Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 3 juin 2026
Accueil/RGPD/Microsoft 365 Copilot et RGPD : guide DPO 2026
RGPD

Microsoft 365 Copilot et RGPD : guide DPO 2026

Microsoft 365 Copilot est-il conforme au RGPD ? Analyse DPA, EU Data Boundary, AIPD, Sensitivity Labels et recommandations DPO pour le déploiement en entreprise.

Par Thiébaut DevergrannePublie le 3 juin 2026Mis a jour le 3 juin 202611 min de lecture
Sommaire
  1. Qualification juridique : Microsoft sous-traitant pour Copilot
  2. EU Data Boundary appliquée à Copilot
  3. AIPD : quand est-elle obligatoire pour Copilot ?
  4. Sensitivity Labels et gouvernance documentaire
  5. Recommandations opérationnelles pour le DPO
  6. Articulation avec le AI Act
  7. Cas particuliers à anticiper
  8. FAQ : Microsoft Copilot et RGPD

Microsoft 365 Copilot est aujourd’hui l’un des déploiements d’IA générative les plus massifs en entreprise. Intégré nativement à Word, Excel, PowerPoint, Outlook, Teams et l’ensemble de la suite Microsoft 365, il propose des fonctionnalités d’assistance, de génération, de résumé et d’analyse à partir du contenu accessible à chaque utilisateur dans son tenant. Pour le responsable de traitement et le DPO, l’enjeu n’est plus de savoir si Copilot peut être utilisé — la décision business est souvent actée — mais d’encadrer son déploiement au regard du RGPD, des recommandations CNIL sur l’IA et du AI Act européen.

Dans ma pratique de conseil auprès de DPO d’ETI françaises, Copilot soulève quatre questions structurantes que je vois fréquemment mal traitées : la qualification juridique de Microsoft pour cet usage spécifique d’IA, la portée réelle de l’EU Data Boundary appliquée à Copilot, la nécessité et le contenu de l’AIPD à mener, et la gestion concrète des risques de fuite de données sensibles via les fonctionnalités de génération.

Pour une vue d’ensemble de la conformité de l’écosystème Microsoft, voir nos analyses de Microsoft Teams, Azure, et plus largement de l’IA générative et RGPD.

Qualification juridique : Microsoft sous-traitant pour Copilot

Le statut au sens de l’article 28 RGPD

Microsoft Ireland Operations Limited agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour Microsoft 365 Copilot. Votre organisation détermine les finalités (assistance à la productivité, génération de contenu, automatisation documentaire) et les moyens essentiels (qui dispose de la licence Copilot, sur quels contenus l’assistant peut opérer, quelles politiques internes encadrent l’usage). Microsoft fournit l’infrastructure et traite les données selon les instructions documentées du client.

Cette qualification est confirmée par les engagements contractuels de Microsoft :

  • Les prompts soumis par les utilisateurs ne sont pas utilisés pour entraîner les modèles de fondation
  • Les réponses générées ne sont pas exposées à d’autres tenants
  • Les données du tenant client restent à l’intérieur du périmètre contractuel Microsoft 365
  • Le modèle sous-jacent (Azure OpenAI Service, famille GPT-4) opère en environnement Azure dédié à Microsoft, sans transmission de données à OpenAI

Le DPA Microsoft Products and Services s’applique automatiquement à Copilot pour les clients commerciaux, sans avenant nécessaire pour la qualification juridique de base.

Le périmètre fonctionnel : ce que Copilot peut atteindre

Pour évaluer le risque RGPD, comprendre ce que Copilot peut atteindre est essentiel. Copilot opère dans la limite des droits de l’utilisateur connecté : il ne voit que les contenus auxquels l’utilisateur a accès dans son tenant Microsoft 365. Concrètement :

  • Fichiers SharePoint et OneDrive accessibles à l’utilisateur
  • Messages Teams des canaux et conversations privées de l’utilisateur
  • Emails et calendriers Outlook de l’utilisateur
  • Contenu Loop, Whiteboard, Forms selon droits
  • Index sémantique Microsoft Graph consolidant les sources accessibles

Cette portée a deux conséquences directes :

  1. Copilot hérite des défauts de gouvernance documentaire. Si vos droits SharePoint sont mal configurés et que des documents RH ou juridiques sont accessibles à un large périmètre d’utilisateurs, Copilot peut révéler ces contenus dans ses réponses. Le déploiement Copilot impose une révision préalable des droits d’accès.

