Qu'est-ce que la classification des donnees ?

La classification des donnees est le processus de categorisation des donnees en fonction de leur sensibilite, de leur valeur et des exigences reglementaires afin de determiner le niveau de protection approprie. Elle attribue des etiquettes (telles que Public, Interne, Confidentiel, Restreint) aux actifs de donnees pour que les organisations puissent appliquer des controles de securite proportionnels a la sensibilite et au risque des donnees. La classification des donnees est une pratique fondamentale de securite de l'information qui eclaire le controle d'acces, le chiffrement, les procedures de traitement des donnees, la reponse aux incidents et le reporting de conformite. Sans classification, les organisations ne peuvent pas proteger de maniere coherente leurs donnees les plus sensibles ni demontrer aux auditeurs et clients que des controles appropries sont en place.

Pourquoi la classification des donnees est-elle importante pour les entreprises B2B ?

La classification des donnees est importante pour les entreprises B2B pour plusieurs raisons : conformite — les referentiels comme ISO 27001 (A.5.12, A.5.13), SOC 2, RGPD, NIS2 et DORA exigent des organisations qu'elles identifient et classifient les donnees pour appliquer des protections appropriees ; securite — la classification permet aux organisations de concentrer les ressources de securite sur les donnees les plus sensibles plutot que d'appliquer des controles uniformes a tout ; controle d'acces — la classification oriente les decisions de controle d'acces (qui peut acceder a quelles donnees a quel niveau de classification) ; reponse aux incidents — la classification determine la severite et les exigences de signalement lorsque des donnees sont compromises ; confiance des acheteurs — les acheteurs entreprises attendent des fournisseurs qu'ils demontrent un schema de classification mature dans le cadre de la diligence raisonnable ; et efficacite des couts — des controles appropries pour chaque niveau de classification evitent de sur-proteger les donnees a faible sensibilite ou de sous-proteger les donnees a haute sensibilite.

Quels sont les niveaux standard de classification des donnees ?

Bien que les schemas de classification varient selon les organisations, un schema courant a quatre niveaux comprend : Public — informations destinees a la consommation publique sans exigences de confidentialite (ex. supports marketing, contenu publie) ; Interne — informations a usage interne non destinees a la divulgation publique mais dont l'exposition causerait un prejudice minimal (ex. politiques internes, organigrammes) ; Confidentiel — informations sensibles dont l'exposition pourrait causer un prejudice significatif (ex. donnees clients, registres financiers, strategies commerciales, code source) ; et Restreint — les informations les plus sensibles necessitant le plus haut niveau de protection (ex. cles de chiffrement, identifiants d'authentification, donnees personnelles reglementees, secrets commerciaux). Certaines organisations utilisent trois niveaux (supprimant soit Interne soit Restreint), tandis que d'autres utilisent cinq niveaux ou plus avec une granularite supplementaire.

Quel est le lien entre la classification des donnees et ISO 27001 ?

ISO 27001 aborde la classification des donnees a travers plusieurs controles de l'Annexe A : A.5.12 (Classification de l'information) exige des organisations qu'elles classifient l'information selon les besoins de securite de l'information bases sur les exigences de confidentialite, d'integrite et de disponibilite ; A.5.13 (Etiquetage de l'information) exige un ensemble de procedures appropriees pour l'etiquetage de l'information conformement au schema de classification ; A.5.10 (Utilisation acceptable de l'information et des autres actifs associes) definit les regles d'utilisation acceptable de l'information en fonction de sa classification ; et A.5.14 (Transfert d'information) exige des politiques de transfert securise basees sur la classification. Le schema de classification doit etre documente, communique a tout le personnel et applique de maniere coherente dans toute l'organisation.

Quel est le lien entre la classification des donnees et le RGPD ?

Le RGPD ne prescrit pas de schema de classification specifique, mais il exige implicitement la classification en distinguant des categories de donnees personnelles : les donnees personnelles standard (nom, email, adresse) soumises aux protections generales du RGPD ; les donnees de categories speciales (Article 9 — donnees de sante, donnees biometriques, origine raciale/ethnique, opinions politiques, croyances religieuses, appartenance syndicale, donnees genetiques, orientation sexuelle) soumises a des restrictions supplementaires et necessitant un consentement explicite ou une autre base juridique ; les donnees relatives aux infractions penales (Article 10) soumises a des restrictions de traitement specifiques ; et les donnees des enfants soumises a des protections supplementaires. Les organisations doivent classifier les donnees personnelles pour appliquer le niveau de protection correct et remplir les exigences de notification de violation de donnees (Articles 33-34) qui dependent de la sensibilite des donnees impliquees.

