Les organisations, publiques ou privées, gèrent souvent une échelle ou classification de sensibilité des données, aux fins de mettre en place une sécurisation adéquate des données, et de diffuser les bonnes pratiques en interne.
Cependant, ces échelles semblent méconnaître le CRPA. Dans cet exemple du CNRS, d’Inria et de l’Inra (dont on me dit que « il a un peu vieilli, mais l’esprit est bon »), on lit que « le niveau de classification est lié aux impacts d’une éventuelle divulgation non autorisée des informations tels que définis précédemment et à la cible de la diffusion » : le critère me semble spécieux, qu’on en juge par les documents communicables dont la communication ne fait pas plaisir voire nuit à l’image.
Plus spécifiquement, les exemples de l’Annexe A viennent en contradiction avec les dispositions du CRPA. On y lit ainsi que les « données RH « classiques » (dossier de carrière, avis managérial, prime, …) » sont à diffusion limitée, or certaines de ces informations sont bel et bien communicables (dossier de carrière).
Bref, à côté de cette foule de contre-exemples, connaissez-vous des échelles de sensibilité qui soient conformes avec le CRPA ?
Je rejoins globalement l’avis de @cquest. J’ai un peu du mal avec la notion même de « sensibilité » de l’information.
Je ne sais pas si tu connais « @docs » ce n’est pas forcément totalement complet, ni toujours ultra précis mais je trouve ça plus intéressant pour les usagers qu’un référentiel à rallonge Accéder aux documents publics avec @docs (FranceArchives) ça pourrait peut-être s’améliorer ou se type pour des corpus précis ?
J’ai un peu du mal avec la notion même de « sensibilité » de l’information.
On peut imaginer que plein de RSSI tiennent à leur idée de « sensibilité ». Je propose de ne pas la jeter tout de suite mais tentons au moins de la rendre conforme avec le droit des archives publiques et des documents administratifs
