Microsoft Teams et RGPD : guide de conformité 2026

Microsoft Teams équipe aujourd’hui la majorité des entreprises françaises de plus de cinquante salariés, ainsi qu’une part croissante des collectivités territoriales et des établissements de santé. La plateforme concentre messagerie instantanée, réunions vidéo, appels, partage de fichiers via SharePoint et OneDrive, et désormais des fonctionnalités d’intelligence artificielle via Microsoft 365 Copilot. Pour le responsable de traitement, la question n’est plus de savoir s’il faut utiliser Teams – la décision est généralement actée – mais comment encadrer cet usage au regard du RGPD.

Dans ma pratique de conseil auprès de DPO de PME et ETI françaises, Teams soulève des questions récurrentes que je constate souvent mal traitées : le statut précis de Microsoft en tant que sous-traitant, la localisation effective des données après le déploiement de l’EU Data Boundary, les implications de Copilot sur les bases légales et l’analyse d’impact, et la durée de conservation des enregistrements de réunion. Ce guide propose une analyse juridique complète et des recommandations actionnables de configuration.

Pour une vue d’ensemble de la conformité des outils collaboratifs, voir également notre analyse de Slack, de Google Workspace et de Notion, trois plateformes qui posent des problématiques analogues avec des réponses contractuelles et techniques différentes.

Qualification juridique : Microsoft comme sous-traitant

Le statut de sous-traitant au sens de l’article 28

Microsoft Ireland Operations Limited – entité contractante européenne de Microsoft – agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour Teams et plus largement pour la suite Microsoft 365. Votre organisation détermine les finalités (collaboration interne, réunions clients, archivage documentaire) et les moyens essentiels (qui dispose d’une licence, quelles équipes sont créées, quelles politiques de rétention sont appliquées). Microsoft fournit l’infrastructure et traite les données selon vos instructions documentées.

Cette qualification ne souffre pas d’ambiguïté pour les fonctionnalités de base : messagerie, fichiers, réunions, appels. Microsoft ne choisit ni vos salariés, ni le contenu de leurs échanges, ni la finalité business des réunions. La qualification reste la même pour les services liés intégrés à l’écosystème Microsoft 365 : SharePoint Online, OneDrive for Business, Exchange Online, Viva, Planner.

Microsoft 365 Copilot : une qualification qui mérite analyse

Copilot, l’assistant IA déployé par Microsoft dans Teams et l’ensemble de la suite 365, appelle un traitement distinct. Selon l’architecture documentée par Microsoft, Copilot traite les données du tenant client au sein du périmètre contractuel de Microsoft 365 : les prompts et les données exploitées pour la génération de réponses ne servent pas à entraîner les modèles de fondation partagés. Microsoft reste donc sous-traitant pour cet usage. Il convient néanmoins de documenter spécifiquement l’activation de Copilot dans votre registre des traitements et, selon la nature des données exposées, de mener une analyse d’impact distincte. Les recommandations pratiques de la CNIL sur les systèmes d’IA sont résumées dans notre guide des recommandations CNIL sur l’IA.

Partages inter-tenants et invités externes

Teams permet l’invitation d’utilisateurs externes (via l’accès invité ou Teams Connect pour les canaux partagés). Sur le plan du RGPD, ces configurations créent des flux de données entre responsables de traitement distincts. Chaque organisation reste responsable de traitement pour ses propres utilisateurs ; les partages doivent être documentés et encadrés contractuellement lorsqu’ils impliquent des données à caractère personnel significatives – typiquement, pour les projets conjoints sensibles, il est recommandé de formaliser les responsabilités dans un accord de confidentialité ou, le cas échéant, un accord de co-responsabilité au sens de l’article 26.

Analyse du DPA Microsoft Products and Services

Le contrat de sous-traitance de Microsoft est consolidé dans un document unique : le Microsoft Products and Services Data Protection Addendum (DPA), régulièrement mis à jour et accessible publiquement. Il s’applique automatiquement aux clients commerciaux Microsoft 365 et aux souscriptions Azure. Mon analyse au regard des exigences de l’article 28 du RGPD :

Exigence Art. 28 RGPD	Couverture dans le DPA Microsoft	Évaluation
Objet, durée, nature et finalité	Décrits dans le DPA et les Product Terms	Conforme
Types de données et catégories	Détaillés dans l’annexe Data Protection Terms	Conforme
Instructions documentées	Traitement sur instructions documentées du client	Conforme
Confidentialité du personnel	Engagement de confidentialité et formation des employés	Conforme
Mesures de sécurité (Art. 32)	Annexe Security Measures détaillée (chiffrement, IAM, logs)	Conforme
Sous-traitants ultérieurs	Liste publiée en ligne, notification préalable, droit d’objection	Conforme
Assistance pour les droits des personnes	Mécanismes techniques (eDiscovery, export) et engagement d’assistance	Conforme
Suppression ou restitution	Restitution ou suppression sous 90 jours après fin de contrat	Conforme
Droit d’audit	Audits SOC 2 Type II, ISO 27001, ISO 27018 mis à disposition	Conforme (via certifications)
Notification en cas de violation	Engagement de notification sans retard injustifié	Conforme

Le DPA Microsoft est l’un des plus structurés du marché. Le principal point d’attention porte sur le droit d’audit : Microsoft privilégie, comme la plupart des hyperscalers, la mise à disposition de rapports de certification plutôt que l’audit sur site. Cette pratique est acceptée par la doctrine majoritaire et par la CNIL pour les opérateurs de taille équivalente, mais doit être cohérente avec votre politique interne d’audit sous-traitants.