Comment les organisations doivent-elles gerer l'etiquetage des donnees ?

L'etiquetage des donnees est la mise en oeuvre pratique de la classification. Les approches efficaces d'etiquetage comprennent : l'etiquetage par metadonnees — integration des etiquettes de classification dans les metadonnees des documents et les proprietes de fichiers ; le marquage visuel — en-tetes, pieds de page ou filigranes sur les documents indiquant le niveau de classification ; la classification des emails — etiquettes de classification dans les en-tetes ou l'objet des emails ; la classification automatisee — utilisation d'outils DLP et d'IA pour classifier automatiquement les donnees en fonction de l'analyse de contenu ; l'etiquetage des bases de donnees — metadonnees de classification dans les schemas de bases de donnees et les catalogues de donnees ; les reponses API — en-tetes de classification dans les reponses API pour indiquer la sensibilite des donnees ; et les interfaces utilisateur — indicateurs clairs montrant la classification des donnees affichees.

Quels controles de securite doivent etre appliques a chaque niveau de classification ?

Les controles de securite doivent etre proportionnels au niveau de classification : les donnees publiques necessitent des controles d'integrite de base (empecher la modification non autorisee) mais aucun controle de confidentialite ; les donnees internes necessitent un controle d'acces (utilisateurs authentifies uniquement), un chiffrement standard en transit et des procedures de traitement de base ; les donnees confidentielles necessitent un controle d'acces strict (besoin d'en connaitre), un chiffrement au repos et en transit, une journalisation d'audit, une destruction securisee et des restrictions de partage et d'emplacement de stockage ; et les donnees restreintes necessitent les controles les plus forts incluant l'authentification multifacteur, des modules de securite materielle pour la gestion des cles, des pistes d'audit completes, un stockage chiffre avec journalisation des acces, une application stricte du besoin d'en connaitre et des procedures de traitement specifiques pour la creation, le transfert, le stockage et la destruction.

A quelle frequence la classification des donnees doit-elle etre revue ?

La classification des donnees doit etre revue : regulierement selon un calendrier defini — au moins annuellement pour tous les actifs de donnees classifies ; lorsque les donnees changent — la classification peut necessiter un changement lorsque les donnees sont agregees, anonymisees ou combinees avec d'autres donnees ; lorsque les reglementations changent — de nouvelles exigences reglementaires peuvent necessiter une reclassification ; lorsque le contexte commercial change — des donnees qui etaient Confidentielles lors d'un lancement de produit peuvent devenir Publiques apres le lancement ; lorsque les schemas d'acces changent — les changements dans les besoins d'acces peuvent indiquer que la classification doit etre mise a jour ; et apres les incidents de securite — les incidents impliquant des donnees peuvent reveler que les niveaux de classification etaient inappropries. La bonne pratique est d'integrer la revue de classification dans les processus de gouvernance des donnees existants et de mener des revues ciblees lorsque des evenements declencheurs specifiques surviennent.

Classification des donnees : niveaux, referentiels et mise en oeuvre

Published 7 mars 2026

By Emre Salmanoglu

Classification des donnees : niveaux, referentiels et mise en oeuvre

Guide pratique de la classification des donnees — definition, niveaux de classification, construction d'un schema de classification, exigences reglementaires selon ISO 27001, SOC 2, NIS2, RGPD et DORA, et comment les entreprises B2B peuvent utiliser la classification des donnees pour ameliorer la securite et demontrer leur conformite.

Classification des donnees

Protection des donnees

Securite de l'information

ISO 27001

RGPD

Conformite

Classification des donnees : niveaux, referentiels et mise en oeuvre

La classification des donnees est le processus de categorisation des donnees en fonction de leur sensibilite, de leur valeur et des exigences reglementaires afin de determiner le niveau de protection approprie. C'est une pratique fondamentale de securite de l'information qui permet aux organisations d'appliquer les bons controles de securite aux bonnes donnees.

Pour les entreprises B2B, la classification des donnees est a la fois une exigence de conformite et un signal de confiance. ISO 27001, SOC 2, RGPD, NIS2 et DORA exigent tous des organisations qu'elles identifient, classifient et protegent de maniere appropriee leurs actifs informationnels. Les acheteurs entreprises attendent des fournisseurs qu'ils demontrent un schema de classification clair et des pratiques de traitement des donnees coherentes.

Ce guide couvre la definition de la classification des donnees, les niveaux standard de classification, la mise en oeuvre d'un schema de classification, les exigences reglementaires et comment la classification soutient les objectifs plus larges de securite et de conformite.

