Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

OneDrive et RGPD : guide de conformité 2026

OneDrive for Business est-il conforme au RGPD ? Analyse du DPA Microsoft, EU Data Boundary, partages externes, documents sensibles et configuration DPO.

OneDrive for Business équipe la quasi-totalité des organisations françaises utilisant Microsoft 365. Chaque salarié dispose d’un espace de stockage personnel dans le cloud, synchronisé sur son poste, intégré à Teams, Outlook et l’écosystème Office. Dans la pratique, OneDrive devient le lieu où s’accumulent les documents de travail quotidiens : contrats, tableaux RH, dossiers clients, exports de bases, pièces jointes — autant de fichiers contenant fréquemment des données à caractère personnel, parfois sensibles. Pour le responsable de traitement, la question n’est pas de savoir s’il faut utiliser OneDrive, mais comment en encadrer l’usage.

Dans ma pratique de conseil auprès de DPO de PME et d’ETI, OneDrive soulève des questions récurrentes mal traitées : la localisation effective des fichiers après le déploiement de l’EU Data Boundary, le risque des partages externes et des liens publics, la gestion des documents sensibles stockés sans contrôle, et l’articulation avec Copilot désormais capable de puiser dans le contenu OneDrive. Ce guide propose une analyse juridique et des recommandations de configuration actionnables.

Pour une vue d’ensemble de la conformité des outils Microsoft et de leurs alternatives, voir également nos analyses de Microsoft Teams, de Google Drive et de Google Workspace, qui posent des problématiques de stockage cloud analogues.

Qualification juridique : Microsoft comme sous-traitant

Le statut au sens de l’article 28

Microsoft Ireland Operations Limited — entité contractante européenne de Microsoft — agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour OneDrive for Business, composante de la suite Microsoft 365. Votre organisation détermine les finalités (stockage de documents de travail, partage collaboratif, archivage) et les moyens essentiels (qui dispose d’un espace, quelles politiques de rétention et de partage s’appliquent, quels contrôles de sécurité sont activés). Microsoft fournit l’infrastructure de stockage et traite les fichiers selon vos instructions documentées.

Cette qualification ne souffre pas d’ambiguïté pour le stockage de base. OneDrive for Business relève du même cadre contractuel que le reste de Microsoft 365 : SharePoint Online (dont OneDrive partage l’infrastructure technique sous-jacente), Exchange, Teams. Il faut noter la distinction avec le OneDrive grand public (compte Microsoft personnel gratuit), qui relève de conditions différentes et n’a pas vocation à héberger des données professionnelles.

Copilot et l’accès au contenu OneDrive

Microsoft 365 Copilot peut exploiter le contenu des fichiers OneDrive de l’utilisateur pour générer ses réponses. Selon l’architecture documentée par Microsoft consultée en juillet 2026, Copilot opère dans le périmètre de sécurité du tenant : il respecte les droits d’accès existants et n’utilise pas les données du tenant pour entraîner les modèles de fondation partagés. Cette fonctionnalité impose néanmoins de documenter spécifiquement l’activation de Copilot dans le registre des traitements et, selon la sensibilité des documents accessibles, de mener une analyse d’impact. Un espace OneDrive mal rangé, contenant des données sensibles ou des fichiers surexposés, devient d’autant plus problématique lorsque Copilot peut y accéder et les restituer.

Périmètre des données stockées

La difficulté propre à un espace de stockage est qu’il accueille tout ce que l’utilisateur y dépose, sans catégorisation a priori. En pratique, un déploiement OneDrive héberge :

  • Documents RH : contrats de travail, bulletins de paie, évaluations, dossiers de candidature
  • Dossiers clients et prospects : propositions, contrats, correspondances
  • Exports de bases de données : listes de contacts, fichiers CSV de clients, extractions CRM
  • Pièces jointes accumulées : documents reçus par e-mail, glissés dans OneDrive
  • Données sensibles au sens de l’article 9 : certificats médicaux, données de santé au travail, appartenance syndicale dans des dossiers RH

Le risque principal n’est pas le stockage en lui-même — encadré par le contrat Microsoft — mais l’absence de gouvernance : documents conservés au-delà de leur durée utile, fichiers partagés par des liens ouverts oubliés, données sensibles stockées sans mesure spécifique. Le principe de minimisation et une politique de durée de conservation s’appliquent au contenu OneDrive comme à toute base de données. Voir notre tableau des durées de conservation pour cadrer les rétentions.

