Microsoft Dynamics 365 et RGPD : guide de conformité
Microsoft Dynamics 365 est-il conforme au RGPD ? EU Data Boundary, Data Privacy Framework, DPA, Copilot et base légale de la prospection.
- Avec Dynamics 365, c’est vous le responsable de traitement
- EU Data Boundary : un vrai progrès, pas une immunité
- Copilot dans Dynamics : le nouveau point de vigilance
- Le cœur du sujet : la base légale de la prospection
- Sécurité : une responsabilité partagée
- Information et droits des personnes
- Ce qu’il faut retenir
- FAQ
« On est chez Microsoft, donc on est couverts pour le RGPD. » Cette phrase, je l’entends presque chaque semaine de la bouche de dirigeants qui déploient Dynamics 365 pour piloter leur relation client. Microsoft est effectivement l’un des sous-traitants les plus matures du marché sur le plan de la conformité — mais cette maturité de l’éditeur ne transfère pas magiquement la responsabilité. Le vrai sujet, comme toujours avec un CRM, se joue ailleurs.
Avec Dynamics 365, c’est vous le responsable de traitement
Quand vous utilisez Dynamics 365 (Sales, Customer Service, Marketing, Field Service…) pour gérer vos prospects, clients et tickets, c’est vous qui décidez quelles données sont collectées, pour quelles finalités et combien de temps elles sont conservées. Vous êtes donc responsable de traitement au sens de l’Art. 4(7) du RGPD. Microsoft, qui héberge et traite ces données pour votre compte et selon vos instructions, est sous-traitant au sens de l’Art. 28.
Conséquence immédiate : le contrat de sous-traitance prévu par l’Art. 28(3) est obligatoire. Microsoft l’intègre dans son Data Protection Addendum (DPA), pièce contractuelle commune à l’ensemble des services en ligne et rattachée au Microsoft Product Terms. Bonne nouvelle : vous n’avez en général rien à signer séparément, le DPA s’applique automatiquement à votre abonnement. Mauvaise habitude : ne jamais l’avoir lu. Première action concrète — téléchargez la version en vigueur du DPA, repérez les sections sur les sous-traitants ultérieurs, les transferts et les durées de conservation, et archivez-en une copie datée dans votre dossier de conformité.
EU Data Boundary : un vrai progrès, pas une immunité
C’est l’argument commercial numéro un de Microsoft sur le marché européen, et il est sérieux. Depuis le déploiement de l’EU Data Boundary (finalisé début 2024, jusqu’aux données de support technique), Microsoft s’engage à stocker et traiter les données client de ses principaux services cloud — dont Dynamics 365 — au sein de l’Union européenne et de l’AELE. Pour un client français, cela signifie que vos données CRM résident en principe dans des datacenters européens.
Mais attention au raccourci que je vois partout : héberger dans l’UE ne fait pas de Microsoft une entreprise européenne, et ne supprime pas tout transfert. Microsoft Corporation reste une société de droit américain, et l’EU Data Boundary lui-même admet des exceptions documentées — certains transferts résiduels demeurent possibles (sécurité, lutte contre les abus, support sur incident, certains sous-traitants ultérieurs). Surtout, une maison mère américaine reste potentiellement exposée à une législation extraterritoriale de type CLOUD Act. C’est exactement la mécanique que j’analyse en détail pour les hyperscalers dans mon article sur le cloud, AWS et Azure face au RGPD.
Le Data Privacy Framework : votre base de transfert, mais sous surveillance
Pour les transferts résiduels vers les États-Unis, Microsoft s’appuie sur sa certification au titre de l’EU-US Data Privacy Framework (DPF), le mécanisme d’adéquation adopté par la Commission européenne le 10 juillet 2023, complété par les clauses contractuelles types pour les flux non couverts. En clair, le DPF tient lieu de garantie au sens du chapitre V du RGPD pour ces transferts encadrés (Art. 44 et suivants).
Le point de vigilance, en 2026, est juridique : le DPF a survécu à un premier recours — le Tribunal de l’Union européenne a rejeté le 3 septembre 2025 la requête du député français Philippe Latombe — mais celui-ci a formé un pourvoi devant la Cour de justice de l’UE (affaire C-703/25 P), toujours pendant. Compte tenu du sort réservé au Safe Harbor (arrêt Schrems I) puis au Privacy Shield (arrêt Schrems II), il serait imprudent de considérer le dossier comme définitivement clos. La conséquence pratique est simple : conservez le DPA et les clauses contractuelles types comme filet de sécurité et tenez à jour votre cartographie des transferts. Si vous traitez des données sensibles, mon guide sur le transfert de données hors UE détaille les mécanismes à mobiliser en cas de remise en cause.
