Copilot s’invite dans nos mails, nos documents et nos réunions Teams. Une prouesse technique, certes, mais une question revient sans cesse : nos données sont-elles en sécurité ?
Premier point essentiel : Copilot n’utilise pas vos données pour entraîner ses modèles d’IA. C’est même ce qui la distingue fondamentalement des autres intelligences artificielles grand public.
Si la série Black Mirror nous a appris quelque chose, c’est que la technologie n’est jamais vraiment le problème : c’est notre usage qui l’est.
À l’heure où l’intelligence artificielle s’installe dans nos outils de travail, Copilot apparaît comme le contre-exemple de ces scénarios sombres : il ne cherche pas à nous dominer, mais à nous assister.
Encore faut-il savoir ce qu’il voit, ce qu’il fait et ce qu’il garde pour lui.
Voyons maintenant, en détail, comment Microsoft 365 Copilot protège la sécurité et la confidentialité de vos données.
« Est-ce que Copilot lit mes mails ? »
C’est la question qui revient à chaque formation Copilot. Et, à vrai dire, elle est légitime.
Derrière chaque outil d’intelligence artificielle, surtout quand il touche à vos documents et à vos échanges professionnels, plane la même crainte :
« Et si mes données s’échappaient quelque part dans le cloud ? »
Bonne nouvelle : avec Microsoft 365 Copilot, vos données ne partent pas en vacances sans vous.
En effet, Copilot n’analyse vos mails que dans le cadre de l’exécution de vos requêtes, et uniquement s’il y a accès dans votre tenant Microsoft 365.
Mais (car il y a toujours un mais), la confiance n’exclut pas la vigilance.
En résumé : Copilot ne “lit” pas les emails de façon proactive, mais il accède au contenu des mails quand vous lui posez une question contextuelle (ex. “résume mes derniers échanges avec X”).
Ce que Copilot fait vraiment de vos données
Copilot s’appuie sur Microsoft Graph, le grand plan d’urbanisme de vos données Microsoft 365.
Lorsqu’il vous aide à rédiger un mail ou à résumer une réunion, il n’invente rien : il se base uniquement sur les fichiers et les informations auxquels vous avez déjà accès.
Si vous n’avez pas accès à un fichier SharePoint, Copilot non plus.
Si un document est protégé par une étiquette de confidentialité, Copilot la respecte.
En clair, Copilot ne contourne pas les portes : il se contente de mieux vous aider à trouver les clés.
Vos données ne quittent pas votre espace Microsoft 365 (“tenant”), elles ne sont pas réutilisées pour entraîner le modèle, et elles sont chiffrées aussi bien “au repos” qu’en transit. Seul le prompt enrichi du contexte nécessaire est temporairement transmis au modèle d’IA hébergé sur Azure (sans stockage ni réutilisation).
Depuis le 1er mars 2024, Microsoft a renforcé son engagement sur la résidence des données.
Concrètement, Copilot est désormais intégré aux mêmes garanties que le reste de Microsoft 365.
En Europe, Copilot est classé comme service à “limite de données UE” : ➜ vos requêtes et contenus sont traités et stockés dans l’espace européen.
Hors UE, le traitement peut s’effectuer dans différentes régions (États-Unis, Europe, autres zones Azure), selon la configuration de chaque organisation.
💡 Pour les entreprises et administrations, cette transparence n’est plus un simple argument de conformité : c’est un pilier de la confiance numérique.
Et la Suisse dans tout ça ? Confidentialité et cadre légal helvétique
Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD) est entrée en vigueur.
Elle rapproche le droit suisse du RGPD, tout en conservant quelques spécificités : amendes ciblant les personnes responsables, transparence renforcée, et obligation d’informer sur les transferts transfrontaliers.
Le transfert de données hors Suisse reste possible, mais strictement encadré. Les organisations doivent documenter les garanties (clauses contractuelles, reconnaissance d’adéquation ou consentement explicite).
Bonne nouvelle : Microsoft dispose de régions cloud en Suisse (Zurich et Genève).
Les entreprises helvétiques peuvent donc héberger leurs données sous juridiction suisse, tout en profitant des mêmes niveaux de sécurité et de conformité.
Précision utile : Vérifiez auprès de votre administrateur ou via le Centre d’administration Microsoft 365 que Copilot est bien activé dans la région cloud suisse (Zurich/Genève), car son déploiement peut varier selon les tenants.