Niveaux de classification

Schema standard a quatre niveaux

Niveau	Description	Exemples	Exigences de traitement
Public	Informations destinees a la consommation publique	Supports marketing, articles de blog, communiques de presse	Controles d'integrite uniquement ; aucune exigence de confidentialite
Interne	Informations a usage interne, non destinees a la divulgation publique	Politiques internes, organigrammes, comptes-rendus de reunions	Acces authentifie, chiffrement de base en transit
Confidentiel	Informations sensibles dont l'exposition pourrait causer un prejudice significatif	Donnees clients, registres financiers, code source, contrats	Acces sur le besoin d'en connaitre, chiffrement au repos et en transit, journalisation d'audit
Restreint	Les informations les plus sensibles necessitant la plus haute protection	Cles de chiffrement, identifiants, donnees personnelles reglementees, secrets commerciaux	MFA, pistes d'audit completes, stockage chiffre, procedures de traitement strictes

Criteres de decision de classification

Critere	Question a poser
Impact sur la confidentialite	Quel prejudice resulterait de la divulgation de ces donnees a des parties non autorisees ?
Impact sur l'integrite	Quel prejudice resulterait de la modification de ces donnees sans autorisation ?
Impact sur la disponibilite	Quel prejudice resulterait de l'indisponibilite de ces donnees ?
Exigences reglementaires	Ces donnees sont-elles soumises a des protections reglementaires specifiques (RGPD, DORA, NIS2) ?
Obligations contractuelles	Les contrats clients imposent-ils des exigences de traitement specifiques ?
Valeur commerciale	A quel point ces donnees sont-elles critiques pour les operations et l'avantage concurrentiel ?

Types de donnees et classification

Categories courantes de donnees

Type de donnees	Classification typique	Contexte reglementaire
Donnees personnelles (standard)	Confidentiel	RGPD Article 6
Donnees personnelles de categories speciales	Restreint	RGPD Article 9
Registres financiers	Confidentiel	DORA, SOX, reglementations locales
Contrats clients	Confidentiel	Obligations contractuelles
Code source	Confidentiel	Protection de la propriete intellectuelle
Cles de chiffrement et identifiants	Restreint	ISO 27001 A.8.24
Journaux d'audit	Confidentiel	ISO 27001, SOC 2, DORA
Supports marketing	Public	N/A
Politiques internes	Interne	ISO 27001 controle documentaire
Rapports d'incidents	Confidentiel	NIS2 art. 23, DORA art. 19
Evaluations des risques	Confidentiel	ISO 27001, NIS2, DORA
Donnees RH des employes	Confidentiel/Restreint	RGPD, droit du travail local

Controles de securite par niveau de classification

Matrice des controles

Controle	Public	Interne	Confidentiel	Restreint
Controle d'acces	Aucun	Utilisateurs authentifies	Besoin d'en connaitre, base sur les roles	Besoin d'en connaitre, MFA requis
Chiffrement en transit	Optionnel (HTTPS)	Requis (TLS)	Requis (TLS 1.2+)	Requis (TLS 1.3, mutual TLS)
Chiffrement au repos	Non requis	Recommande	Requis (AES-256)	Requis (AES-256, gestion des cles par HSM)
Journalisation d'audit	Non requise	Journalisation de base des acces	Journalisation complete des acces et modifications	Journalisation complete avec protection anti-falsification
Prevention de la perte de donnees	Non requise	Surveillance	Blocage actif	Blocage actif avec alertes
Sauvegarde	Standard	Standard	Sauvegardes chiffrees	Sauvegardes chiffrees, gestion des cles separee
Elimination	Suppression standard	Suppression securisee	Destruction certifiee	Destruction certifiee avec temoin
Partage	Sans restriction	Interne uniquement	Destinataires approuves avec NDA	Personnes nommees avec approbation explicite

Mise en oeuvre de la classification des donnees

Approche etape par etape

Definir le schema de classification — Etablir des niveaux de classification clairs avec des definitions, des exemples et des exigences de traitement
Creer un inventaire des donnees — Identifier tous les actifs de donnees a travers les systemes, bases de donnees, espaces de stockage et applications SaaS
Classifier les donnees existantes — Attribuer des niveaux de classification a tous les actifs de donnees identifies selon les criteres definis
Mettre en oeuvre l'etiquetage — Appliquer des etiquettes de classification via les metadonnees, les marquages visuels et les configurations systeme
Definir les procedures de traitement — Documenter comment chaque niveau de classification doit etre cree, stocke, transmis, partage et elimine
Configurer les controles — Mettre en oeuvre les controles techniques (controle d'acces, chiffrement, DLP) alignes sur les niveaux de classification
Former les employes — S'assurer que tout le personnel comprend le schema de classification et ses responsabilites
Surveiller et revoir — Revoir regulierement les classifications, surveiller la conformite et mettre a jour si necessaire

