Grille de classification des données — Pilier 2

Pour qui : PME québécoise 10-75 employés qui veut savoir quelles données peuvent entrer dans un outil IA Niveau minimum recommandé : niveau 1 — Pas de classification Temps de complétion : 60-90 minutes

Pourquoi ce gabarit existe

Le pire scénario en PME n'est pas la malveillance — c'est la méconnaissance. Un employé bien intentionné colle un état financier client dans ChatGPT gratuit parce que personne ne lui a dit que c'était confidentiel. Quatre catégories, parce qu'au-delà personne ne s'en souvient ; des exemples concrets sectoriels, parce que sans exemples une grille est lettre morte.

Le contenu du gabarit

À copier-coller et adapter. Personnalisez les exemples avec ce que vous voyez réellement passer. Pour les sous-secteurs avec contraintes additionnelles (ITAR/aérospatial, HACCP agroalimentaire, donneurs d'ordre publics construction), ajoutez une annexe sectorielle — voir exemples.

Grille de classification des données — [Nom de l'organisation]

En vigueur depuis : ______________________ Prochaine révision : [date + 3 mois]

Les 4 catégories

Cat. Nom Définition (≤ 3 lignes)
1 Publique Information déjà publiée ou diffusable sans restriction. Aucune conséquence si elle se retrouve sur internet.
2 Interne Information utilisée à l'interne, non destinée à diffusion externe. Pas de préjudice grave si elle fuitait, mais on préfère qu'elle reste chez nous.
3 Confidentielle Information dont la divulgation causerait un préjudice à l'organisation, à un client, à un partenaire ou à un employé. Inclut financier, commercial, stratégique.
4 Restreinte / réglementée Information protégée par la loi (Loi 25, NDA client, ITAR/marchandises contrôlées, données de santé). Une fuite entraîne des sanctions légales, contractuelles ou financières graves.

Exemples par catégorie

Cat. Exemples génériques Exemples spécifiques à votre PME (à compléter)
1 Site web, communiqués, brochures, articles publiés • ____ • ____ • ____
2 Notes de réunion internes, procédures opérationnelles, brouillons, communications RH non-nominatives, manuels de formation • ____ • ____ • ____
3 États financiers, plans stratégiques, dossiers RH nominatifs, données client agrégées, offres commerciales en préparation, contrats en négociation • ____ • ____ • ____
4 Renseignements personnels (Loi 25), données client nominatives, dossiers de santé, plans techniques sous NDA, données ITAR/ITS, données soumises au secret professionnel • ____ • ____ • ____

Règle de cas ambigu

Si vous hésitez entre deux catégories, prenez toujours la plus haute. Si l'hésitation persiste, contactez la personne-référence IA — chaque cas ambigu résolu alimente la mise à jour trimestrielle.

Où ranger / afficher

  • Annexée à la politique d'usage acceptable (politique-usage-acceptable.md)
  • Affichée près des postes de travail (version 1 page imprimable)
  • Présentée à chaque nouvel employé dans la première semaine

Annexe sectorielle — manufacturier agroalimentaire (Aliments Lebel)

Donnée typique Catégorie Justification
Plaquette commerciale 1 — Publique Sur le site web et envoyée aux acheteurs retail
Note interne sur procédure HACCP révisée 2 — Interne Pas destinée externe
Cahier des charges qualité d'un client retail 3 — Confidentielle NDA + préjudice client si fuite
Plan HACCP nominatif avec traçabilité produit 4 — Restreinte/réglementée Santé Canada / ACIA + traçabilité allergènes
Fiche technique d'un fournisseur sous NDA 3 — Confidentielle NDA fournisseur
Rapport d'audit qualité retail trimestriel (sortant) 3 — Confidentielle Préjudice si fuite externe

Annexe sectorielle — PME manufacturière ITAR (Pièces & Précision)

Donnée typique Catégorie Justification
Plaquette commerciale 1 — Publique Diffusée en salon
Procédure ISO 9001 interne 2 — Interne Non destinée externe
Soumission client standard 3 — Confidentielle NDA générique
Plan technique client aérospatial sous NDA 4 — Restreinte/réglementée NDA + PI client
Plan technique client ITAR / Marchandises contrôlées 4 + drapeau ITAR Jamais hors Canada, jamais dans un outil non certifié, jamais d'exception
Dossier RH nominatif 4 — Restreinte/réglementée Renseignements personnels Loi 25

Drapeau ITAR : marquage visuel additionnel. Aucun outil IA américain (ChatGPT, Claude, Gemini, Copilot tenant US) n'est permis.

Annexe sectorielle — entrepreneur général en construction (Construction Boudreau)

Donnée typique Catégorie Justification
Brochure et références de projets (avec autorisation client) 1 — Publique Publication marketing
Note de chantier hebdomadaire 2 — Interne Diffusion équipe et chargé de projet
Soumission en préparation (appel d'offres municipal) 3 — Confidentielle Préjudice concurrentiel si fuite avant dépôt
Plans et devis confidentiels reçus du client (sous NDA) 4 — Restreinte/réglementée NDA donneur d'ordre + PI architecte
Tarifs négociés d'un sous-traitant 3 — Confidentielle Préjudice commercial si fuite
Dossier d'incident CNESST 4 — Restreinte/réglementée Renseignements personnels + obligations légales

Comment l'utiliser

  • Atelier de 60 minutes avec 3-4 personnes de fonctions différentes (direction, admin, opérations/terrain, RH) pour identifier les types de données qui circulent. Listez tout, classez ensuite.
  • Pour chaque type identifié, placez-le dans une des 4 catégories. Si débat, prenez la plus haute.
  • Rédigez 3-5 exemples par catégorie spécifiques à votre PME — c'est ce qui rend la grille utilisable.
  • Si contraintes sectorielles (ITAR, HACCP, donneurs d'ordre publics), ajoutez une annexe d'une demi-page.
  • Intégrez à la politique d'usage acceptable (point 4). Diffusez en équipe lors de la session de 30 min prévue.
  • Affichez la version 1 page près des postes, dans Teams, sur l'intranet.

Quand revisiter

À chaque revue trimestrielle (cas ambigus à intégrer). Hors-cadence : changement réglementaire, arrivée d'un client avec exigences contractuelles particulières.

Ressources liées

← Tous les gabarits Pilier 02