What data should never be entered into an AI tool?

At minimum, the following data categories should never be entered into any AI tool unless the tool has been specifically approved for that data type with appropriate controls in place: personally identifiable information (PII) about customers, employees, or other individuals; financial account data, payment card data, or banking details; healthcare or medical records; credentials, passwords, API keys, or authentication tokens; legally privileged communications (attorney-client, doctor-patient); trade secrets, unreleased product plans, M&A information; and source code for systems handling sensitive data. The key question is: if this data appeared in the AI provider's training set and was reflected in responses to other users, what would the consequence be? If the answer is a regulatory violation, legal liability, or material business harm, the data should not enter an external AI tool.

How do I apply data classification to AI tools in practice?

Practical implementation requires three layers working together. First, the policy layer: a clear, documented classification scheme with explicit AI tool rules for each level, written in plain language employees can apply without ambiguity. Second, the training layer: regular employee training using realistic examples of data employees actually encounter, with decision scenarios that build classification intuition. Third, the technical layer: DLP rules that detect classification-relevant data patterns (credit card numbers, NHS numbers, company financial metrics) being submitted to AI services, and an AI security platform that monitors all AI tool usage and flags policy violations. The technical layer is what makes classification enforceable, without it, classification is a guideline rather than a control.

Do I need different data classification rules for different AI tools?

Yes, and this is where most organisations go wrong. The appropriate data classification level for a given AI tool depends on: whether the tool has a data processing agreement and no-training guarantee (critical for any tool used with Internal or above data); where the data is processed and stored (EU-only for GDPR-sensitive data); what security certifications the tool holds (SOC 2 Type II, ISO 27001); and whether the tool is an enterprise tier product or a consumer product with different data handling defaults. The same data type may be permitted in one AI tool and prohibited in another based on these factors. Your AI acceptable use policy should specify approved tools for each classification level explicitly, not leave employees to make this determination themselves.

What are the GDPR implications of using personal data with AI tools?

Using personal data with AI tools creates several GDPR obligations. As controller, you are responsible for ensuring lawful basis for the processing activity, which for AI-assisted work typically means legitimate interests or performance of contract, both requiring a necessity assessment. If the AI vendor is a data processor, you need a GDPR-compliant DPA under Article 28 before any personal data is processed. If the vendor's terms mean they are a data controller (common in consumer AI products), you need to assess whether the transfer to that controller has a lawful basis. The data minimisation principle (Article 5(1)(c)) requires that only the minimum necessary personal data is used, submitting a full customer database to an AI tool for a task that could be accomplished with anonymised data would likely violate this principle. Finally, any AI system making automated decisions about individuals may trigger Article 22 rights, requiring human review processes.

Profitez de 90 jours d'essai gratuit pour cartographier vos risques d'IA générative :90 jours d'essai gratuit, risques IA générative :Commencer

Demander une démo

Modèle gratuit

Données pour l'IA
Guide de classification

Un guide pratique définissant quelles données peuvent ou non être utilisées avec les outils d'IA. Système de classification à 4 niveaux avec définitions, exemples et règles explicites d'usage de l'IA pour chaque niveau.

Télécharger le modèle Réserver une démo

0 niveaux

paliers de classification clairs

0 %

des incidents liés à l'IA impliquent une fuite de données

RGPD

aligné sur les articles 5 et 25

Gratuit

à utiliser et à personnaliser

Pourquoi les outils d'IA ont besoin de règles explicites de classification des données

Les collaborateurs ne peuvent pas prendre de bonnes décisions de traitement des données avec les outils d'IA s'ils ignorent quelles données sont autorisées et à quel endroit. La plupart des incidents de données liés à l'IA ne résultent pas d'un comportement malveillant, ils résultent du fait que les collaborateurs ne savent pas que les données qu'ils collent dans un outil d'IA sont sensibles, ou ne comprennent pas quels outils d'IA sont approuvés pour quels types de données. Un guide clair de classification des données constitue le fondement d'une gouvernance de l'IA applicable.

55%

des incidents de données liés à l'IA impliquent une fuite de données involontaire

La plupart des expositions de données liées à l'IA ne sont pas malveillantes, les collaborateurs ignorent simplement qu'ils soumettent des données sensibles à un outil d'IA qui les traite ou les stocke en externe.

89%

des collaborateurs ne savent pas classer correctement les données selon les politiques existantes

Les politiques de classification des données trop abstraites ou au langage flou entraînent une mauvaise classification généralisée et des comportements de traitement des données incohérents.

3.4x

de risque d'amende RGPD accru en raison des lacunes dans le traitement des données par l'IA

Les organisations incapables de démontrer la minimisation des données et une base légale pour les activités de traitement par l'IA s'exposent à un risque réglementaire nettement plus élevé dans le cadre de l'application du RGPD.

72%

des organisations n'ont aucune règle de traitement des données propre à l'IA

La plupart des politiques de classification des données sont antérieures à l'adoption généralisée de l'IA et ne contiennent aucune consigne propre à l'usage des outils d'IA, ce qui crée une lacune de gouvernance importante.

Le guide de classification des données

Cliquez sur chaque niveau de classification pour déployer la définition, les exemples et les règles d'usage de l'IA. Personnalisez les exemples en fonction des types de données et des systèmes propres à votre organisation.

