Microsoft 365 Copilot est-il conforme au RGPD ?
Sur le plan du droit à la protection des données, Microsoft 365 Copilot est nettement mieux positionné que les versions grand public d'autres LLM cloud : accord de sous-traitance présent, EU Data Boundary disponible, pas d'entraînement sur le contenu client. Trois questions restent toutefois ouvertes : Microsoft est une société américaine (CLOUD Act), le Bing Grounding peut envoyer des données hors du tenant, et pour les professions soumises au secret du § 203 du Code pénal allemand la combinaison reste risquée.
Utilisable de façon réaliste avec une configuration entreprise et l'EU Data Boundary – mais pas pour tous les cas d'usage ni tous les secteurs.
- Accord de sous-traitance dans l'Enterprise Agreement
- EU Data Boundary configurable
- Le CLOUD Act américain reste applicable
- Le Bing Grounding envoie des données hors du tenant
De quelle variante Copilot parle-t-on ?
« Copilot » est la marque ombrelle de Microsoft pour plusieurs produits aux profils de confidentialité très différents. Les confondre mène directement à l'incident de conformité.
Le classique pour les entreprises : Microsoft 365 E3/E5 plus la licence Copilot. Avec accord de sous-traitance, attachement au tenant et traitement des données dans l'UE en option. Pour un usage professionnel en zone DACH, la seule variante sérieusement auditable.
Version personnelle pour particuliers. Pas d'accord, pas de tenant, inadaptée à l'usage en entreprise. Quiconque y saisit des données clients enfreint régulièrement le RGPD.
La version web gratuite. Les saisies peuvent être traitées dans des services cloud Microsoft hors UE. Non prévue pour du contenu professionnel.
Outil pour construire des agents IA sur la base de Copilot. Hérite des propriétés de confidentialité du tenant sous-jacent – aussi sûr que la configuration.
Pourquoi Microsoft est en avance ici sur le plan de la protection des données
Comparé aux versions grand public de ChatGPT ou Claude, Copilot Enterprise offre trois avantages solides – et un quatrième plus mou qui ne tient qu'avec une configuration rigoureuse.
Accord de sous-traitance inclus
L'Enterprise Agreement Microsoft 365 inclut l'accord de sous-traitance par défaut. Contrairement à ChatGPT Plus ou Claude Pro, l'obstacle « pas d'accord disponible » disparaît.
EU Data Boundary
Mode configurable qui maintient le traitement Microsoft 365 et Copilot principalement dans des centres de données européens. Réduit le risque pays tiers – mais ne l'élimine pas totalement à cause du CLOUD Act.
Pas d'entraînement sur le contenu client
Microsoft s'engage contractuellement à ne pas entraîner ses modèles de fondation sur les contenus de votre tenant M365. C'est une différence importante avec les versions grand public d'autres fournisseurs.
Sensitivity Labels & Purview
Microsoft Purview permet de classifier documents et e-mails. Copilot respecte ces étiquettes et masque les contenus protégés en conséquence – si Purview est correctement configuré.
Six questions RGPD qui restent ouvertes même avec Copilot
Même dans la version Enterprise avec EU Data Boundary, il subsiste des risques résiduels que les autorités allemandes soulèvent systématiquement.
Le CLOUD Act américain reste applicable
Microsoft est une société américaine. Le CLOUD Act oblige les maisons mères américaines à remettre les données de leurs filiales – même en cas de stockage dans l'UE. L'arrêt Schrems II reste le problème de fond.
Le Bing Grounding sort du tenant
Lorsque Copilot intègre des résultats de recherche web (Bing Grounding), le contenu du prompt quitte le tenant protégé et est traité dans les services cloud Bing. Activé par défaut, désactivable dans le centre d'administration.
Une AIPD est obligatoire
Avant le déploiement de Copilot, une analyse d'impact sur la protection des données est obligatoire. Souvent omise en pratique – il manque alors la preuve de justification vis-à-vis des autorités.
Le secret professionnel reste risqué
Médecins, avocats, conseillers fiscaux, pharmaciens, assureurs, banques : même avec M365 Copilot Enterprise, le transfert vers un pays tiers au sens du secret professionnel reste problématique. La responsabilité pénale n'est pas exclue.
