Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit 30 avril 2026 8 min de lecture

Microsoft 365 Copilot : risques RGPD, Cloud Act et souveraineté des données

Microsoft 365 Copilot s'intègre directement à vos e-mails Outlook, fichiers SharePoint, réunions Teams et données Dynamics. Contrairement à ChatGPT — qu'un salarié doit alimenter manuellement — Copilot accède automatiquement à l'ensemble de votre écosystème Microsoft. C'est sa force et son risque principal : en déployant Copilot, vous confiez à Microsoft (et donc potentiellement aux autorités américaines) l'accès à tout votre patrimoine informationnel.

Ce qu'il faut retenir

  • Copilot accède automatiquement à tous les e-mails, fichiers, réunions et données CRM auxquels l'utilisateur a accès
  • Microsoft est une entité américaine soumise au Cloud Act — même avec EU Data Boundary
  • Le risque de sur-permissions : Copilot peut exposer des données auxquelles l'employé ne devrait pas accéder
  • Secteurs réglementés (santé, finance, juridique) : déploiement sans analyse d'impact = violation probable du RGPD

Ce à quoi Microsoft Copilot accède réellement

Microsoft 365 Copilot n'est pas un chatbot isolé. Il est conçu comme une couche d'intelligence posée sur l'ensemble du tenant Microsoft 365. Par défaut, Copilot peut lire et analyser :

  • Outlook : tous les e-mails, pièces jointes, calendriers et contacts de l'utilisateur
  • SharePoint et OneDrive : tous les documents auxquels l'utilisateur a accès, y compris les fichiers partagés
  • Teams : transcriptions de réunions, messages de chat, enregistrements vidéo
  • Dynamics 365 : données CRM, opportunités commerciales, contacts clients
  • Microsoft Graph : l'ensemble des métadonnées de l'organisation (qui travaille avec qui, sur quoi)

C'est la différence fondamentale avec ChatGPT : un employé qui oublie de coller des données confidentielles dans ChatGPT ne prend pas de risque. Avec Copilot, les données sont accessibles en permanence, de façon automatique, sans action délibérée de l'employé.

Copilot et le Cloud Act

Microsoft est une entreprise américaine. À ce titre, la totalité de ses services — y compris les instances Azure hébergées en Europe — sont soumises au Cloud Act américain. En cas d'injonction des autorités américaines, Microsoft peut être contraint de remettre les données traitées par Copilot, sans notification préalable à votre entreprise.

Ce point est particulièrement important parce que Copilot traite activement les données (résumés, analyses, requêtes) — les données transitent donc régulièrement par les systèmes de traitement Microsoft, créant une empreinte data plus large qu'un simple stockage passif.

Enjeux RGPD spécifiques à Copilot

Plusieurs points du RGPD sont directement en tension avec un déploiement non préparé de Copilot :

  • Article 5 (minimisation des données) : Copilot traite par défaut beaucoup plus de données que nécessaire pour chaque tâche
  • Article 25 (privacy by design) : le déploiement par défaut n'est pas le plus restrictif possible
  • Article 32 (sécurité du traitement) : l'accès aux données via Copilot doit être documenté et justifié
  • Article 35 (AIPD) : une analyse d'impact est obligatoire pour tout traitement à grande échelle de données sensibles

Obligation d'AIPD avant déploiement

Si votre organisation traite des données de santé, des données financières, des données RH à grande échelle ou des données judiciaires, une Analyse d'Impact relative à la Protection des Données est obligatoire avant de déployer Copilot. Cette analyse doit être transmise à votre DPO et potentiellement à la CNIL si les risques résiduels sont élevés.

Microsoft EU Data Boundary : protection réelle ou marketing ?

Microsoft a lancé en 2023 son programme EU Data Boundary, qui promet que les données des clients européens restent en Europe pour les services couverts. C'est une amélioration réelle pour certains risques d'accès routiniers par des équipes Microsoft aux États-Unis.