  2. L’utilisateur “voit” via Copilot des informations qu’il n’aurait pas naturellement consultées. Un utilisateur peut demander “résume les négociations contractuelles en cours” et obtenir une synthèse à partir de documents qu’il ne savait même pas pouvoir lire. Ce n’est pas un manquement RGPD en soi, mais un risque opérationnel à traiter.

EU Data Boundary appliquée à Copilot

Le EU Data Boundary for the Microsoft Cloud, déployé progressivement depuis 2023, étend ses garanties au traitement Copilot. Concrètement, en 2026 :

  • Les données client au repos sont stockées dans la région UE (Pays-Bas, Irlande, France pour certains services)
  • Les données en transit restent dans la zone UE pour la majorité des opérations
  • Le traitement Copilot (inférence sur les LLM) se déroule sur des instances Azure OpenAI dédiées en zone UE pour les clients EU
  • Le support et le diagnostic peuvent encore impliquer un accès depuis l’extérieur de l’UE par les équipes Microsoft, encadré contractuellement et techniquement

La couverture n’est pas absolue. Microsoft documente publiquement les services et opérations résiduellement traités hors UE. Pour les organisations particulièrement sensibles (administrations, secteur défense, données de santé à grande échelle), une analyse précise de ces résidus est nécessaire dans l’AIPD.

Transferts hors UE. Pour les opérations résiduellement hors EU Data Boundary, deux fondements coexistent :

  1. Data Privacy Framework (DPF) — Microsoft est certifié au DPF
  2. Clauses contractuelles types (CCT 2021/914) — incluses dans le DPA Microsoft Products and Services

AIPD : quand est-elle obligatoire pour Copilot ?

Le déploiement de Copilot ne déclenche pas automatiquement l’obligation d’analyse d’impact. La nécessité dépend du contexte d’usage.

Cas où l’AIPD est obligatoire

Selon les critères de l’article 35 RGPD, de la liste CNIL des traitements y donnant lieu et des lignes directrices WP248 du G29 (reprises par l’EDPB), l’AIPD est obligatoire dans les cas suivants :

  • Copilot déployé sur des données de santé à grande échelle (établissements de soins, mutuelles, laboratoires)
  • Copilot utilisé pour des décisions RH (présélection de CV, évaluation de performance, scoring de candidats) — décision automatisée au sens de l’article 22
  • Copilot déployé sur des données sensibles au sens de l’article 9 (opinions, religion, syndicat, biométrie, vie sexuelle, origine ethnique)
  • Copilot sur les données d’élèves ou de salariés à grande échelle (suivi de progression, analyse comportementale)
  • Tout usage de Copilot impliquant un profilage des personnes concernées

Cas où l’AIPD est fortement recommandée

Même hors obligation stricte, je recommande systématiquement une AIPD dans les configurations suivantes, qui couvrent la majorité des déploiements ETI :

  • Copilot accessible à plus de 50 utilisateurs dans une organisation traitant des données clients
  • Copilot opérant sur des contenus juridiques, contractuels ou stratégiques
  • Première année de déploiement quel que soit le contexte (l’AIPD documente l’analyse de risque initiale et constitue le socle de la conformité ultérieure)

Contenu attendu de l’AIPD Copilot

L’AIPD Copilot couvre quatre dimensions selon la méthodologie CNIL :