En pratique :
privilégiez les régions suisses,
documentez les transferts éventuels,
réalisez une analyse d’impact (DPIA) pour les données sensibles.
En Suisse aussi, Copilot peut travailler sereinement, à condition qu’on garde la main sur les clés du cloud.
Selon Microsoft Suisse : “Nos solutions de souveraineté numérique permettent aux organisations helvétiques de stocker et traiter leurs données dans le pays, sous juridiction suisse, tout en bénéficiant de la puissance du cloud Microsoft.”
Même avec tous ses garde-fous, Copilot ne sait pas distinguer “donnée sensible” de “bonne idée à éviter”.
Il obéit à vos droits d’accès : si un collaborateur y a accès, Copilot aussi.
Les risques majeurs :
Divulguer ses identifiants Microsoft 365 à une autre personne,
Ne pas signaler immédiatement toute anomalie dans les réponses générées par l’IA,
Ne pas valider systématiquement le contenu généré avant de le partager,
Mal configurer les droits d’accès,
Inclure des données hautement sensibles dans les prompts à Copilot, particulièrement les informations personnelles identifiables (“teste sur ce fichier RH…”),
Ne pas garder la maîtrise sur des connecteurs tiers,
Ne pas être vigilant concernant les hallucinations (Copilot peut inventer une référence).
Les juristes allemands du cabinet SRD Rechtsanwälte recommandent d’ailleurs une analyse d’impact sur la vie privée (DPIA) avant tout déploiement de Copilot, et rappellent qu’un mauvais paramétrage des droits d’accès est souvent plus risqué qu’une faille technique (SRD Rechtsanwälte – Microsoft Copilot M365 Privacy).
Bref : Copilot sait beaucoup, mais il ne sait pas ce qu’il ne faut pas dire.
Témoignage anonymisé
Pour illustrer concrètement ces risques, voici le témoignage anonymisé d’un responsable digital confronté à une situation réelle :
« Dans notre entreprise de 800 personnes, nous avons déployé Copilot en mode pilote auprès d’une équipe marketing. Tout allait bien… jusqu’au jour où un collaborateur a demandé à Copilot : “Résume-moi les retours clients sensibles sur le nouveau produit X.”
Problème : certains documents contenant des retours clients étaient stockés dans un dossier SharePoint partagé avec des droits trop larges. Résultat ? Copilot a pu accéder à des commentaires confidentiels, y compris des données personnelles non masquées, tout simplement parce que l’utilisateur y avait accès.
Heureusement, un manager a repéré la réponse générée (“Mme Intel, cliente VIP, a signalé un défaut critique…”) et a immédiatement alerté l’administrateur Office 365. Ainsi, il n’y a eu aucune fuite externe, mais un vrai signal d’alarme.
Depuis, nous avons :
Audité tous les partages SharePoint/OneDrive avec Purview,
Mis en place des étiquettes de confidentialité obligatoires,
Formé les équipes à ne jamais inclure de noms ou d’identifiants dans les prompts,
Et limité l’accès à Copilot aux seuls collaborateurs formés.
Leçon apprise : Copilot n’a fait aucune erreur technique. Il a juste révélé nos mauvaises pratiques. Depuis, il est devenu notre meilleur allié… pour améliorer notre gouvernance. »
– Responsable digital d’un grand groupe industriel (témoignage anonymisé, mai 2025)
Ce cas montre bien que la vigilance humaine reste centrale. Voyons maintenant ce que Copilot conserve de vos interactions…
Qu’enregistre Copilot ?
Microsoft conserve l’historique des interactions Copilot (invite + réponse) sous forme chiffrée.
Les administrateurs peuvent y accéder via Microsoft Purview, définir des politiques de rétention ou permettre la suppression par l’utilisateur.
En résumé :
Ces données sont chiffrées et isolées dans le tenant Microsoft 365. Vos interactions sont stockées de façon sécurisée dans votre environnement Microsoft 365. Si votre entreprise a des exigences strictes (par exemple en Suisse ou en UE), vérifiez auprès de votre service informatique que tout est bien configuré.
Elles ne servent jamais à entraîner les modèles d’IA.
L’utilisateur garde le droit de supprimer son historique.
Copilot peut intégrer des outils tiers via connecteurs Graph ou agents.
Chaque agent dispose de ses propres conditions de confidentialité, visibles dans le Centre d’administration Microsoft 365.
Règle d’or :
activez uniquement les agents nécessaires,
validez leurs conditions et politiques de confidentialité,
et testez-les sur un périmètre pilote avant généralisation.
Un connecteur mal configuré vers un service non conforme (ex. Google Drive, outil SaaS non approuvé) peut créer une fuite de données hors du périmètre sécurisé de Microsoft 365, même si Copilot lui-même est sécurisé.
Copilot sécurise ce que vous sécurisez déjà. Pour en tirer le meilleur, adoptez ces réflexes :
Formez les utilisateurs à la confidentialité et aux prompts sûrs.
Pour les admins : activez les étiquettes de confidentialité Purview.
Révisez les droits d’accès régulièrement.
Évitez les “tests” avec des données sensibles.
Documentez votre politique Copilot dans la gouvernance de la donnée.
Ces recommandations rejoignent d’ailleurs celles formulées par l’Office of the Information Commissioner (Australie), qui conseille de limiter les prompts contenant des données identifiables et d’appliquer une stricte politique de transparence (OIC Queensland – Microsoft Copilot and Privacy Risks).
En somme : Copilot sécurise ce que vous sécurisez déjà. Il ne remplace pas la gouvernance, il la révèle.
Et demain ?
La sécurité n’est jamais un état figé.
Le règlement européen sur l’IA (AI Act) va imposer de nouvelles obligations de transparence et d’audit.
Microsoft anticipe déjà ces exigences, mais la responsabilité finale restera humaine.
Demain, on parlera d’IA explicable, d’audit de prompts et de co-pilotage éthique. Mais aujourd’hui, l’enjeu reste le même : comprendre ce que fait Copilot… et ce que nous en faisons.
Votre mémo sécurité Copilot : 5 gestes simples pour rester maître de vos données
Avant de poser votre première question à Copilot, assurez-vous de :
Ne jamais inclure de données sensibles dans vos prompts → Évitez les noms complets, numéros de téléphone, salaires, diagnostics médicaux, contrats clients, etc.
Exemple à éviter : “Résume le mail de Mme Ducommun concernant son licenciement.”
Alternative sûre : “Résume les points clés de mon dernier échange avec un client sur le projet X.”
Toujours relire et valider la réponse de Copilot
Copilot peut inventer des chiffres, des dates ou des noms (“hallucinations”).
Vérifiez les faits, sources, et ton avant d’envoyer ou partager.
Ne pas partager vos identifiants ou laisser votre session ouverte
Si quelqu’un d’autre utilise votre compte, il aura accès à tout ce que Copilot peut voir… y compris vos mails et fichiers privés.
Signaler immédiatement toute réponse bizarre ou inappropriée
Utilisez le bouton “Signaler un problème” (⋮) dans l’interface Copilot.
Cela aide Microsoft à améliorer l’outil et protège votre entreprise.
Demander conseil si vous avez un doute
Avant d’utiliser Copilot sur un document confidentiel (RH, juridique, financier), demandez à votre manager ou au service informatique si c’est autorisé.
En conclusion
On est loin des scénarios dystopiques de Black Mirror.
Copilot ne prend pas le contrôle de nos vies : il nous aide simplement à mieux comprendre la nôtre qui est une version plus ordonnée, plus synthétique, parfois plus lucide de notre propre travail.
Dans cette série où chaque épisode tend un miroir sombre à notre rapport à la technologie, la question n’est jamais « Que fait la machine ? » mais bien « Que faisons-nous d’elle ? »
C’est exactement le défi posé par Copilot : il reflète nos pratiques numériques, nos partages parfois trop larges, nos fichiers trop ouverts, nos automatismes qu’on ne remet plus en question.
Copilot n’est pas un épisode de Black Mirror : il est le reflet de notre manière d’utiliser la technologie ; ni ange, ni démon, juste un miroir bien poli.
La vraie question n’est donc pas « Est-ce que Copilot est sûr ? ». Mais plutôt : « Est-ce que nous le sommes ? »
Et c’est une excellente nouvelle, parce que cela signifie que la sécurité (comme l’intelligence) restera toujours un peu humaine.
FAQ : Vos questions fréquentes (et nos réponses simples)
Copilot garde-t-il ce que je lui demande ? Oui, mais de façon sécurisée. Vos questions (“prompts”) et les réponses de Copilot sont stockées dans un historique chiffré et uniquement accessible dans votre compte Microsoft 365.
💡Bon à savoir : Vous pouvez supprimer votre historique à tout moment via “Mon Compte” > “Activité Copilot”. Ces données ne servent jamais à entraîner l’IA. Si votre entreprise le décide, l’administrateur peut aussi configurer une suppression automatique (mais ce n’est pas vous qui gérez ça),
Et si je désactive Copilot ou certaines fonctions ? Si vous désactivez les fonctionnalités d’IA dans vos paramètres (parfois appelées “expériences connectées”), Copilot ne fonctionnera plus dans Outlook, Word, Excel, etc.
Pourquoi le faire ?
Par prudence, ou si votre politique interne l’exige.
Mais vous perdrez tous les gains de productivité (résumés, suggestions, création assistée…).
💡Mon conseil : plutôt que de tout désactiver, apprenez à l’utiliser en toute sécurité. C’est l’objectif de cet article.
Puis-je utiliser Copilot avec des outils externes (Google Drive, Trello, etc.) ?
Parfois, oui, grâce à des “connecteurs” ou “agents” activés par votre entreprise.
Attention :
Ces outils tiers ont leurs propres règles de confidentialité → vérifiez toujours leur nom et leur origine.
Si vous voyez un connecteur étrange ou non officiel, ne l’utilisez pas et signalez-le à votre service informatique.
Ce n’est pas à vous de les configurer, c’est géré par les administrateurs.
En résumé : utilisez uniquement les connecteurs approuvés par votre entreprise. En cas de doute, demandez !
Article rédigé par Laurianne Demarlière, formatrice digitale. ThinkT | formations Microsoft 365, IA et Design Thinking.
Envie d’aller plus loin ?
Vous souhaitez vous former ou former vos équipes pour utiliser Copilot intelligemment ?
Je propose des formations et accompagnements sur mesure, à distance ou en présentiel. Toujours avec une dose de pédagogie, un soupçon d’humour, et un zeste d’esprit critique.
Rédiger un bon prompt, c’est un art. Et parfois, on manque de temps, d’inspiration, ou d’énergie. Bonne nouvelle : l’agent Prompt Coach peut vous aider à parler à Copilot. Cet agent intégré (mais légèrement caché) peut vous accompagner pour formuler une requête claire, précise et efficace. Alors, voyons comment accéder et utiliser Prompt Coach. 🚨Attention :…
Copilot Excel (Microsoft Copilot Pro intégré à Office 365) est-il un assistant IA révolutionnaire ou un simple gadget de plus ? Voici mon retour d’expérience — 100 % terrain, 0 % blabla. Avant de plonger dans les lignes de code et les mises en forme conditionnelles, précisons-le d’emblée : quelques références à une certaine silhouette…
🎧 Pas le temps de lire ?Voici la version audio de l’article (4 minutes d’écoute — parfait pour un café ☕) OneDrive, Teams, SharePoint : découvrez enfin où ranger vos fichiers Microsoft 365 pour ne plus perdre un document au bureau. Bienvenue dans le Triangle des Bermudes numérique version Microsoft 365 :Un endroit mystérieux où…
Certains utilisateurs se plaignent que l’IA donne des réponses trop générales. Il est vrai qu’on rêve tous d’un assistant qui nous connaît suffisamment pour éviter de répéter, à chaque discussion, notre histoire personnelle ou professionnelle. Bonne nouvelle : Copilot comme ChatGPT ne sont pas condamnés à rester des inconnus polis qui répondent vaguement à vos…
« Un outil pour les gouverner toutes, un outil pour les retrouver, un outil pour les réunir toutes, et dans Teams les partager. » Prologue : La quête du collaborateur moderne « L’anneau est en votre possession, mais le porteur ne connaît pas encore sa puissance. » Dans les profondeurs des réunions interminables et des canaux Teams…
Cela fait plusieurs années que j’accompagne des équipes dans leur transition vers Microsoft 365. Et s’il y a bien un sujet qui revient sans cesse, c’est celui-ci : “Pourquoi la synchronisation entre SharePoint / Teams et l’Explorateur de fichiers ne marche jamais comme on veut ?” Je comprends leur frustration. Synchroniser ses fichiers “comme avant…
