Classification des données expliquée : publique, interne, confidentielle et restreinte

Un guide pratique sur les quatre niveaux de sensibilité de l'information qui doivent guider la façon dont les équipes stockent, partagent et utilisent les données avec des outils d'IA.

Lecture : 10 min Mis à jour : avril 2026

Pourquoi la classification des données est importante

Toutes les informations ne méritent pas le même niveau de protection. Un article de blog public, une note de planification interne, un contrat client et un secret de production ne doivent pas être traités de la même manière. Voilà l'objectif de la classification des données : étiqueter l'information selon sa sensibilité et son impact commercial afin que les personnes sachent comment la stocker, la partager et la protéger.

Il n'existe pas de schéma de dénomination universel. Certains cadres utilisent des étiquettes telles que Public, General, Confidential, et Très confidentiel. Les modèles gouvernementaux peuvent utiliser des étiquettes complètement différentes. Les noms peuvent changer, mais le but reste le même : comprendre quel dommage pourrait survenir si l'information est exposée, modifiée, perdue ou envoyée au mauvais destinataire.

Règle simple : la classification n'est pas une bureaucratie pour elle-même. C'est un outil de décision rapide pour le travail quotidien, notamment avant de partager des fichiers, d'utiliser des chatbots IA ou de connecter des applications et agents externes.

Le modèle à quatre niveaux

Pour de nombreuses équipes du secteur privé, un modèle simple à quatre niveaux fonctionne bien parce que il est facile à enseigner et pratique à appliquer :

  • Public
  • Internal
  • Confidential
  • Restricted

Ce modèle n'est pas le seul valable, mais il crée une échelle claire de sensibilité. Les gens n'ont pas besoin de mémoriser des dizaines d'étiquettes. Ils ont besoin d'un modèle de travail qu'ils peuvent réellement utiliser lorsqu'ils envoient un fichier, partagent une note ou décident si un chatbot doit voir le contenu.

1. Public

Public l'information peut être partagée en dehors de l'organisation sans provoquer de préjudice significatif à la confidentialité. Les exemples incluent souvent des articles de blog publics, des communiqués de presse, une documentation publiée, des textes marketing approuvés et des pages produit destinées au public.

Public ne signifie pas sans importance. Il nécessite toujours intégrité et relecture. Mais du point de vue de la confidentialité, c'est la classe à risque le plus faible.

2. Interne

Internal l'information est destinée à un usage normal au sein de l'organisation. Si elle fuit, les dommages sont généralement limités, mais elle n'est pas destinée à une diffusion publique. Les politiques internes, comptes rendus de réunions, documents d'intégration, captures d'écran internes, et la documentation de projet ordinaire entrent souvent ici.

C'est là que beaucoup d'équipes deviennent négligentes. « Pas très sensible » ne veut pas dire « bon à partager n'importe où ». Les données internes appartiennent toujours à des systèmes approuvés et nécessitent toujours un certain contrôle d'accès.

3. Confidentiel

Confidential l'information pourrait causer un réel préjudice si elle était exposée aux mauvaises personnes. Les dossiers clients, données des employés, informations financières non publiques, contrats, dossiers juridiques, procédures de sécurité internes, tarifications non publiques et code source privé appartiennent généralement à cette catégorie.

Ce niveau nécessite généralement des restrictions d'accès plus strictes, un meilleur audit et des règles de partage renforcées. Si une divulgation peut nuire aux clients, employés, aux obligations légales, aux revenus ou à la confiance, vous êtes probablement en territoire Confidentiel.

4. Restreint

Restricted l'information est la catégorie de sensibilité la plus élevée dans un modèle privé à quatre niveaux typique. Une exposition pourrait causer de graves dommages commerciaux, juridiques, financiers, opérationnels ou de sécurité.

Les exemples peuvent inclure des secrets de production, identifiants root, clés de chiffrement, architectures de sécurité très sensibles, documents de fusion, secrets commerciaux et les jeux de données réglementés les plus sensibles. Il s'agit d'informations à accès strictement nécessaire avec les contrôles les plus stricts.

La classification concerne l'impact

Une des habitudes les plus utiles en matière de classification des données est d'arrêter de demander : "Cela semble-t-il sensible ?" et de demander plutôt : "Que se passe-t-il si cela est exposé, modifié ou envoyé au mauvais endroit ?"

Un document peut paraître ennuyeux et être pourtant sensible. Un tableur contenant des e-mails clients, une capture d'écran avec des URL internes ou un fichier texte brut contenant des secrets d'API peuvent ne pas sembler dramatiques, mais l'impact d'une exposition peut être élevé. Le contexte compte plus que l'émotion.

Si vous savez déjà que votre principal risque est le partage excessif dans les interfaces de chat, associez ce modèle à Ce que vous ne devriez jamais partager avec les chatbots IA ainsi l'étiquette de classification et les exemples concrets se renforcent mutuellement.

La classification doit guider les règles de gestion

Un système de classification ne fonctionne que si chaque étiquette change le comportement. Les étiquettes sans règles de gestion sont une décoration.

