Beaucoup de solopreneurs et de TPE françaises utilisent Windows 11 et Microsoft 365 au quotidien — et avec eux, Copilot embarqué par défaut dans Word, Teams, Edge, Windows lui-même. Ce n'est pas un scandale : c'est un angle mort documentaire courant. Microsoft est un fournisseur légitime avec des engagements RGPD sérieux sur ses offres entreprise. Le sujet n'est pas de changer de stack. C'est de savoir précisément ce qui est activé, ce que ça traite, et comment calibrer pour que votre usage soit documentable — vis-à-vis d'un DPO, d'un client B2B exigeant, ou d'une autorité de contrôle.
Selon les annonces officielles Microsoft 2023-2026 :
Pour tout solopreneur ou TPE qui a souscrit ou renouvelé un abonnement Microsoft 365 après mi-2023, l'IA par défaut Windows entreprise est très probablement en service — sans décision formalisée.
La vraie question n'est pas « est-ce que l'IA est active ? » mais « qu'est-ce qu'elle traite, et dans quel régime contractuel ? ».
Voici les éléments clés à distinguer.
| Fonctionnalité | Activée par défaut ? | Ce qu'elle traite | Régime contractuel |
|---|---|---|---|
| Copilot dans Teams (résumés réunions) | Oui (Teams Premium) | Transcriptions audio, contenus partagés | DPA Microsoft 365 Enterprise |
| Copilot dans Word / Outlook | Oui si licence M365 Copilot | Contenu documents, mails | DPA Microsoft 365 Enterprise |
| Connected Experiences (Office) | Oui par défaut | Documents, métadonnées, usage patterns | DPA Microsoft 365, configurable |
| Diagnostic data (télémétrie) | Niveau « Required » par défaut | Usage, erreurs applicatives | Contrat EA / licence |
| Recall (Windows 11 Copilot+ PC) | Annoncé opt-in depuis juin 2024 | Captures d'écran chiffrées locales | Stockage local uniquement |
| Bing Chat / Copilot web (Edge) | Oui dans Edge | Requêtes web, contexte onglet actif | DPA séparé, MSA ou AAD selon contexte |
Note sur Recall : après une vague de critiques de chercheurs en sécurité et d'organisations de protection de la vie privée (dont l'ICO britannique), Microsoft a revu la conception de Recall pour en faire une fonctionnalité opt-in explicite sur les PC Copilot+, avec stockage local chiffré. La situation a évolué positivement depuis l'annonce initiale de mai 2024. Il convient néanmoins de vérifier les paramètres sur les machines concernées.
Microsoft propose des engagements sérieux pour ses offres professionnelles. Points clés.
Ce qui est solide :
dataprivacyframework.gov), couverture transferts UE-US sous décision d'adéquation 2023/1795.Ce qui demande attention :
En pratique : Microsoft 365 Business Standard ou Premium avec DPA signé, Connected Experiences gérées et données residentes EU, c'est un usage défendable et documentable au titre de l'Art. 28 RGPD. Le sujet n'est pas l'interdiction, c'est la documentation.
Désactiver Copilot entreprise n'est pas l'objectif — le calibrer l'est. Ces cinq actions prennent moins d'une heure et suffisent pour passer d'une situation « on ne sait pas ce qui tourne » à « on a documenté et calibré » — autrement dit, d'une Copilot conformité RGPD à risque à une Copilot conformité RGPD maîtrisée.
Ouvrez account.microsoft.com/subscriptions. Vérifiez si vous êtes sur un plan Personal / Family ou Business. Si vous êtes sur Personal et que vous traitez des données clients : migrez vers Business Standard (13,20 €/utilisateur/mois HT) pour bénéficier du DPA entreprise. Cette migration est l'action prioritaire.
Dans le centre d'administration Microsoft 365 (admin.microsoft.com) → Paramètres → Confidentialité et sécurité → Centre de gestion des données : vous trouverez les engagements contractuels Microsoft, dont le DPA. Notez la référence dans votre registre Art. 30. Si vous passez par un revendeur, le DPA s'applique via le contrat cadre Microsoft — vérifiez auprès de votre revendeur.
Via admin.microsoft.com → Paramètres → Services et compléments → Connected Experiences : désactivez les expériences qui analysent le contenu des documents. Sur les machines individuelles sans accès admin : Fichier → Options → Centre de confidentialité → Options de confidentialité → décocher les expériences connectées optionnelles. Sur flotte gérée : GPO User Configuration > Administrative Templates > Microsoft Office 2016 > Privacy > Trust Center.