  1. Description du traitement : périmètre des utilisateurs, périmètre des données accessibles, finalités (assistance à la productivité, automatisation), sous-traitants (Microsoft + Azure OpenAI Service)
  2. Évaluation de la nécessité et de la proportionnalité : justification de l’usage IA, alternatives évaluées, minimisation
  3. Évaluation des risques : 5 risques à analyser systématiquement — fuite de données sensibles, exposition de données à un mauvais destinataire via Copilot, décision automatisée non maîtrisée, défaut d’information des personnes, défaut de gestion des incidents
  4. Mesures pour traiter les risques : Sensitivity Labels, restrictions de périmètre, contrôles d’accès SharePoint, journalisation, formation des utilisateurs

Les recommandations CNIL sur l’IA (premières fiches d’octobre 2024) constituent la référence opérationnelle pour cadrer cette analyse.

Sensitivity Labels et gouvernance documentaire

L’outil de gouvernance le plus efficace pour encadrer Copilot dans Microsoft 365 est Microsoft Purview Information Protection (Sensitivity Labels). Concrètement :

  • Étiquetage automatique ou manuel des documents (Public, Interne, Confidentiel, Strictement confidentiel, RH, Juridique)
  • Politiques de visibilité Copilot par étiquette : exclusion totale des contenus “Strictement confidentiel” du périmètre Copilot, alerte pour les contenus “Confidentiel”
  • Chiffrement RMS maintenu sur les documents protégés, empêchant l’inférence Copilot sur le contenu
  • Audit Logs des accès Copilot par étiquette de sensibilité

Le déploiement de Sensitivity Labels conditionne en pratique la conformité d’un déploiement Copilot à l’échelle. Sans gouvernance documentaire préalable, l’usage Copilot expose à des risques difficiles à maîtriser.

Recommandations opérationnelles pour le DPO

1. Phase préparatoire (avant déploiement)

  • Audit des droits SharePoint et OneDrive — corriger les sur-permissions documentaires
  • Déploiement des Sensitivity Labels sur les catégories sensibles (RH, juridique, finance, R&D)
  • Inventaire des traitements concernés dans le registre
  • AIPD préliminaire documentant l’analyse de risque

2. Phase de déploiement

  • Déploiement par vagues (pilote → service → organisation) avec retours d’expérience
  • Information des personnes concernées : mise à jour des politiques internes, charte informatique (voir notre modèle de charte informatique incluant déjà des clauses IA), information du CSE
  • Formation des utilisateurs : usages autorisés, données interdites en saisie, vérification systématique des sorties
  • Configuration des politiques Copilot : exclusion des étiquettes sensibles, restrictions par groupe, audit log activé

3. Phase d’exploitation

  • Revue trimestrielle des Audit Logs Copilot : volume d’usage, sensibilité des contenus inférés, anomalies
  • Mise à jour de l’AIPD annuellement ou en cas d’évolution significative (nouvelle fonctionnalité Copilot, extension du périmètre)
  • Procédure d’incident intégrée au plan de notification de violation à la CNIL — typiquement, un prompt révélant des données sensibles à un utilisateur non habilité constitue une violation de confidentialité au sens de l’article 33

Articulation avec le AI Act

Microsoft 365 Copilot relève de la catégorie des systèmes d’IA à usage général (GPAI) au sens du AI Act. À ce titre, Microsoft est soumis aux obligations du chapitre V du règlement, applicables depuis le 2 août 2025 — voir notre actualité AI Act 2026 pour le suivi des guidelines et sanctions.

Pour le client déployeur (votre organisation), les obligations sont plus limitées mais réelles :

  • Information des personnes sur l’usage d’IA générative dans les processus de décision les affectant (article 50 AI Act)
  • Supervision humaine des sorties Copilot ayant un impact sur les personnes (article 14 AI Act pour les usages à haut risque)
  • Documentation de l’usage Copilot et des contrôles mis en œuvre

Pour les usages relevant du haut risque au sens de l’annexe III du AI Act (recrutement, RH, accès aux services essentiels), des obligations renforcées s’ajoutent : gestion des risques, gouvernance des données, journalisation, transparence renforcée.