Analyse du DPA Microsoft

Le contrat de sous-traitance de Microsoft est consolidé dans le Microsoft Products and Services Data Protection Addendum (DPA), régulièrement mis à jour et accessible publiquement. Il s’applique automatiquement aux clients commerciaux Microsoft 365, dont OneDrive for Business. Évaluation au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026 :

Exigence Art. 28 RGPD Couverture dans le DPA Microsoft Évaluation
Objet, durée, nature et finalité Décrits dans le DPA et les Product Terms Conforme
Types de données et catégories Détaillés dans l’annexe Data Protection Terms Conforme
Traitement sur instructions documentées Traitement selon les instructions du client Conforme
Confidentialité du personnel Engagement de confidentialité et formation Conforme
Mesures de sécurité (Art. 32) Annexe Security Measures (chiffrement au repos et en transit, IAM, journaux) Conforme
Sous-traitants ultérieurs Liste publiée, notification préalable, droit d’objection Conforme
Aide à l’exercice des droits Mécanismes techniques (eDiscovery, export) et engagement d’assistance Conforme
Suppression ou restitution Restitution ou suppression sous 90 jours après fin de contrat Conforme
Droit d’audit Rapports SOC 2 Type II, ISO 27001, ISO 27018, ISO 27701 mis à disposition Conforme (via certifications)
Notification de violation Engagement de notification sans retard injustifié Conforme

Le DPA Microsoft figure parmi les plus structurés du marché. Le point d’attention classique porte sur le droit d’audit : Microsoft privilégie, comme la plupart des hyperscalers, la mise à disposition de rapports de certification plutôt que l’audit sur site. Cette pratique est acceptée par la doctrine majoritaire et par la CNIL pour les opérateurs de cette taille, mais doit rester cohérente avec votre politique interne d’audit des sous-traitants. Voir notre modèle de questionnaire sous-traitants pour formaliser cette évaluation.

Localisation et transferts : l’EU Data Boundary

Ce que couvre l’EU Data Boundary

Microsoft a déployé au 1er janvier 2024 son EU Data Boundary, architecture visant à localiser au sein de l’Union européenne et de l’AELE le stockage et le traitement des données client des principaux services Microsoft 365, dont OneDrive et SharePoint. Pour un client européen dont le tenant est configuré dans une région UE, les fichiers stockés et leur traitement de production restent dans l’Union.

Cette avancée réduit fortement la problématique de transfert hors UE pour le stockage OneDrive standard. Elle ne l’élimine pas totalement : certains scénarios résiduels (support technique nécessitant un accès depuis hors UE, certaines catégories de données de diagnostic) peuvent impliquer des flux encadrés par le DPA. Par ailleurs, Microsoft étant un groupe américain, l’exposition théorique au Cloud Act reste un point discuté par la doctrine — atténué par les engagements contractuels de Microsoft (défense contre les demandes d’accès gouvernementales, transparence) mais à documenter dans votre analyse de risque.

Mécanismes de transfert résiduels

Pour les flux résiduels hors UE, le DPA Microsoft s’appuie sur les clauses contractuelles types (CCT, décision 2021/914) et, le cas échéant, sur l’adhésion de Microsoft Corporation au Data Privacy Framework (DPF). L’analyse d’impact des transferts (TIA) reste recommandée pour les traitements portant sur des données sensibles à grande échelle.

Configuration recommandée

Contrôle des partages externes

C’est le risque le plus fréquent et le plus concret sur OneDrive. Les liens de partage — notamment les liens « toute personne disposant du lien » — peuvent exposer des documents contenant des données personnelles bien au-delà du cercle prévu. Recommandations :

  • Restreindre les partages externes au niveau du tenant : désactiver les liens anonymes par défaut, exiger l’authentification des destinataires externes
  • Configurer l’expiration automatique des liens de partage
  • Auditer périodiquement les fichiers partagés externement via les rapports d’administration Microsoft 365
  • Bloquer le partage pour les bibliothèques contenant des données sensibles

Gouvernance du contenu

  • Politiques de rétention (Microsoft Purview) pour supprimer automatiquement les documents au-delà de leur durée utile
  • Étiquettes de confidentialité (sensitivity labels) pour classifier et chiffrer les documents sensibles
  • Politiques DLP (Data Loss Prevention) pour détecter et bloquer l’exfiltration de données personnelles (numéros de sécurité sociale, coordonnées bancaires)