Transferts internationaux et EU Data Boundary

Qu’est-ce que l’EU Data Boundary

Microsoft a déployé au 1er janvier 2024 son EU Data Boundary, une architecture qui vise à localiser au sein de l’Union européenne et des pays de l’AELE le stockage et le traitement des données client pour les principaux services Microsoft 365, Azure et Dynamics 365. Pour Teams spécifiquement, cela couvre désormais les messages de chat et de canal, les fichiers, les métadonnées de réunion et la plupart des journaux de diagnostic. Pour les clients européens avec un tenant configuré dans une région UE, les données de production restent dans l’Union.

Toutefois, certains flux subsistent en dehors de l’UE : support technique impliquant des données de télémétrie anonymisées, certains services annexes (traduction en temps réel, suggestions linguistiques). Ces flux résiduels doivent être documentés dans votre registre et, idéalement, dans une analyse d’impact sur les transferts (TIA).

Mécanismes juridiques de transfert

Pour les transferts de données hors UE qui persistent – principalement vers les États-Unis pour certaines fonctionnalités – Microsoft s’appuie sur deux mécanismes cumulatifs :

D’abord, le EU-US Data Privacy Framework (DPF). Microsoft Corporation est certifiée au DPF et la décision d’adéquation de la Commission européenne du 10 juillet 2023 fournit une base légale pour ces transferts tant que la certification est maintenue. Ensuite, les clauses contractuelles types (CCT) de la Commission européenne (version 2021) sont intégrées au DPA comme mécanisme subsidiaire, ce qui protège la relation contractuelle en cas d’invalidation du DPF – scénario non théorique compte tenu du précédent Schrems II.

Analyse d’impact sur les transferts (TIA)

Les lignes directrices 05/2021 de l’EDPB imposent au responsable de traitement de conduire sa propre évaluation de l’équivalence du niveau de protection dans le pays destinataire. Pour Microsoft, les éléments à documenter dans la TIA comprennent : la catégorisation des données effectivement transférées (fonctionnelles versus sensibles), les mesures techniques supplémentaires (chiffrement en transit et au repos, gestion des clés par le client via Customer Key, Double Key Encryption pour les données très sensibles), et l’analyse du droit américain applicable (FISA 702, Executive Order 12333) au regard du périmètre de votre tenant. Ce travail d’analyse est précisément celui que Legiscope automatise en générant une TIA structurée à partir de votre configuration réelle.

Configuration RGPD recommandée

Gestion des durées de conservation

Le paramètre le plus souvent mal configuré dans mes audits est la rétention. Par défaut, Microsoft conserve messages, fichiers et enregistrements sans limite – ce qui n’est pas conforme au principe de limitation de conservation de l’article 5(1)(e) du RGPD. La politique de rétention doit être définie sur la base de vos finalités et documentée. Voir notre guide des durées de conservation pour les bornes indicatives par catégorie de données.

Recommandations pratiques : appliquer via Microsoft Purview une politique de rétention différenciée pour les messages privés (typiquement 90 jours à 1 an), les canaux d’équipe (1 à 3 ans selon la nature du projet), les fichiers SharePoint liés à Teams (aligner sur la politique documentaire globale), et les enregistrements de réunion (30 à 180 jours selon le cas d’usage).

Enregistrements et transcription

Les fonctionnalités d’enregistrement et de transcription automatique soulèvent des enjeux spécifiques : information préalable des participants, base légale, finalité précise, restriction d’accès aux destinataires légitimes. Une configuration rigoureuse impose d’autoriser l’enregistrement uniquement à des catégories définies d’utilisateurs, de désactiver l’enregistrement par défaut dans les politiques de réunion, et d’informer systématiquement les participants externes au début de chaque session enregistrée.

Sur le plan de la base légale, l’enregistrement s’appuie généralement sur l’intérêt légitime de l’employeur (documentation d’une décision, formation, gestion des clients absents) – base qui doit être justifiée par un test de mise en balance. Le recours au consentement (article 7) n’est pas approprié dans un contexte salarié du fait du déséquilibre hiérarchique.