Mais EU Data Boundary ne résout pas le Cloud Act : Microsoft reste une entité de droit américain. Une ordonnance judiciaire américaine peut toujours exiger l'accès à des données, même hébergées en Europe. La résidence des données protège contre l'accès administratif — pas contre l'accès judiciaire imposé par une loi fédérale.

Le risque invisible : la sur-permission

L'un des risques les moins discutés de Copilot est le problème de gouvernance des accès. Copilot répond aux requêtes d'un utilisateur en utilisant toutes les données auxquelles cet utilisateur a accès — y compris les accès excessifs accumulés au fil du temps.

Si un commercial a, par héritage organisationnel, accès à des dossiers RH ou à des données financières, Copilot peut lui en résumer le contenu sur simple requête. Ce qui nécessitait auparavant une démarche délibérée (naviguer dans SharePoint, trouver le bon dossier) devient trivial avec Copilot.

Avant tout déploiement de Copilot, un audit des permissions SharePoint et des droits d'accès est indispensable. C'est une recommandation explicite de Microsoft elle-même.

Secteurs particulièrement exposés

Cabinets d'avocats et services juridiques : Les échanges clients couverts par le secret professionnel, les stratégies de plaidoirie, les avis juridiques — tout cela transite dans Copilot si l'avocat l'utilise au quotidien. Le risque pénal est réel.

Établissements de santé : Les données patients (DMP, comptes-rendus, prescriptions) sont des données de santé au sens du RGPD — leur traitement nécessite une certification HDS que Microsoft ne détient pas pour Copilot.

Finance et marchés : Les informations privilégiées (résultats non publiés, opérations M&A en cours) traitées par Copilot créent un risque de violation du règlement MAR sur les abus de marché.

Mesures de protection et alternatives

Si vous maintenez Copilot :

  • Audit des permissions Microsoft 365 avant déploiement
  • Classification des données et exclusion des données sensibles du périmètre Copilot
  • Formation des utilisateurs sur les données qui ne doivent pas être requêtées via Copilot
  • AIPD documentée et validée par le DPO

Pour les données vraiment sensibles : un LLM déployé sur votre propre infrastructure — sans transit vers Microsoft — est la seule protection structurelle. Vos documents les plus sensibles (M&A, propriété intellectuelle, données patients) doivent rester hors du périmètre de tout service cloud américain.

Une IA d'entreprise sans les risques Copilot

Intelligence Privée déploie un assistant IA sur votre infrastructure. Accès à vos documents internes, sans transit vers Microsoft ni exposition au Cloud Act.

Demander une démonstration →

Questions fréquentes

Copilot for Microsoft 365 est-il différent de Copilot+ PC ?

Oui. Copilot+ PC est intégré dans Windows 11 sur des appareils compatibles et traite certaines tâches localement. Microsoft 365 Copilot est un service cloud qui accède à votre tenant Microsoft 365 — c'est lui qui pose les enjeux décrits dans cet article.

L'option de résidence des données en Europe protège-t-elle du Cloud Act ?

Non. La résidence des données en Europe protège contre l'accès administratif par des équipes Microsoft hors UE. Elle ne protège pas contre une injonction judiciaire américaine imposée à Microsoft en vertu du Cloud Act.

Peut-on utiliser Copilot avec des données de santé ?

En principe, non — sauf si Microsoft fournit une certification HDS pour Copilot spécifiquement (ce qui n'est pas le cas à date) et si une AIPD conclut à un risque résiduel acceptable. En pratique, les établissements de santé certifiés HDS ne peuvent pas utiliser Copilot pour des données patients.

Continuer la lecture

Sécurité

ChatGPT en entreprise : risques et alternatives

Cloud Act, RGPD, entraînement sur vos prompts : les risques documentés de ChatGPT.

9 min
Conformité & Droit

Cloud Act : vos données sont-elles exposées ?

Le Cloud Act autorise les autorités US à accéder à vos données chez Microsoft, même hébergées en Europe.

9 min
Sécurité

Shadow AI : risques et gouvernance

72% des salariés utilisent des outils IA non autorisés. Détection et gouvernance.

7 min