Qu'est-ce que la classification des données ?

La classification des données est le processus de categorisation des données en fonction de leur sensibilite, de leur valeur et des exigences réglementaires afin de determiner le niveau de protection approprie. Elle attribue des etiquettes (telles que Public, Interne, Confidentiel, Restreint) aux actifs de données pour que les organisations puissent appliquer des contrôles de sécurité proportionnels a la sensibilite et au risque des données. La classification des données est une pratique fondamentale de sécurité de l'information qui eclaire le contrôle d'accès, le chiffrement, les procedures de traitement des données, la réponse aux incidents et le reporting de conformité. Sans classification, les organisations ne peuvent pas protéger de manière coherente leurs données les plus sensibles ni demontrer aux auditeurs et clients que des contrôles appropries sont en place.

Pourquoi la classification des données est-elle importante pour les entreprises B2B ?

La classification des données est importante pour les entreprises B2B pour plusieurs raisons : conformité — les référentiels comme ISO 27001 (A.5.12, A.5.13), SOC 2, RGPD, NIS2 et DORA exigent des organisations qu'elles identifient et classifient les données pour appliquer des protections appropriees ; sécurité — la classification permet aux organisations de concentrer les ressources de sécurité sur les données les plus sensibles plutot que d'appliquer des contrôles uniformes a tout ; contrôle d'accès — la classification oriente les décisions de contrôle d'accès (qui peut acceder a quelles données a quel niveau de classification) ; réponse aux incidents — la classification determine la severite et les exigences de signalement lorsque des données sont compromises ; confiance des acheteurs — les acheteurs entreprises attendent des fournisseurs qu'ils demontrent un schema de classification mature dans le cadre de la diligence raisonnable ; et efficacite des couts — des contrôles appropries pour chaque niveau de classification evitent de sur-protéger les données a faible sensibilite ou de sous-protéger les données a haute sensibilite.

Quels sont les niveaux standard de classification des données ?

Bien que les schemas de classification varient selon les organisations, un schema courant a quatre niveaux comprend : Public — informations destinees a la consommation publique sans exigences de confidentialité (ex. supports marketing, contenu publie) ; Interne — informations a usage interne non destinees a la divulgation publique mais dont l'exposition causerait un prejudice minimal (ex. politiques internes, organigrammes) ; Confidentiel — informations sensibles dont l'exposition pourrait causer un prejudice significatif (ex. données clients, registres financiers, strategies commerciales, code source) ; et Restreint — les informations les plus sensibles necessitant le plus haut niveau de protection (ex. cles de chiffrement, identifiants d'authentification, données personnelles reglementees, secrets commerciaux). Certaines organisations utilisent trois niveaux (supprimant soit Interne soit Restreint), tandis que d'autres utilisent cinq niveaux ou plus avec une granularite supplementaire.

Quel est le lien entre la classification des données et ISO 27001 ?

ISO 27001 aborde la classification des données a travers plusieurs contrôles de l'Annexe A : A.5.12 (Classification de l'information) exige des organisations qu'elles classifient l'information selon les besoins de sécurité de l'information bases sur les exigences de confidentialité, d'integrite et de disponibilite ; A.5.13 (Etiquetage de l'information) exige un ensemble de procedures appropriees pour l'etiquetage de l'information conformement au schema de classification ; A.5.10 (Utilisation acceptable de l'information et des autres actifs associes) definit les regles d'utilisation acceptable de l'information en fonction de sa classification ; et A.5.14 (Transfert d'information) exige des politiques de transfert securise basees sur la classification. Le schema de classification doit etre documente, communique a tout le personnel et applique de manière coherente dans toute l'organisation.

Quel est le lien entre la classification des données et le RGPD ?

Le RGPD ne prescrit pas de schema de classification specifique, mais il exige implicitement la classification en distinguant des catégories de données personnelles : les données personnelles standard (nom, email, adresse) soumises aux protections generales du RGPD ; les données de catégories speciales (Article 9 — données de sante, données biometriques, origine raciale/ethnique, opinions politiques, croyances religieuses, appartenance syndicale, données genetiques, orientation sexuelle) soumises a des restrictions supplementaires et necessitant un consentement explicite ou une autre base juridique ; les données relatives aux infractions penales (Article 10) soumises a des restrictions de traitement specifiques ; et les données des enfants soumises a des protections supplementaires. Les organisations doivent classifier les données personnelles pour appliquer le niveau de protection correct et remplir les exigences de notification de violation de données (Articles 33-34) qui dependent de la sensibilite des données impliquees.