Plug-ins et connecteurs
Les extensions Copilot (Salesforce, ServiceNow, SAP) transmettent des données aux fournisseurs respectifs. Chaque extension nécessite sa propre évaluation juridique et accord de sous-traitance.
Obligations d'information envers les clients
Si des données clients sont traitées dans des workflows Copilot, les personnes concernées doivent être informées de manière transparente – sur les destinataires, le transfert vers pays tiers et la base légale. La plupart des politiques de confidentialité n'en parlent pas.
Quand puis-je utiliser Copilot – et quand pas ?
Une auto-évaluation rapide : si votre configuration et votre cas d'usage correspondent à la colonne de gauche, Copilot est généralement acceptable. Si quelque chose dans la colonne de droite s'applique, il vous faut une meilleure solution.
Probablement acceptable
- Enterprise Agreement M365 E3/E5 actif
- EU Data Boundary configuré, Bing Grounding désactivé
- AIPD réalisée et documentée
- Sensitivity Labels configurées via Purview
Pas sans mesures supplémentaires
- Copilot Pro ou variante grand public Bing utilisée
- Secret professionnel selon § 203 StGB impliqué
- Catégories particulières de l'art. 9 RGPD (santé etc.)
- Analyse d'impact en attente
Quelles alternatives existe-t-il ?
Trois voies – classées par niveau de protection. Si Copilot ne convient pas ou si les risques résiduels sont trop élevés, voici vos options.
KOSMO on-premise
KOSMO fonctionne sur votre propre matériel. Pas de société américaine, pas de CLOUD Act, pas de transfert vers pays tiers, accès complet aux sources internes. Adapté également aux professions du § 203 StGB.
- Aucune donnée ne quitte votre réseau
- Pas d'accord de sous-traitance (pas de prestataire externe)
- RAG sur vos propres sources de connaissances
M365 Copilot avec politique stricte
Si vous gardez Copilot : désactiver le Bing Grounding, politiques d'usage claires, formation des collaborateurs, contrôles ponctuels réguliers et AIPD documentée.
- Désactiver le Bing Grounding
- Étiqueter les contenus sensibles avec Purview
- Actualiser l'AIPD chaque année
Fournisseur européen avec accord
Fournisseurs européens spécialisés hébergeant dans l'UE, offrant un accord de sous-traitance et une politique de modèle transparente. Risque pays tiers plus faible que Copilot, mais intégration Microsoft généralement plus lourde.
- Vérifier l'accord et l'hébergement UE
- Vérifier la société mère et l'exposition au CLOUD Act
- Exclusion de l'entraînement sur vos saisies
FAQ – les questions détaillées sur Copilot
Microsoft 365 Copilot est la variante Enterprise avec accord de sous-traitance, attachement au tenant et EU Data Boundary en option. Copilot Pro est la variante grand public sans accord, destinée aux particuliers. Pour un usage professionnel avec données clients, seul M365 Copilot est une option sérieuse – Copilot Pro n'est pratiquement jamais conforme au RGPD pour les entreprises.
Sources & pour aller plus loin
Cette page s'appuie sur les sources publiques et officielles suivantes :
- Microsoft Learn – Microsoft 365 Copilot: Data, Privacy & Security
- Microsoft – EU Data Boundary for the Microsoft Cloud
- DSK – Orientierungshilfe zu Künstlicher Intelligenz und Datenschutz (Mai 2024, PDF)
- DSK – Technische & organisatorische Maßnahmen für KI-Systeme (Juni 2025, PDF)
- BSI – Generative KI-Modelle: Chancen und Risiken
- EuGH – Urteil C-311/18 „Schrems II" (16. Juli 2020)
- EUR-Lex – Verordnung (EU) 2016/679 (DSGVO) im Volltext
Contrôle total plutôt que risque résiduel
KOSMO fonctionne sur votre propre matériel ou dans des centres de données souverains européens. Pas de société américaine, pas de CLOUD Act, pas de Bing Grounding – seulement vos données et vos connaissances.
Cette page fournit une vue d'ensemble générale et ne remplace pas un conseil juridique. Pour des cas concrets – en particulier pour des données sensibles, un secret professionnel ou des transferts transfrontaliers – consultez votre délégué à la protection des données ou un cabinet spécialisé.