Cas particuliers à anticiper

Copilot et données de tiers (clients, partenaires)

Lorsqu’un utilisateur demande à Copilot d’analyser des emails reçus de clients ou des contrats signés avec des partenaires, les données de ces tiers sont inférées. L’information de ces tiers via vos politiques de confidentialité doit explicitement mentionner l’usage d’IA générative sur leurs données.

Copilot et secret professionnel

Pour les cabinets d’avocats, médecins, experts-comptables, le secret professionnel impose une vigilance particulière. Le déploiement Copilot dans ces structures doit faire l’objet d’une analyse spécifique, et l’usage doit être restreint aux contenus non couverts par le secret ou à des contenus dûment anonymisés.

Copilot Pages et collaboration générative

Copilot Pages (espace de travail collaboratif IA, lancé en 2024) ajoute une couche : le contenu généré par Copilot est partagé entre utilisateurs et peut être enrichi collectivement. Le statut de ces contenus (qui en est responsable, qui peut les modifier, comment ils sont conservés) doit être traité dans la documentation interne.

FAQ : Microsoft Copilot et RGPD

Faut-il un consentement des salariés pour déployer Copilot ?

Pas nécessairement. La base légale dépend du périmètre. Pour une assistance à la productivité standard, l’intérêt légitime documenté (test de mise en balance, triple test) suffit généralement. Pour des usages affectant individuellement les salariés (évaluation, scoring, surveillance), une base plus solide est requise — consentement difficile à recueillir librement en contexte salarié, ou base contractuelle si l’usage est dans le contrat de travail.

Le DPA Microsoft est-il suffisant pour Copilot ?

Oui pour la qualification de sous-traitance et la couverture de l’article 28 RGPD. Le DPA Microsoft Products and Services s’applique automatiquement à Copilot. La conformité d’ensemble dépend de la configuration côté client, pas du contrat seul.

Copilot peut-il être utilisé sur des données de santé ?

Avec précautions. Les données de santé relèvent de l’article 9 RGPD (catégories particulières). Une AIPD est obligatoire, et Microsoft propose des engagements HIPAA-eligible pour Microsoft 365. En France, l’hébergement HDS (Hébergeur de Données de Santé) doit être vérifié pour les usages cliniques. Les usages médicaux directs (aide au diagnostic) relèvent du dispositif médical et de l’AI Act haut risque.

Comment contrôler ce que Copilot peut “voir” ?

Trois leviers : (1) audit et correction des droits SharePoint/OneDrive, (2) déploiement de Sensitivity Labels avec exclusion des étiquettes sensibles du périmètre Copilot, (3) politiques de gouvernance par groupe utilisateur (administrateurs, RH, finance, juridique avec restrictions spécifiques).

Faut-il informer le CSE du déploiement Copilot ?

Oui, en France. L’introduction d’un outil de cette portée relève de l’information-consultation du CSE en application du Code du travail (Art. L.2312-8). L’omission de cette consultation est un manquement séparé sanctionnable, distinct de la conformité RGPD.

Combien coûte une AIPD Copilot ?

Pour une PME, l’AIPD peut être réalisée en interne par le DPO ou avec un accompagnement ponctuel (3-5 jours de conseil). Pour une ETI, une AIPD complète mobilise typiquement 5-15 jours de travail consolidé. Le coût varie selon la complexité du tenant, le périmètre des données, la sensibilité du secteur. Pour le détail des coûts de mise en conformité, voir notre guide coût de mise en conformité RGPD.

Pour industrialiser la documentation Copilot et l’intégration au registre des traitements, un logiciel RGPD permet de générer l’AIPD, suivre les sous-traitants et maintenir la traçabilité documentaire requise.

Articles lies

RGPD

Article 72 RGPD : la procédure du CEPD décryptée

3 juin 2026 · 8 min
RGPD

Article 73 RGPD : la présidence du CEPD décryptée

3 juin 2026 · 7 min
RGPD

Modèle de réponse à une demande de droit d'accès RGPD (2026)

3 juin 2026 · 13 min