Comment les organisations doivent-elles gerer l'etiquetage des données ?

L'etiquetage des données est la mise en oeuvre pratique de la classification. Les approches efficaces d'etiquetage comprennent : l'etiquetage par metadonnees — integration des etiquettes de classification dans les metadonnees des documents et les proprietes de fichiers ; le marquage visuel — en-tetes, pieds de page ou filigranes sur les documents indiquant le niveau de classification ; la classification des emails — etiquettes de classification dans les en-tetes ou l'objet des emails ; la classification automatisee — utilisation d'outils DLP et d'IA pour classifier automatiquement les données en fonction de l'analyse de contenu ; l'etiquetage des bases de données — metadonnees de classification dans les schemas de bases de données et les catalogues de données ; les réponses API — en-tetes de classification dans les réponses API pour indiquer la sensibilite des données ; et les interfaces utilisateur — indicateurs clairs montrant la classification des données affichees.

Quels contrôles de sécurité doivent etre appliques a chaque niveau de classification ?

Les contrôles de sécurité doivent etre proportionnels au niveau de classification : les données publiques nécessitent des contrôles d'integrite de base (empecher la modification non autorisee) mais aucun contrôle de confidentialité ; les données internes nécessitent un contrôle d'accès (utilisateurs authentifies uniquement), un chiffrement standard en transit et des procedures de traitement de base ; les données confidentielles nécessitent un contrôle d'accès strict (besoin d'en connaitre), un chiffrement au repos et en transit, une journalisation d'audit, une destruction securisee et des restrictions de partage et d'emplacement de stockage ; et les données restreintes nécessitent les contrôles les plus forts incluant l'authentification multifacteur, des modules de sécurité materielle pour la gestion des cles, des pistes d'audit completes, un stockage chiffre avec journalisation des accès, une application stricte du besoin d'en connaitre et des procedures de traitement specifiques pour la creation, le transfert, le stockage et la destruction.

A quelle frequence la classification des données doit-elle etre revue ?

La classification des données doit etre revue : regulierement selon un calendrier défini — au moins annuellement pour tous les actifs de données classifies ; lorsque les données changent — la classification peut necessiter un changement lorsque les données sont agregees, anonymisees ou combinees avec d'autres données ; lorsque les reglementations changent — de nouvelles exigences réglementaires peuvent necessiter une reclassification ; lorsque le contexte commercial change — des données qui etaient Confidentielles lors d'un lancement de produit peuvent devenir Publiques apres le lancement ; lorsque les schemas d'accès changent — les changements dans les besoins d'accès peuvent indiquer que la classification doit etre mise à jour ; et apres les incidents de sécurité — les incidents impliquant des données peuvent reveler que les niveaux de classification etaient inappropries. La bonne pratique est d'integrer la revue de classification dans les processus de gouvernance des données existants et de mener des revues ciblees lorsque des événements declencheurs specifiques surviennent.

Classification des données : niveaux, référentiels et mise en oeuvre

Published 7 mars 2026

By Emre Salmanoglu

Classification des données : niveaux, référentiels et mise en oeuvre

Guide pratique de la classification des données — definition, niveaux de classification, construction d'un schema de classification, exigences réglementaires selon ISO 27001, SOC 2, NIS2, RGPD et DORA, et comment les entreprises B2B peuvent utiliser la classification des données pour ameliorer la sécurité et demontrer leur conformité.

Classification des donnees

Protection des donnees

Securite de l'information

ISO 27001

RGPD

Conformite

Classification des données : niveaux, référentiels et mise en oeuvre

La classification des données est le processus de categorisation des données en fonction de leur sensibilite, de leur valeur et des exigences réglementaires afin de determiner le niveau de protection approprie. C'est une pratique fondamentale de sécurité de l'information qui permet aux organisations d'appliquer les bons contrôles de sécurité aux bonnes données.

Pour les entreprises B2B, la classification des données est a la fois une exigence de conformité et un signal de confiance. ISO 27001, SOC 2, RGPD, NIS2 et DORA exigent tous des organisations qu'elles identifient, classifient et protegent de manière appropriee leurs actifs informationnels. Les acheteurs entreprises attendent des fournisseurs qu'ils demontrent un schema de classification clair et des pratiques de traitement des données coherentes.

Ce guide couvre la definition de la classification des données, les niveaux standard de classification, la mise en oeuvre d'un schema de classification, les exigences réglementaires et comment la classification soutient les objectifs plus larges de sécurité et de conformité.