Copilot et politiques d’usage

L’activation de Microsoft 365 Copilot crée de nouvelles surfaces de risque : un prompt peut interroger des documents contenant des données RH, financières ou sensibles auxquels l’utilisateur a accès mais dont l’agrégation par IA peut créer des risques nouveaux. Recommandations : définir une charte IA interne articulée avec votre charte informatique, limiter le déploiement initial à des populations ciblées (tests utilisateurs), cartographier les sources de données exposées via SharePoint, mener une AIPD dédiée si des traitements à risque élevé sont concernés.

Gestion des invités et accès externes

Par défaut, Teams autorise l’invitation d’utilisateurs externes et le partage de canaux. Il est recommandé de restreindre ces capacités aux besoins opérationnels documentés : limitation par domaine (allowlist), expiration automatique des accès invités inutilisés, revue trimestrielle des invités actifs, journalisation des partages de fichiers vers l’extérieur.

Droits des personnes et Teams

L’exercice des droits des personnes sur un environnement Teams est techniquement faisable mais opérationnellement complexe. Le droit d’accès de l’article 15 RGPD peut nécessiter la recherche dans des conversations privées, des fichiers partagés, des enregistrements, des transcriptions et des journaux d’accès. Microsoft met à disposition l’outil eDiscovery (Premium) qui permet d’effectuer ces recherches à l’échelle du tenant, mais son utilisation doit être encadrée : rôles spécifiques, traçabilité des recherches, purge des exports.

Pour le droit à l’effacement (article 17), l’opération doit prendre en compte la rémanence dans les sauvegardes, les mentions dans des conversations de groupe, et l’existence d’obligations légales de conservation (droit du travail, droit commercial) qui peuvent justifier un maintien partiel des données. La procédure doit être formalisée et testée avant la première demande réelle.

Notification de violation

En cas de violation affectant Teams (compromission d’un compte, fuite de fichiers, erreur d’accès), la procédure de notification à la CNIL sous 72 heures reste applicable. Microsoft s’engage à vous notifier toute violation sans retard injustifié, mais la qualification juridique et la décision de notification restent de votre responsabilité. Il est recommandé d’articuler votre procédure interne de gestion des incidents avec les notifications que Microsoft émet via le Message Center et le portail Service Trust.

Ce qu’il faut retenir

• Microsoft Ireland est sous-traitant au sens de l’article 28 du RGPD pour Teams et l’ensemble de la suite Microsoft 365, Copilot inclus ; le DPA est solide et couvre les exigences formelles.
• L’EU Data Boundary localise désormais la majorité des données Teams dans l’Union européenne, mais des flux résiduels subsistent et doivent être documentés dans le registre et la TIA.
• La rétention par défaut n’est pas conforme au principe de limitation de conservation : une politique Microsoft Purview doit être configurée pour chaque type de contenu (messages, fichiers, enregistrements).
• Les enregistrements et transcriptions exigent une information préalable des participants et une base légale documentée – généralement l’intérêt légitime testé.
• Microsoft 365 Copilot doit faire l’objet d’une analyse d’impact spécifique et d’une charte d’usage interne avant déploiement large.

FAQ

Microsoft Teams est-il conforme au RGPD ?

Oui, dans sa configuration contractuelle standard. Le DPA de Microsoft couvre les exigences de l’article 28, les mesures de sécurité sont auditées (SOC 2, ISO 27001, ISO 27018), et l’EU Data Boundary localise la plupart des données en UE. La conformité effective dépend néanmoins du paramétrage par le client (rétention, invités, enregistrements, Copilot) et de la documentation dans le registre.

Les données Teams sont-elles stockées en Europe ?

Depuis le déploiement de l’EU Data Boundary (1er janvier 2024), la majorité des données Teams des clients européens (messages, fichiers, métadonnées de réunion) sont stockées et traitées dans l’Union européenne et l’AELE. Certains flux résiduels (support, services linguistiques) peuvent encore transiter hors UE, encadrés par le DPF et les CCT.

Faut-il mener une AIPD pour Microsoft 365 Copilot ?

Une AIPD est recommandée lorsque Copilot est déployé sur des populations traitant des données sensibles, des données RH ou des volumes importants de données clients. Le recours à l’IA générative sur des données personnelles internes constitue un traitement susceptible d’engendrer un risque élevé au sens de l’article 35. Mieux vaut documenter l’analyse, même si elle conclut à l’absence de risque élevé.

Peut-on enregistrer une réunion Teams sans consentement ?

L’enregistrement ne requiert pas le consentement au sens de l’article 7 du RGPD, mais il impose une information préalable des participants (article 13) et une base légale. Dans un contexte professionnel, l’intérêt légitime de l’employeur est généralement mobilisé, à condition de documenter un test de mise en balance démontrant la proportionnalité de la mesure.

---

Envie de mettre Microsoft Teams en conformité sans y passer des semaines ? Recevez nos analyses de conformité chaque semaine : décisions CNIL décryptées, modèles de configuration et retours d’expérience de DPO.