Paramètres Windows → Confidentialité et sécurité → Diagnostics et commentaires → choisir « Données de diagnostic obligatoires ». Limite la télémétrie aux données strictement nécessaires au fonctionnement. Déployable via Intune sur les flottes.
PC Copilot+ (Qualcomm / Intel Core Ultra 2 / AMD Ryzen AI 300) avec Windows 11 24H2 : Paramètres → Confidentialité et sécurité → Recall et instantanés. Depuis juin 2024, Recall est opt-in explicite après révision de conception. Vérifiez que l'état correspond à votre choix conscient — si activé, mentionnez-le dans le registre Art. 30 (les captures locales peuvent contenir des données personnelles).
Il existe un écart croissant entre les IA qu'une organisation décide d'utiliser et les IA effectivement actives dans son environnement. Cet écart a un nom dans la doctrine de gouvernance IA : la shadow IA — par analogie avec le shadow IT des années 2010.
Un composant IA opérant sans décision formelle, sans audit, ni mention dans le registre Art. 30 : c'est de la shadow IA. Copilot actif par défaut sur les postes d'une TPE dont personne n'a évalué l'usage, c'est le cas le plus fréquent aujourd'hui.
Pourquoi ça compte : l'Art. 30 RGPD impose un registre complet des traitements. Un traitement IA non documenté est un traitement manquant. En cas de contrôle CNIL, l'absence de documentation d'un traitement IA visible dans vos outils est un point de fragilité — même si le traitement lui-même est conforme. La réponse n'est pas de désinstaller Copilot. C'est de documenter son usage, ses paramètres, et les données traitées.
Dans la vision POSITRONIA d'EuTrustedIA, votre système IA n'est pas juste votre propre code — c'est la carte complète de tous les composants IA actifs dans votre environnement, y compris ceux présents par défaut dans vos outils. « Pas d'agent sans laisse. »
Un Copilot actif dans Microsoft 365 Business est un nœud « SaaS tiers » de cette carte. POSITRONIA-CORE l'identifie, le score sur les dimensions vérifiables (DPA existant, statut DPF, data residency EU, mention registre Art. 30), et produit un rapport privé sur votre machine — sans que vos données ne quittent votre poste. Résultat : liste des nœuds identifiés + score 0-100 par nœud + actions correctives priorisées. Vous passez d'un angle mort documentaire à un inventaire auditable.
| Votre situation | Priorité 1 | Priorité 2 | Priorité 3 |
|---|---|---|---|
| M365 Personal avec données clients | Migrer vers Business Standard | Signer DPA admin.microsoft.com | Documenter registre Art. 30 |
| M365 Business, DPA non confirmé | Confirmer DPA en ligne | Désactiver Connected Experiences optionnelles | Vérifier niveau diagnostic |
| TPE avec équipe, IT informel | Inventaire Copilot actif par utilisateur | GPO diagnostic + Connected Experiences | AIPD si traitements à risque |
| Startup B2B EU clients exigeants | EU Data Boundary Enterprise | Scan POSITRONIA inventaire shadow IA | Registre Art. 30 complet exportable |
Les questionnaires fournisseurs B2B EU incluent de plus en plus : « Listez les outils IA utilisés pour traiter nos données » ou « Avez-vous réalisé une AIPD pour votre usage IA ? »
Avoir la réponse — « Oui, voici le registre Art. 30, les DPA signés, le rapport POSITRONIA du trimestre » — c'est un différenciateur commercial concret. Pas de peur, pas d'excès, juste la discipline documentaire qui rassure un acheteur professionnel. Savoir ce que fait Copilot dans votre environnement, et l'avoir documenté, c'est exactement ce signal.
Copilot est utilisable en contexte professionnel sous les bonnes conditions contractuelles. Pour la majorité des solopreneurs et TPE sur Microsoft 365 Business, la situation est gérable en quelques heures : confirmer le DPA, calibrer les Connected Experiences, documenter dans le registre Art. 30.
Le vrai enjeu, c'est de ne plus l'ignorer — passer d'un angle mort à un inventaire auditable, c'est le saut de maturité que demande progressivement le marché B2B EU.
Notre page de recommandations liste les ressources pour structurer votre gouvernance IA. Pour un inventaire automatisé des nœuds IA actifs dans votre environnement, voir nos plans POSITRONIA-CORE.
Cet article a été rédigé par Claude Sonnet 4.6 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.