Methodes d'etiquetage des donnees

Methode	Application	Automatisation
Etiquetage par metadonnees	Proprietes des documents, metadonnees des fichiers	Semi-automatise (outils DLP, systemes de gestion documentaire)
Marquage visuel	En-tetes, pieds de page, filigranes sur les documents	Automatise (modeles, gestion documentaire)
En-tetes d'email	Etiquettes de classification dans les en-tetes ou l'objet des emails	Automatise (outils de securite email)
Schemas de base de donnees	Colonnes de classification dans les tables de base de donnees	Manuel ou automatise (catalogues de donnees)
Analyse de contenu DLP	Classification automatique basee sur les motifs de contenu	Automatise (DLP, classification basee sur l'IA)
En-tetes de reponse API	Metadonnees de classification dans les reponses API	Automatise (configuration de la passerelle API)

Exigences de conformite

Correspondance reglementaire

Referentiel	Exigence	Alignement avec la classification
ISO 27001	A.5.12	Classification de l'information selon les besoins de securite
ISO 27001	A.5.13	Etiquetage de l'information selon la classification
ISO 27001	A.5.10	Regles d'utilisation acceptable basees sur la classification
ISO 27001	A.5.14	Transfert securise base sur la classification
SOC 2	CC6.1	Controles d'acces logique bases sur la sensibilite des donnees
SOC 2	CC6.7	Restriction des donnees basee sur la classification
RGPD	Art. 5, 9, 32	Protection des donnees proportionnelle a la sensibilite
NIS2	Art. 21(2)(d)	Securite de la chaine d'approvisionnement incluant la classification des donnees
DORA	Art. 9	Classification des actifs TIC et de l'information

Preuves d'audit

Preuve	Description
Politique de classification	Politique documentee definissant les niveaux de classification, criteres et exigences de traitement
Inventaire des donnees	Registre des actifs de donnees avec niveaux de classification attribues
Procedures d'etiquetage	Documentation de la maniere dont les donnees sont etiquetees et marquees
Procedures de traitement	Procedures documentees pour chaque niveau de classification
Registres de formation	Preuves que les employes sont formes au schema de classification
Controles d'acces	Preuves de configuration montrant les controles d'acces alignes sur la classification
Configuration DLP	Regles de prevention de la perte de donnees configurees par niveau de classification
Dossiers de revue	Preuves de revues et mises a jour periodiques de la classification

Erreurs courantes

Erreur	Consequence	Meilleure approche
Trop de niveaux	Confusion, application incoherente	Commencer avec 3-4 niveaux ; ajouter de la granularite uniquement si necessaire
Pas d'inventaire des donnees	Impossible de classifier ce qu'on ne connait pas	Completer l'inventaire des donnees avant de classifier
Classification sans controles	Les etiquettes existent mais la protection ne suit pas	Cartographier les controles a chaque niveau de classification
Exercice ponctuel	La classification devient rapidement obsolete	Integrer dans les processus de gouvernance des donnees
Sur-classification	Tout marque Confidentiel ; les controles perdent leur sens	Appliquer la classification en fonction du risque reel
Pas de formation	Les employes ne comprennent pas le schema	Inclure la classification dans la formation de sensibilisation a la securite
Ignorer les donnees non structurees	Fichiers, emails et documents non classifies	Inclure tous les types de donnees dans le programme de classification

Comment Orbiq accompagne la classification des donnees

Trust Center — Publiez votre posture de classification des donnees — schema de classification, procedures de traitement et mesures de protection en libre-service pour les acheteurs
Surveillance continue — Suivez la conformite de la classification des donnees a travers les exigences ISO 27001, SOC 2, RGPD et DORA
Questionnaires alimentes par l'IA — Repondez automatiquement aux questions sur la classification et le traitement des donnees des acheteurs entreprises
Gestion des preuves — Centralisez les politiques de classification, les inventaires de donnees et les procedures de traitement pour les auditeurs

Pour aller plus loin

Politique de securite de l'information — Politiques definissant les exigences de classification
Controle d'acces — Gestion des acces orientee par les niveaux de classification
Conformite RGPD — Exigences de protection des donnees et de classification du RGPD
Souverainete des donnees — Considerations de residence et de souverainete des donnees pour les donnees classifiees
Automatisation de la conformite — Automatisation des controles bases sur la classification

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.