Niveaux de classification

Schema standard a quatre niveaux

Niveau	Description	Exemples	Exigences de traitement
Public	Informations destinees a la consommation publique	Supports marketing, articles de blog, communiques de presse	Contrôles d'integrite uniquement ; aucune exigence de confidentialité
Interne	Informations a usage interne, non destinees a la divulgation publique	Politiques internes, organigrammes, comptes-rendus de reunions	Accès authentifie, chiffrement de base en transit
Confidentiel	Informations sensibles dont l'exposition pourrait causer un prejudice significatif	Données clients, registres financiers, code source, contrats	Accès sur le besoin d'en connaitre, chiffrement au repos et en transit, journalisation d'audit
Restreint	Les informations les plus sensibles necessitant la plus haute protection	Cles de chiffrement, identifiants, données personnelles reglementees, secrets commerciaux	MFA, pistes d'audit completes, stockage chiffre, procedures de traitement strictes

Critères de décision de classification

Critere	Question a poser
Impact sur la confidentialité	Quel prejudice resulterait de la divulgation de ces données a des parties non autorisees ?
Impact sur l'integrite	Quel prejudice resulterait de la modification de ces données sans autorisation ?
Impact sur la disponibilite	Quel prejudice resulterait de l'indisponibilite de ces données ?
Exigences réglementaires	Ces données sont-elles soumises a des protections réglementaires specifiques (RGPD, DORA, NIS2) ?
Obligations contractuelles	Les contrats clients imposent-ils des exigences de traitement specifiques ?
Valeur commerciale	A quel point ces données sont-elles critiques pour les operations et l'avantage concurrentiel ?

Types de données et classification

Categories courantes de données

Type de données	Classification typique	Contexte réglementaire
Données personnelles (standard)	Confidentiel	RGPD Article 6
Données personnelles de catégories speciales	Restreint	RGPD Article 9
Registres financiers	Confidentiel	DORA, SOX, reglementations locales
Contrats clients	Confidentiel	Obligations contractuelles
Code source	Confidentiel	Protection de la propriete intellectuelle
Cles de chiffrement et identifiants	Restreint	ISO 27001 A.8.24
Journaux d'audit	Confidentiel	ISO 27001, SOC 2, DORA
Supports marketing	Public	N/A
Politiques internes	Interne	ISO 27001 contrôle documentaire
Rapports d'incidents	Confidentiel	NIS2 art. 23, DORA art. 19
Évaluations des risques	Confidentiel	ISO 27001, NIS2, DORA
Données RH des employes	Confidentiel/Restreint	RGPD, droit du travail local

Contrôles de sécurité par niveau de classification

Matrice des contrôles

Contrôle	Public	Interne	Confidentiel	Restreint
Contrôle d'accès	Aucun	Utilisateurs authentifies	Besoin d'en connaitre, base sur les roles	Besoin d'en connaitre, MFA requis
Chiffrement en transit	Optionnel (HTTPS)	Requis (TLS)	Requis (TLS 1.2+)	Requis (TLS 1.3, mutual TLS)
Chiffrement au repos	Non requis	Recommande	Requis (AES-256)	Requis (AES-256, gestion des cles par HSM)
Journalisation d'audit	Non requise	Journalisation de base des accès	Journalisation complete des accès et modifications	Journalisation complete avec protection anti-falsification
Prevention de la perte de données	Non requise	Surveillance	Blocage actif	Blocage actif avec alertes
Sauvegarde	Standard	Standard	Sauvegardes chiffrees	Sauvegardes chiffrees, gestion des cles separee
Elimination	Suppression standard	Suppression securisee	Destruction certifiee	Destruction certifiee avec temoin
Partage	Sans restriction	Interne uniquement	Destinataires approuves avec NDA	Personnes nommees avec approbation explicite

Mise en oeuvre de la classification des données

Approche etape par etape

Definir le schema de classification — Etablir des niveaux de classification clairs avec des definitions, des exemples et des exigences de traitement
Creer un inventaire des données — Identifier tous les actifs de données a travers les systemes, bases de données, espaces de stockage et applications SaaS
Classifier les données existantes — Attribuer des niveaux de classification a tous les actifs de données identifies selon les critères définis
Mettre en oeuvre l'etiquetage — Appliquer des etiquettes de classification via les metadonnees, les marquages visuels et les configurations systeme
Definir les procedures de traitement — Documenter comment chaque niveau de classification doit etre cree, stocke, transmis, partage et elimine
Configurer les contrôles — Mettre en oeuvre les contrôles techniques (contrôle d'accès, chiffrement, DLP) alignes sur les niveaux de classification
Former les employes — S'assurer que tout le personnel comprend le schema de classification et ses responsabilites
Surveiller et revoir — Revoir regulierement les classifications, surveiller la conformité et mettre à jour si nécessaire

