4
minutes
Mis à jour le
22/5/2025


Share this post

Sensibilisation aux bons réflexes de partage sur Notion pour protéger les données sensibles, internes ou clients.

#
cybersecurity
#
infosec
#
dataCompliance
Brice Conraux
Software Engineer

Chez Theodo Fintech, nous avons fait de Notion notre QG digital. Documentation produit, projets tech, comptes rendus, référentiels clients ou financiers… tout y passe. Et c’est bien normal : c’est simple, rapide, collaboratif.

Mais cette facilité de partage peut rapidement devenir un risque, en particulier quand il s’agit de données sensibles. Un lien mal configuré, une page trop ouverte, et c’est potentiellement un accès non autorisé – en interne, dans le groupe, ou pire… à l’extérieur.

📊 Comprendre les niveaux de sensibilité des données

Avant de parler des bonnes pratiques, il est essentiel de bien comprendre ce que nous cherchons à protéger. Voici une classification simplifiée en trois niveaux pour guider vos décisions de partage sur Notion (et au-delà) :

🔓 Niveau 1 — Données publiques ou non sensibles

Ce sont des informations qui peuvent être diffusées sans conséquence sur la sécurité ou la réputation de l’entreprise.

Exemples :

  • Présentations corporate déjà publiées
  • Articles de blog, documentation open-source
  • Guides internes génériques ou à visée externe

➡️ Partage autorisé via lien public si besoin, mais toujours avec une vérification préalable de la pertinence et du contenu.

🔐 Niveau 2 — Données internes

Ces informations sont réservées aux collaborateurs de l’entreprise. Leur diffusion non contrôlée pourrait nuire à l’organisation ou à la coordination interne.

Exemples :

  • Roadmaps produit, stratégies d’équipe
  • Comptes rendus, rétrospectives, notes internes
  • Référentiels métiers ou documentations internes

➡️ Partage restreint aux membres de l’entreprise uniquement. Évitez tout lien public ou partage ouvert en dehors du périmètre direct.

🚨 Niveau 3 — Données sensibles (clients, régulées, stratégiques)

Ce sont les données les plus critiques. Leur exposition peut entraîner des conséquences réglementaires, commerciales ou réputationnelles.

Exemples :

  • Données clients (même pseudonymisées)
  • Informations personnelles (soumises au RGPD)
  • Indicateurs financiers, business ou KPIs confidentiels
  • Identifiants, secrets API, contrats, audits, rapports sensibles

➡️ Accès nominatif uniquement. Ne jamais utiliser de lien partageable ou d’intégration non maîtrisée. Stockage dans un environnement sécurisé recommandé.

Chez Theodo Fintech, nous utilisons Dashlane pour stocker et partager nos identifiants de connexion de manière sécurisée.

🚥 Les bonnes pratiques de partage sur Notion

Même si Notion rend le partage simple, il faut le faire intelligemment. Voici les règles à respecter :

✅ 1. Par défaut, ne pas partager

Une page Notion est privée par défaut. Et c’est très bien. Ne la rendez visible que si c’est nécessaire.

NB : Les pages Notion sont privées par défaut, SAUF si elles sont créées dans une page déjà partagée. Cela peut entraîner des effets de bord involontaires, où une page que vous pensiez privée est déjà visible par d'autres.

🔗 2. Éviter le "Lien partageable à toute personne avec le lien"

Cela revient à rendre publique votre page à qui que ce soit, sans authentification. Sauf pour les données niveau 1, c’est interdit.

NB : L'option “Partager à toute personne ayant le lien” semble générer un lien difficile à deviner (UUID complexe). On pourrait croire que cela suffit à se protéger… mais en réalité :

  • Aucun contrôle n’existe sur qui partage ensuite
  • Aucune trace d’accès n’est disponible
  • Il n’y a pas de révocation possible pour des utilisateurs spécifiques
👥 3. Préférer le partage par membre ou groupe

Utilisez les groupes ou ajoutez des personnes spécifiques à la page. Cela permet de suivre les accès et de révoquer si besoin.

Mais attention : les membres peuvent rejoindre ou quitter un groupe sans alerte, et donc accéder à des pages sans action explicite de votre part.

🧼 4. Nettoyez régulièrement les droits

Une fois un projet terminé, ou si la page devient obsolète, révisez les accès. Un accès inutile est un risque inutile. Pour cela, il est important de définir un responsable pour les pages liées à des projets. Ce dernier devra s’assurer du nettoyage.

🧩 5. Intégrations : un risque mal compris

Les intégrations (Figma, Google Drive, Miro…) peuvent devenir des points de fuite indirects. Deux cas de figure :

  • Vous donnez accès à des outils externes via Notion (ex : intégration qui lit vos pages)
  • Vous intégrez un contenu public ou mal configuré (ex : Figma en lecture publique, Google Doc accessible à tous)

➡️ Réflexe : avant d’intégrer un contenu, vérifiez les droits de la source et limitez les intégrations aux cas nécessaires.

🧠 À retenir

“La sécurité ne s’impose pas, elle s’intègre.”

La sécurité sur Notion repose moins sur la plateforme que sur nos habitudes de partage. Adopter les bons réflexes ne doit pas freiner notre agilité, mais garantir que notre confiance – clients, équipe, groupe – ne soit jamais compromise par une erreur d’accès.

➡️ Besoin d’aide pour configurer un accès ? Une question sur le bon niveau de partage ? Contactez votre RSSI.

Copyright ©2023 Theodo FinTech. Tous droits réservés.

Equipe
Nous rejoindre
Contact
Theodo
Politique de confidentialité
Mentions légales