Au minimum, chaque niveau devrait répondre à quelques questions pratiques :

  • Qui peut y accéder ?
  • Où peut-il être stocké ?
  • Peut-il être envoyé par e-mail à l'extérieur ?
  • Peut-il être copié dans des outils IA ?
  • Nécessite-t-il un chiffrement, une approbation ou une surveillance ?

Un modèle de travail simple pourrait ressembler à ceci : Public peut être partagé extérieurement, Interne reste dans des espaces approuvés par l'entreprise, Confidentiel nécessite un accès limité et des restrictions de partage plus strictes, et Restreint est étroitement contrôlé avec des approbations explicites et des attentes de surveillance.

Comment cela aide avec les outils IA

L'un des plus grands bénéfices pratiques de la classification des données est qu'elle fournit aux personnes un premier filtre de décision avant qu'elles ne collent quelque chose dans un chatbot, ne le téléversent vers un agent ou ne l'exposent via un connecteur.

  • Si les données sont Public, le partager avec un outil IA est généralement à faible risque du point de vue de la confidentialité.
  • Si les données sont Internal, elles peuvent encore être acceptables uniquement dans des environnements IA d'entreprise approuvés, pas automatiquement dans des outils personnels ou à destination du public.
  • Si les données sont Confidential, elles ne devraient généralement pas être envoyées par défaut vers des outils IA destinés au grand public et peuvent nécessiter une rédaction ou un flux de travail d'entreprise approuvé.
  • Si les données sont Restricted, l'hypothèse la plus sûre est qu'elles devraient rester hors des outils IA à usage général, sauf s'il existe un processus étroitement contrôlé et explicitement approuvé.

Si vous avez besoin de l'aspect contrôle de la confidentialité de cette décision, lisez Paramètres de confidentialité des chats IA . Si votre préoccupation concerne des actions externes, des outils ou des intégrations, le guide de sécurité sur GPTs, agents et connecteurs MCP ajoute l'aspect frontière de confiance de l'ensemble.

Une méthode pratique pour classer l'information

Lorsque vous ne savez pas comment classer quelque chose, un court test basé sur l'impact suffit en général :

  1. Est-ce destiné au public ? Si oui, c'est probablement Public.
  2. Une divulgation publique causerait-elle peu ou peu de dommages ? Si oui, cela peut être Interne.
  3. L'exposition nuirait-elle aux clients, employés, obligations légales, opérations ou à la confiance ? Si oui, c'est probablement Confidentiel.
  4. L'exposition créerait-elle des dommages graves ou exigerait-elle la protection la plus élevée ? Si oui, c'est probablement Restreint.

Ce processus n'est pas parfait, mais il est bien meilleur que de deviner. L'objectif principal est de faire hésiter les gens avant qu'ils ne partagent des informations dans le mauvais système.

Erreurs courantes

Une erreur fréquente est de traiter toutes les informations non publiques comme également sensibles. Une autre est de surutiliser l'étiquette supérieure jusqu'à ce qu'elle perde son sens. Les deux problèmes affaiblissent la classification.

Une troisième erreur est d'oublier que le contexte change la sensibilité. Une capture d'écran, une transcription ou un tableur apparemment inoffensif peut devenir identifiant une fois qu'il contient des noms, des horodatages, des références internes ou des métadonnées liées.

Important : si vous ne connaissez pas la classification, n'assumez pas que la réponse la plus sûre est « probablement acceptable ». Faites une pause, classifiez-la, puis décidez si le flux de travail reste approprié.

Références officielles et lectures complémentaires

Questions fréquemment posées

Existe-t-il une norme de classification universelle pour toutes les entreprises ?

Non. Différentes organisations utilisent des étiquettes et des cadres juridiques différents. Ce qui importe le plus, c'est que le modèle soit clair, cohérent et lié à de véritables règles de gestion.

Quel est le modèle le plus simple pour un usage quotidien au travail ?

Pour de nombreuses équipes, un modèle à quatre niveaux fonctionne bien : Public, Interne, Confidentiel et Restreint. Il est suffisamment simple pour être retenu et suffisamment pratique pour guider les décisions réelles.

Les informations internes peuvent-elles être collées dans des outils IA ?

Parfois, mais pas automatiquement. Les données internes peuvent encore nécessiter un environnement IA d'entreprise approuvé, un partage limité ou une rédaction avant d'être utilisées avec un chatbot ou un outil connecté.

Quels types de données sont généralement Restreints ?

Les secrets de production, identifiants root, clés de chiffrement, documents juridiques ou stratégiques très sensibles et les jeux de données réglementés les plus protégés appartiennent généralement au niveau de protection le plus élevé.

Pourquoi la classification est-elle utile avant d'utiliser l'IA ?

Parce que cela vous donne un premier filtre de décision. Si vous savez que le contenu est Confidentiel ou Restreint, vous pouvez vous arrêter avant de le coller dans un chatbot grand public et choisir un flux de travail plus sûr à la place.

Quelle est l'erreur de classification la plus courante ?

Traiter toute information non publique de la même manière. Certains documents internes présentent un faible risque, tandis que d'autres informations peuvent entraîner de graves atteintes à la vie privée, des risques juridiques ou des problèmes de sécurité en cas de divulgation.