Sécurité des accès

  • Authentification multifacteur obligatoire pour tous les comptes
  • Accès conditionnel limitant l’accès selon l’appareil, la localisation, le niveau de risque
  • Journalisation des accès et des partages pour l’audit et la détection d’incidents

Documentation RGPD

  • Inscription au registre du traitement de stockage documentaire, avec Microsoft comme sous-traitant
  • AIPD si OneDrive héberge des volumes significatifs de données sensibles ou si Copilot y accède
  • Information des salariés et du CSE sur les modalités de contrôle et de journalisation

Cas particuliers

Documents RH et données sensibles

Les espaces OneDrive des services RH concentrent des données sensibles (santé, appartenance syndicale). Ils doivent bénéficier d’étiquettes de confidentialité avec chiffrement, d’un accès restreint, et d’une politique de rétention stricte. Le stockage de ces documents sur OneDrive personnel plutôt que sur un espace SharePoint gouverné est à décourager.

Établissements de santé

Pour les structures de santé stockant des données de santé, la qualification Hébergeur de Données de Santé (HDS) de l’infrastructure Microsoft concernée doit être vérifiée au moment du déploiement, et le périmètre HDS documenté.

Départ de salarié

À la fin du contrat de travail, l’espace OneDrive du salarié contient souvent des données professionnelles à récupérer et des données personnelles à supprimer. Une procédure de reprise et de purge doit être formalisée pour éviter à la fois la perte de données métier et la conservation indue de données personnelles.

PME sans administration IT dédiée

Pour une PME sans équipe IT structurée, la configuration par défaut de OneDrive laisse souvent les partages externes ouverts. Un durcissement initial des paramètres de partage au niveau du tenant est la mesure à plus fort impact pour un effort minimal.

FAQ : OneDrive et RGPD

OneDrive for Business est-il conforme au RGPD ?

L’architecture contractuelle et technique de OneDrive for Business est alignée sur les exigences du RGPD (DPA article 28, EU Data Boundary, certifications). La conformité d’ensemble dépend néanmoins de votre configuration : contrôle des partages externes, gouvernance du contenu, gestion des durées de conservation, information des personnes. OneDrive n’est pas « conforme » ou « non conforme » en soi : c’est son usage qui l’est ou non.

Mes fichiers OneDrive sont-ils stockés en Europe ?

Pour un tenant configuré dans une région UE, l’EU Data Boundary localise le stockage et le traitement de production au sein de l’Union depuis 2024. Des flux résiduels (support, diagnostics) peuvent subsister et sont encadrés par le DPA. La région exacte du tenant est à vérifier dans la configuration d’administration.

Les partages externes sur OneDrive sont-ils un risque RGPD ?

Oui, c’est le risque le plus concret. Un lien de partage anonyme ou oublié peut exposer des documents contenant des données personnelles au-delà du périmètre prévu, ce qui peut constituer une violation de données. La restriction des partages externes et l’expiration automatique des liens sont des mesures prioritaires.

Faut-il une AIPD pour OneDrive ?

Pas pour un usage bureautique standard. L’AIPD devient pertinente lorsque OneDrive héberge des volumes significatifs de données sensibles, ou lorsque Copilot est activé et peut accéder à ces contenus. Voir notre guide sur l’AIPD.

Copilot lit-il mes documents OneDrive ?

Copilot peut exploiter le contenu OneDrive de l’utilisateur pour générer ses réponses, dans le respect des droits d’accès existants et, selon la documentation Microsoft, sans entraîner les modèles de fondation partagés. L’activation de Copilot doit être documentée et les espaces sensibles correctement protégés en amont.

Comment intégrer OneDrive à mon registre des traitements ?

Documenter le traitement de stockage documentaire : finalités, catégories de données stockées, base légale, durée de conservation, Microsoft comme sous-traitant avec ses garanties (DPA, EU Data Boundary, certifications). Voir notre exemple de registre RGPD rempli.

Pour cartographier les outils de stockage cloud, qualifier Microsoft comme sous-traitant et maintenir le registre et les durées de conservation à jour, un logiciel RGPD centralise la documentation et le suivi des sous-traitants de l’écosystème Microsoft 365.