Copilot dans Dynamics : le nouveau point de vigilance
Microsoft a intégré l’IA générative (Copilot) au cœur de Dynamics 365 : résumés de comptes, rédaction d’emails de prospection, suggestions de réponses au support, scoring. Ces fonctions traitent par construction des données personnelles de vos contacts. Deux réflexes s’imposent.
D’abord, vérifier la base légale et l’information : si Copilot analyse l’historique d’un client pour générer une recommandation, cette finalité doit être couverte par votre registre des activités de traitement et par l’information délivrée au titre de l’Art. 13. Ensuite, encadrer le profilage : dès lors qu’un scoring automatisé influence une décision produisant des effets significatifs (octroi d’un avantage, refus, priorisation), l’Art. 22 sur la décision individuelle automatisée entre dans le champ. J’ai détaillé ces réflexes spécifiques à l’IA Microsoft dans mon analyse de Microsoft Copilot et le RGPD. En cas de traitement à risque élevé, une analyse d’impact (AIPD) au sens de l’Art. 35 peut devenir obligatoire avant le déploiement.
Le cœur du sujet : la base légale de la prospection
Un CRM n’est pas un coffre-fort, c’est une machine à prospecter. C’est là que se concentrent la plupart des non-conformités que je constate sur le terrain. La bonne question n’est pas « Dynamics est-il conforme ? » mais « le traitement que je fais transiter par Dynamics est-il licite ? » au sens de l’Art. 6.
En B2C, l’envoi d’emails ou de SMS de prospection suppose en principe le consentement préalable de la personne (Art. 6(1)(a) et art. L34-5 du CPCE). En B2B, la CNIL admet que la prospection puisse reposer sur l’intérêt légitime (Art. 6(1)(f)), à condition que le message concerne l’activité professionnelle du destinataire, que les données aient été collectées loyalement et que l’opposition reste simple à exercer. Je développe l’ensemble de ces règles dans mon guide dédié à la prospection commerciale et au RGPD.
Trois réflexes à intégrer dans votre paramétrage Dynamics :
- Documentez la base légale par finalité. Un même CRM héberge souvent plusieurs traitements (prospection, gestion clients, support, marketing) reposant sur des bases légales distinctes. Consignez-les dans votre registre.
- Respectez la durée de conservation des prospects. La CNIL recommande de ne pas conserver les données d’un prospect au-delà de 3 ans après le dernier contact resté sans réponse (Art. 5(1)(e)). Configurez des flux de purge ou d’anonymisation : un CRM qui empile des leads morts depuis cinq ans est un risque, pas un actif. Voir mon article sur la durée de conservation des données.
- Traitez le droit d’opposition comme prioritaire. En prospection, le droit d’opposition de l’Art. 21 est absolu : aucune justification n’est exigée. Le lien de désinscription doit être fonctionnel et répercuté immédiatement dans Dynamics et dans Customer Insights.
Minimisation : un CRM n’est pas un dossier d’enquête
Dynamics 365 est extrêmement riche en champs personnalisés et en connecteurs d’enrichissement. La tentation est de tout collecter « au cas où ». Le principe de minimisation de l’Art. 5(1)© impose l’inverse : chaque champ doit être justifié par une finalité. Surveillez particulièrement les champs libres et les notes commerciales, où se glissent parfois des informations excessives, voire des données sensibles (santé, opinions, appartenance syndicale) qui n’ont rien à faire dans un fichier de relation client.
Sécurité : une responsabilité partagée
L’Art. 32 impose des mesures de sécurité adaptées au risque. Microsoft assure sa part : chiffrement en transit et au repos, certifications (ISO 27001, SOC 2…), résilience de l’infrastructure. Mais une part majeure de la sécurité dépend de votre configuration, d’autant que Dynamics s’appuie sur l’identité Microsoft Entra ID (ex-Azure AD) partagée avec tout votre écosystème Microsoft 365 :
- Gestion fine des rôles de sécurité et des équipes : tous vos commerciaux n’ont pas besoin d’accéder à toute la base. Appliquez le principe du moindre privilège, profil par profil.