Methodes d'etiquetage des données

Methode	Application	Automatisation
Etiquetage par metadonnees	Proprietes des documents, metadonnees des fichiers	Semi-automatise (outils DLP, systemes de gestion documentaire)
Marquage visuel	En-tetes, pieds de page, filigranes sur les documents	Automatise (modèles, gestion documentaire)
En-tetes d'email	Etiquettes de classification dans les en-tetes ou l'objet des emails	Automatise (outils de sécurité email)
Schemas de base de données	Colonnes de classification dans les tables de base de données	Manuel ou automatise (catalogues de données)
Analyse de contenu DLP	Classification automatique basee sur les motifs de contenu	Automatise (DLP, classification basee sur l'IA)
En-tetes de réponse API	Metadonnees de classification dans les réponses API	Automatise (configuration de la passerelle API)

Exigences de conformité

Correspondance réglementaire

Referentiel	Exigence	Alignement avec la classification
ISO 27001	A.5.12	Classification de l'information selon les besoins de sécurité
ISO 27001	A.5.13	Etiquetage de l'information selon la classification
ISO 27001	A.5.10	Regles d'utilisation acceptable basees sur la classification
ISO 27001	A.5.14	Transfert securise base sur la classification
SOC 2	CC6.1	Contrôles d'accès logique bases sur la sensibilite des données
SOC 2	CC6.7	Restriction des données basee sur la classification
RGPD	Art. 5, 9, 32	Protection des données proportionnelle a la sensibilite
NIS2	Art. 21(2)(d)	Sécurité de la chaîne d'approvisionnement incluant la classification des données
DORA	Art. 9	Classification des actifs TIC et de l'information

Preuves d'audit

Preuve	Description
Politique de classification	Politique documentee definissant les niveaux de classification, critères et exigences de traitement
Inventaire des données	Registre des actifs de données avec niveaux de classification attribues
Procedures d'etiquetage	Documentation de la manière dont les données sont etiquetees et marquees
Procedures de traitement	Procedures documentees pour chaque niveau de classification
Registres de formation	Preuves que les employes sont formes au schema de classification
Contrôles d'accès	Preuves de configuration montrant les contrôles d'accès alignes sur la classification
Configuration DLP	Regles de prevention de la perte de données configurees par niveau de classification
Dossiers de revue	Preuves de revues et mises à jour periodiques de la classification

Erreurs courantes

Erreur	Consequence	Meilleure approche
Trop de niveaux	Confusion, application incoherente	Commencer avec 3-4 niveaux ; ajouter de la granularite uniquement si nécessaire
Pas d'inventaire des données	Impossible de classifier ce qu'on ne connait pas	Completer l'inventaire des données avant de classifier
Classification sans contrôles	Les etiquettes existent mais la protection ne suit pas	Cartographier les contrôles a chaque niveau de classification
Exercice ponctuel	La classification devient rapidement obsolete	Integrer dans les processus de gouvernance des données
Sur-classification	Tout marque Confidentiel ; les contrôles perdent leur sens	Appliquer la classification en fonction du risque reel
Pas de formation	Les employes ne comprennent pas le schema	Inclure la classification dans la formation de sensibilisation à la sécurité
Ignorer les données non structurees	Fichiers, emails et documents non classifies	Inclure tous les types de données dans le programme de classification

Comment Orbiq accompagne la classification des données

Trust Center — Publiez votre posture de classification des données — schema de classification, procedures de traitement et mesures de protection en libre-service pour les acheteurs
Surveillance continue — Suivez la conformité de la classification des données a travers les exigences ISO 27001, SOC 2, RGPD et DORA
Questionnaires alimentes par l'IA — Repondez automatiquement aux questions sur la classification et le traitement des données des acheteurs entreprises
Gestion des preuves — Centralisez les politiques de classification, les inventaires de données et les procedures de traitement pour les auditeurs

Pour aller plus loin

Politique de sécurité de l'information — Politiques definissant les exigences de classification
Contrôle d'accès — Gestion des accès orientee par les niveaux de classification
Conformité RGPD — Exigences de protection des données et de classification du RGPD
Souverainete des données — Considerations de residence et de souverainete des données pour les données classifiees
Automatisation de la conformité — Automatisation des contrôles bases sur la classification

Ce guide est maintenu par l'équipe Orbiq. Derniere mise à jour : mars 2026.