PUBLIC

Informations intentionnellement mises à la disposition du public ou dont la divulgation ne causerait aucun préjudice. C'est le seul niveau de classification qui peut être librement utilisé avec n'importe quel outil d'IA sans contrôles supplémentaires.

Exemples de données de Niveau 1, Public

Supports marketing publiés, communiqués de presse et contenu du site web

Documentation produit publique et guides d'utilisation

Résultats financiers publiés et rapports annuels

Offres d'emploi publiques et pages carrières

Dépôts de code open-source et recherches publiées

Statistiques sectorielles et données de marché publiquement disponibles

Règles des outils d'IA, Niveau 1

AUTORISÉTout outil d'IA approuvé ou non approuvé pour le traitement de données Public uniquement

AUTORISÉTéléverser des documents, rapports et contenus web publics dans les outils d'IA

AUTORISÉUtiliser l'IA pour générer ou modifier du contenu reposant uniquement sur des informations Public

Remarque : même avec des données Public, ne soumettez pas d'informations qui ne sont pas encore publiquement diffusées (annonces à venir, contenu sous embargo), classez le contenu sous embargo comme Interne ou supérieur jusqu'à la levée de l'embargo.

Télécharger le guide complet

Comment mettre en œuvre la classification des données pour l'IA

Un guide de classification des données ne réduit le risque que si les collaborateurs le comprennent et que des contrôles techniques l'appliquent. Suivez ces étapes pour mettre en œuvre la classification efficacement.

Faites correspondre votre schéma de classification existant au cadre à 4 niveaux

La plupart des organisations disposent d'une classification des données, même informelle. Faites correspondre vos catégories actuelles aux quatre niveaux de ce guide. Si vous n'avez aucune classification existante, utilisez ce cadre comme point de départ et obtenez la validation juridique/conformité avant publication.

Remplacez les exemples génériques par des types de données propres à l'organisation

Les exemples génériques (comme « données financières ») sont plus difficiles à appliquer pour les collaborateurs que les exemples précis (comme « enregistrements clients Salesforce » ou « prévisions trimestrielles Oracle Finance »). Consacrez du temps à créer des exemples de types de données issus de vos systèmes réels, les taux de conformité augmentent nettement avec des exemples précis.

Définissez la liste des outils d'IA approuvés pour chaque niveau de classification

Pour chaque niveau de classification, publiez la liste des outils d'IA spécifiquement approuvés. Ne laissez pas les collaborateurs interpréter la notion d'« outils approuvés », nommez les produits, les versions et toute exigence propre à une offre (par exemple « Microsoft Copilot pour M365 E5, données Interne uniquement, pas Confidentiel »).

Dispensez une formation à l'aide de scénarios de décision de classification

La formation à la classification des données est plus efficace au moyen de scénarios réalistes. Présentez aux collaborateurs 8 à 10 exemples de types de données qu'ils rencontrent dans leur fonction et demandez-leur de classer chacun d'eux. Incluez des cas limites, un mélange d'e-mails, de documents, de jeux de données et d'informations verbales. Discutez du raisonnement, pas seulement de la réponse.

Mettez en place des contrôles techniques pour appliquer la classification au niveau de l'IA

Une classification sans application est une recommandation, pas un contrôle. Déployez des règles DLP qui détectent les schémas de données sensibles (PII, numéros de carte, identifiants de santé) soumis aux services d'IA, et utilisez une plateforme de sécurité de l'IA qui surveille tout l'usage des outils d'IA au regard de votre politique de classification, et pas seulement au périmètre réseau.

FAQ

Questions fréquentes

Au minimum, les catégories de données suivantes ne doivent jamais être saisies dans un outil d'IA, à moins que l'outil n'ait été spécifiquement approuvé pour ce type de données avec des contrôles appropriés en place : informations personnelles identifiables (PII) concernant les clients, les collaborateurs ou d'autres personnes ; données de comptes financiers, données de cartes de paiement ou coordonnées bancaires ; dossiers de santé ou médicaux ; identifiants, mots de passe, clés API ou jetons d'authentification ; communications couvertes par le secret professionnel (avocat-client, médecin-patient) ; secrets commerciaux, plans produit non diffusés, informations de M&A ; et code source des systèmes traitant des données sensibles. La question clé est la suivante : si ces données apparaissaient dans le jeu d'entraînement du fournisseur d'IA et se reflétaient dans les réponses fournies à d'autres utilisateurs, quelle en serait la conséquence ? Si la réponse est une violation réglementaire, une responsabilité juridique ou un préjudice matériel pour l'entreprise, ces données ne doivent pas entrer dans un outil d'IA externe.

Commencer

Appliquez automatiquement la classification des données sur tous les outils d'IA

Une politique de classification nécessite une application technique pour être efficace. Aona détecte lorsque des collaborateurs soumettent des données Confidentiel ou Restreint à des outils d'IA, bloque les interactions interdites en temps réel et fournit la visibilité nécessaire pour savoir si vos règles de classification des données fonctionnent réellement en pratique.

Réserver une démo

Ressources connexes

Plateforme Aona AI Politique d'usage acceptable de l'IA Checklist d'évaluation des risques de l'IA Cadre de gouvernance de l'IA Tous les modèles

Données pour l'IAGuide de classification

Appliquez automatiquement la classification des données sur tous les outils d'IA

Données pour l'IA
Guide de classification