- Authentification multifacteur (MFA) généralisée et révocation immédiate des accès au départ d’un collaborateur.
- Maîtrise des connecteurs et de l’écosystème Power Platform (Power Automate, Power BI, applications Dataverse) : chaque flux exporte potentiellement des données vers d’autres outils, autant de sous-traitants ultérieurs à recenser.
- Encadrement des usages dans une charte informatique opposable.
En cas de violation de données, l’Art. 33 vous impose, en tant que responsable de traitement, de notifier la CNIL dans les 72 heures. Microsoft doit vous alerter sans délai en cas d’incident de son côté ; c’est ensuite à vous d’apprécier la gravité et de déclarer.
Information et droits des personnes
N’oubliez pas l’amont : l’Art. 13 impose d’informer les personnes dès la collecte (finalités, base légale, durée, destinataires, transferts hors UE). Vos formulaires de capture de leads et vos pages d’inscription alimentant Dynamics ou Customer Insights doivent comporter cette information et un lien vers votre politique de confidentialité.
En aval, vous devez pouvoir répondre aux demandes d’exercice de droits dans le délai d’un mois : droit d’accès (Art. 15) et droit à l’effacement (Art. 17) notamment. Les fonctions d’export et de suppression de Dataverse vous y aident — à condition d’avoir d’abord cartographié où sont les données (entités, doublons, sauvegardes, connecteurs) et désigné qui traite la demande.
Ce qu’il faut retenir
- Vous êtes responsable de traitement, Microsoft est sous-traitant. Le DPA fondé sur l’Art. 28(3) s’applique automatiquement à votre abonnement : lisez-le et archivez-en une copie datée.
- EU Data Boundary ≠ immunité. Vos données résident en principe dans l’UE, mais Microsoft reste une société américaine et des transferts résiduels subsistent. Le DPF sert de base à ces transferts.
- Le DPF est valide mais sous surveillance : confirmé par le Tribunal de l’UE en septembre 2025, il fait l’objet d’un pourvoi pendant devant la CJUE. Conservez les clauses contractuelles types comme filet de sécurité.
- Copilot change la donne : tout traitement IA des données CRM doit être inscrit au registre, justifié par une base légale et, le cas échéant, encadré au titre de l’Art. 22 avec une AIPD.
- La conformité d’un CRM se joue sur la prospection : base légale (consentement B2C / intérêt légitime B2B encadré), conservation de 3 ans, droit d’opposition absolu, minimisation des champs.
FAQ
Microsoft Dynamics 365 est-il conforme au RGPD ?
Dynamics 365 fournit l’ensemble des briques nécessaires à la conformité : hébergement UE via l’EU Data Boundary, DPA contractuel, certification au Data Privacy Framework, chiffrement, fonctions d’export et d’effacement. Mais la conformité dépend surtout de votre usage : base légale de la prospection, durées de conservation, paramétrage des rôles de sécurité, encadrement de Copilot. L’outil ne vous rend pas conforme à lui seul.
Où sont hébergées les données de Dynamics 365 pour un client français ?
Grâce à l’EU Data Boundary finalisé début 2024, Microsoft stocke et traite en principe les données client de Dynamics 365 au sein de l’UE et de l’AELE. Des transferts résiduels vers les États-Unis restent possibles dans des cas documentés (sécurité, support, certains sous-traitants), encadrés par le Data Privacy Framework et les clauses contractuelles types.
Faut-il signer un DPA séparé avec Microsoft ?
En général non : le Data Protection Addendum de Microsoft s’applique automatiquement à votre abonnement aux services en ligne, via le Microsoft Product Terms. Vous n’avez pas de document distinct à signer, mais vous devez en conserver une copie datée et en vérifier le contenu (sous-traitants ultérieurs, transferts, durées).
Puis-je utiliser Copilot dans Dynamics sans risque RGPD ?
Copilot traite des données personnelles de vos contacts pour générer résumés, emails ou scorings. Vous devez inscrire ces finalités à votre registre, vérifier la base légale et l’information des personnes, et, lorsqu’un traitement automatisé produit des effets significatifs, respecter l’Art. 22 et envisager une analyse d’impact. L’usage n’est pas interdit, il doit être documenté et encadré.
Vous souhaitez recevoir nos analyses de conformité RGPD chaque semaine, y compris nos décryptages d’outils et de décisions CNIL ? Inscrivez-vous à notre newsletter — concret, à jour, sans jargon inutile.