Onyrisanitize
Tous les articles
Fondamentaux7 min de lecture

Qu'est-ce qu'une donnée sensible ? Une taxonomie pratique

Donnée sensible : définition opérationnelle et taxonomie en 6 familles, du nom à la clé API. Le repère pour savoir quoi protéger avant d'utiliser l'IA.

Par Alexis de ONYRIMis à jour le 3 juin 2026

Une donnée sensible est toute information dont la divulgation crée un risque — pour une personne (vie privée) ou pour l'entreprise (juridique, financier, concurrentiel). En pratique, cela va bien au-delà du nom et de l'e-mail : on peut la classer en six familles, des identités personnelles jusqu'aux secrets techniques comme les clés API. Connaître ces familles, c'est savoir quoi protéger avant d'envoyer un texte à un assistant IA.

1. Données personnelles (PERSONAL)

Tout ce qui identifie une personne, directement ou indirectement : nom complet, e-mail, téléphone, adresse postale, numéro de sécurité sociale, pièce d'identité, informations médicales. C'est la famille la plus encadrée juridiquement (RGPD) et la première à protéger.

2. Données financières (FINANCIAL)

IBAN, RIB, BIC/SWIFT, numéros de carte, identifiants fiscaux, montants de salaire. Leur fuite expose à la fraude et révèle des informations confidentielles sur les personnes comme sur l'entreprise.

3. Secrets techniques (TECHNICAL)

Clés API et jetons d'accès (cloud, plateformes de paiement, fournisseurs d'IA), clés privées SSH, jetons JWT. Coller un bout de code ou un fichier de configuration dans une IA, c'est souvent y laisser un secret qui ouvre vos systèmes. C'est l'angle mort le plus dangereux.

4. Identifiants de connexion (CREDENTIAL)

Mots de passe en clair, codes à usage unique (OTP), secrets de double authentification (MFA). Ils n'ont aucune raison de transiter vers un service tiers.

5. Données d'entreprise (CORPORATE)

Numéros d'immatriculation (SIREN/SIRET), raisons sociales, identifiants d'entités. Anodines isolément, elles dessinent une cartographie de vos relations d'affaires une fois recoupées.

6. Données stratégiques (STRATEGIC)

Noms de clients et de projets, URLs internes, marqueurs de réunions, éléments de roadmap. Pas « personnelles » au sens du RGPD, mais leur fuite a un coût concurrentiel réel.

Comment utiliser cette taxonomie

  • Auditez vos usages : quelles familles vos équipes manipulent-elles dans leurs prompts ?
  • Activez les détecteurs correspondants plutôt que de tout traiter au cas par cas.
  • Ajoutez des règles maison pour vos noms de projets et codes internes.
  • Adaptez au pays : les identifiants nationaux (sécurité sociale, fiscalité) diffèrent selon les juridictions.

ONYRI Sanitize organise sa détection autour de ces six familles exactement, avec des règles adaptées au pays (FR, US…) et la possibilité d'ajouter les vôtres. C'est la traduction concrète de « vos données sensibles ne quittent jamais le navigateur, du nom à la clé API ».

Questions fréquentes

Une donnée sensible, est-ce uniquement une donnée personnelle ?
Non. Les données personnelles ne sont qu'une des six familles. Les secrets techniques (clés API), les identifiants de connexion et les données stratégiques sont tout aussi sensibles, parfois davantage pour l'entreprise.
Pourquoi les clés API sont-elles si critiques ?
Une clé API ou un jeton donne un accès direct à vos systèmes. Glissée dans un prompt avec un extrait de code, elle peut fuiter sans que personne ne s'en aperçoive — d'où l'intérêt d'une détection par entropie.
Les données d'entreprise sont-elles couvertes par le RGPD ?
Pas directement si elles n'identifient pas de personne. Mais leur fuite a un coût concurrentiel : c'est pourquoi une bonne taxonomie va au-delà du seul périmètre RGPD.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi