Beaucoup d'organisations opèrent dans plusieurs pays. L'idéal est de pouvoir choisir le pays de détection, avec une couverture solide là où elle existe et un repli raisonnable ailleurs — tout en signalant clairement quand les règles d'un pays ne sont pas encore optimales.

ONYRI Sanitize propose une détection adaptée au pays (règles FR et US complètes : SSN, EIN, ZIP, dates US… côté US ; sécurité sociale, SIREN, IBAN… côté FR), avec la possibilité d'ajouter vos propres règles métier.

Questions fréquentes

Pourquoi ne pas appliquer les mêmes règles partout ?: Parce que les identifiants nationaux ont des formats, longueurs et clés différents. Des règles génériques manquent des identifiants réels et déclenchent des faux positifs sur des nombres anodins.
Un SSN américain et un numéro de sécu français, c'est pareil ?: Non : 9 chiffres côté US, 15 chiffres (avec clé) côté France. Les détecter correctement demande des règles spécifiques à chaque pays.
Que se passe-t-il pour un pays non couvert ?: Un bon outil applique un repli raisonnable (familles communes : e-mail, IBAN, carte…) tout en indiquant que la couverture des identifiants nationaux n'est pas encore optimale pour ce pays.

Sources et références

Donnée personnelle : définition — CNIL
AI Risk Management Framework — NIST
Règlement général sur la protection des données (texte intégral) — EUR-Lex

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt