|

Copilot et sécurité des données : mythe, réalité et vigilance partagée

Parlaurianne.demarliere

Copilot s’invite dans nos mails, nos documents et nos réunions Teams. Une prouesse technique, certes, mais une question revient sans cesse : nos données sont-elles en sécurité ?

Premier point essentiel : Copilot n’utilise pas vos données pour entraîner ses modèles d’IA. C’est même ce qui la distingue fondamentalement des autres intelligences artificielles grand public.

Si la série Black Mirror nous a appris quelque chose, c’est que la technologie n’est jamais vraiment le problème : c’est notre usage qui l’est.

À l’heure où l’intelligence artificielle s’installe dans nos outils de travail, Copilot apparaît comme le contre-exemple de ces scénarios sombres : il ne cherche pas à nous dominer, mais à nous assister.

Encore faut-il savoir ce qu’il voit, ce qu’il fait et ce qu’il garde pour lui.

Voyons maintenant, en détail, comment Microsoft 365 Copilot protège la sécurité et la confidentialité de vos données.

IA-Copilot-Confidentialité-données

« Est-ce que Copilot lit mes mails ? »

C’est la question qui revient à chaque formation Copilot. Et, à vrai dire, elle est légitime.

Derrière chaque outil d’intelligence artificielle, surtout quand il touche à vos documents et à vos échanges professionnels, plane la même crainte :

« Et si mes données s’échappaient quelque part dans le cloud ? »

Bonne nouvelle : avec Microsoft 365 Copilot, vos données ne partent pas en vacances sans vous.

En effet, Copilot n’analyse vos mails que dans le cadre de l’exécution de vos requêtes, et uniquement s’il y a accès dans votre tenant Microsoft 365.

Mais (car il y a toujours un mais), la confiance n’exclut pas la vigilance.

En résumé : Copilot ne “lit” pas les emails de façon proactive, mais il accède au contenu des mails quand vous lui posez une question contextuelle (ex. “résume mes derniers échanges avec X”).

IA-Données-Cloud

Ce que Copilot fait vraiment de vos données

Copilot s’appuie sur Microsoft Graph, le grand plan d’urbanisme de vos données Microsoft 365.

Lorsqu’il vous aide à rédiger un mail ou à résumer une réunion, il n’invente rien : il se base uniquement sur les fichiers et les informations auxquels vous avez déjà accès.

  • Si vous n’avez pas accès à un fichier SharePoint, Copilot non plus.
  • Si un document est protégé par une étiquette de confidentialité, Copilot la respecte.

En clair, Copilot ne contourne pas les portes : il se contente de mieux vous aider à trouver les clés.

Vos données ne quittent pas votre espace Microsoft 365 (“tenant”), elles ne sont pas réutilisées pour entraîner le modèle, et elles sont chiffrées aussi bien “au repos” qu’en transit. Seul le prompt enrichi du contexte nécessaire est temporairement transmis au modèle d’IA hébergé sur Azure (sans stockage ni réutilisation).

– Source : Microsoft Learn – Confidentialité Microsoft 365 Copilot

IA responsable : sécurité, filtres de contenu & propriété intellectuelle

Microsoft 365 Copilot intègre plusieurs mécanismes pour garantir une utilisation éthique, sécurisée et conforme :

  1. Filtres de contenu actifs
    • Copilot bloque automatiquement les contenus :
      • à caractère haineux, violent ou sexuel,
      • incitant à l’illégalité ou au harcèlement,
      • tentant de contourner ses garde-fous (prompt injection ou jailbreak).

Ces filtres sont mis à jour régulièrement par Microsoft, sans altérer vos paramètres de sécurité ou vos droits d’accès.

« Les modèles sous-jacents évoluent, mais jamais au détriment des règles de confidentialité définies par l’organisation cliente. »


– Source : Microsoft Learn – Comment Copilot bloque-t-il le contenu dangereux ?

  1. Propriété intellectuelle et copyright

Microsoft ne revendique aucun droit de propriété sur le contenu généré par Copilot.

Le résultat produit (mail, résumé, présentation, etc.) vous appartient ou à votre organisation.

Et si un tiers engage une action en justice pour violation de droits d’auteur liée à un contenu généré par Copilot ?

→ Microsoft s’engage vous défendre et prendre en charge les coûts juridiques, via son “Copilot Copyright Commitment”.

« Si vous êtes attaqué(e) en justice parce que Copilot a utilisé du contenu protégé dans sa réponse, nous prenons en charge votre défense. »

 Source : Microsoft – Copilot Copyright Commitment

Attention toutefois :
Copilot peut parfois “halluciner” en citant de fausses sources, en inventant des données ou mélangeant des contextes.

→ Relisez systématiquement tout ce que génère Copilot. En effet, la forme peut être parfaite, mais le fond peut être faux.

« Les modèles de langage peuvent générer des réponses plausibles mais inexactes. La relecture humaine reste indispensable. »
– Source : Microsoft – Déclaration de confidentialité et engagements RGPD

IA-Ethique-Responsable

Résidence des données : un engagement concret

Depuis le 1er mars 2024, Microsoft a renforcé son engagement sur la résidence des données.

Concrètement, Copilot est désormais intégré aux mêmes garanties que le reste de Microsoft 365.

  • En Europe, Copilot est classé comme service à “limite de données UE” :
    ➜ vos requêtes et contenus sont traités et stockés dans l’espace européen.
  • Hors UE, le traitement peut s’effectuer dans différentes régions (États-Unis, Europe, autres zones Azure), selon la configuration de chaque organisation.

💡 Pour les entreprises et administrations, cette transparence n’est plus un simple argument de conformité : c’est un pilier de la confiance numérique.

Source : Microsoft Learn – Résidence des données de Microsoft 365 Copilot

Et la Suisse dans tout ça ? Confidentialité et cadre légal helvétique

Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD) est entrée en vigueur.

Elle rapproche le droit suisse du RGPD, tout en conservant quelques spécificités : amendes ciblant les personnes responsables, transparence renforcée, et obligation d’informer sur les transferts transfrontaliers.

Le transfert de données hors Suisse reste possible, mais strictement encadré. Les organisations doivent documenter les garanties (clauses contractuelles, reconnaissance d’adéquation ou consentement explicite).

Bonne nouvelle : Microsoft dispose de régions cloud en Suisse (Zurich et Genève).

Les entreprises helvétiques peuvent donc héberger leurs données sous juridiction suisse, tout en profitant des mêmes niveaux de sécurité et de conformité.

Précision utile : Vérifiez auprès de votre administrateur ou via le Centre d’administration Microsoft 365 que Copilot est bien activé dans la région cloud suisse (Zurich/Genève), car son déploiement peut varier selon les tenants.

En pratique :

  • privilégiez les régions suisses,
  • documentez les transferts éventuels,
  • réalisez une analyse d’impact (DPIA) pour les données sensibles.

En Suisse aussi, Copilot peut travailler sereinement, à condition qu’on garde la main sur les clés du cloud.

Selon Microsoft Suisse :
“Nos solutions de souveraineté numérique permettent aux organisations helvétiques de stocker et traiter leurs données dans le pays, sous juridiction suisse, tout en bénéficiant de la puissance du cloud Microsoft.”

Source : Microsoft Suisse – Souveraineté numérique et Cloud local

Ce que Copilot ne protège pas tout seul

Même avec tous ses garde-fous, Copilot ne sait pas distinguer “donnée sensible” de “bonne idée à éviter”.

Il obéit à vos droits d’accès : si un collaborateur y a accès, Copilot aussi.

Les risques majeurs :

  • Divulguer ses identifiants Microsoft 365 à une autre personne,
  • Ne pas signaler immédiatement toute anomalie dans les réponses générées par l’IA,
  • Ne pas valider systématiquement le contenu généré avant de le partager,
  • Mal configurer les droits d’accès,
  • Inclure des données hautement sensibles dans les prompts à Copilot, particulièrement les informations personnelles identifiables (“teste sur ce fichier RH…”),
  • Ne pas garder la maîtrise sur des connecteurs tiers,
  • Ne pas être vigilant concernant les hallucinations (Copilot peut inventer une référence).

Les juristes allemands du cabinet SRD Rechtsanwälte recommandent d’ailleurs une analyse d’impact sur la vie privée (DPIA) avant tout déploiement de Copilot, et rappellent qu’un mauvais paramétrage des droits d’accès est souvent plus risqué qu’une faille technique (SRD Rechtsanwälte – Microsoft Copilot M365 Privacy).

Bref : Copilot sait beaucoup, mais il ne sait pas ce qu’il ne faut pas dire.

IA-Copilot-Sécurité-Données-Utilisateurs

Témoignage anonymisé

Pour illustrer concrètement ces risques, voici le témoignage anonymisé d’un responsable digital confronté à une situation réelle :

« Dans notre entreprise de 800 personnes, nous avons déployé Copilot en mode pilote auprès d’une équipe marketing. Tout allait bien… jusqu’au jour où un collaborateur a demandé à Copilot : “Résume-moi les retours clients sensibles sur le nouveau produit X.”

Problème : certains documents contenant des retours clients étaient stockés dans un dossier SharePoint partagé avec des droits trop larges. Résultat ? Copilot a pu accéder à des commentaires confidentiels, y compris des données personnelles non masquées, tout simplement parce que l’utilisateur y avait accès.

Heureusement, un manager a repéré la réponse générée (“Mme Intel, cliente VIP, a signalé un défaut critique…”) et a immédiatement alerté l’administrateur Office 365. Ainsi, il n’y a eu aucune fuite externe, mais un vrai signal d’alarme.

Depuis, nous avons :

  • Audité tous les partages SharePoint/OneDrive avec Purview,
  • Mis en place des étiquettes de confidentialité obligatoires,
  • Formé les équipes à ne jamais inclure de noms ou d’identifiants dans les prompts,
  • Et limité l’accès à Copilot aux seuls collaborateurs formés.

Leçon apprise : Copilot n’a fait aucune erreur technique. Il a juste révélé nos mauvaises pratiques. Depuis, il est devenu notre meilleur allié… pour améliorer notre gouvernance. »

– Responsable digital d’un grand groupe industriel (témoignage anonymisé, mai 2025)

Ce cas montre bien que la vigilance humaine reste centrale. Voyons maintenant ce que Copilot conserve de vos interactions…

Qu’enregistre Copilot ?

Microsoft conserve l’historique des interactions Copilot (invite + réponse) sous forme chiffrée.

Les administrateurs peuvent y accéder via Microsoft Purview, définir des politiques de rétention ou permettre la suppression par l’utilisateur.

En résumé :

  • Ces données sont chiffrées et isolées dans le tenant Microsoft 365. Vos interactions sont stockées de façon sécurisée dans votre environnement Microsoft 365. Si votre entreprise a des exigences strictes (par exemple en Suisse ou en UE), vérifiez auprès de votre service informatique que tout est bien configuré.
  • Elles ne servent jamais à entraîner les modèles d’IA.
  • L’utilisateur garde le droit de supprimer son historique.
Copilot-parametres-confidentialite

Source : Microsoft Learn, Données stockées à propos des interactions utilisateur

Connecteurs et agents : attention à l’ouverture

Copilot peut intégrer des outils tiers via connecteurs Graph ou agents.

Chaque agent dispose de ses propres conditions de confidentialité, visibles dans le Centre d’administration Microsoft 365.

Règle d’or :

  • activez uniquement les agents nécessaires,
  • validez leurs conditions et politiques de confidentialité,
  • et testez-les sur un périmètre pilote avant généralisation.

Un connecteur mal configuré vers un service non conforme (ex. Google Drive, outil SaaS non approuvé) peut créer une fuite de données hors du périmètre sécurisé de Microsoft 365, même si Copilot lui-même est sécurisé.

Source : Microsoft Learn, Considérations relatives aux données, à la confidentialité et à la sécurité pour étendre Microsoft 365 Copilot.

Les bons réflexes à adopter

Copilot sécurise ce que vous sécurisez déjà. Pour en tirer le meilleur, adoptez ces réflexes :

  • Formez les utilisateurs à la confidentialité et aux prompts sûrs.
  • Pour les admins : activez les étiquettes de confidentialité Purview.
Microsoft Purview-etiquettes de confidentialité
  • Révisez les droits d’accès régulièrement.
  • Évitez les “tests” avec des données sensibles.
  • Documentez votre politique Copilot dans la gouvernance de la donnée.

Ces recommandations rejoignent d’ailleurs celles formulées par l’Office of the Information Commissioner (Australie), qui conseille de limiter les prompts contenant des données identifiables et d’appliquer une stricte politique de transparence (OIC Queensland – Microsoft Copilot and Privacy Risks).

En somme : Copilot sécurise ce que vous sécurisez déjà. Il ne remplace pas la gouvernance, il la révèle.

Et demain ?

La sécurité n’est jamais un état figé.

Le règlement européen sur l’IA (AI Act) va imposer de nouvelles obligations de transparence et d’audit.

Microsoft anticipe déjà ces exigences, mais la responsabilité finale restera humaine.

Demain, on parlera d’IA explicable, d’audit de prompts et de co-pilotage éthique. Mais aujourd’hui, l’enjeu reste le même : comprendre ce que fait Copilot… et ce que nous en faisons.

Votre mémo sécurité Copilot : 5 gestes simples pour rester maître de vos données

Avant de poser votre première question à Copilot, assurez-vous de :

  1. Ne jamais inclure de données sensibles dans vos prompts
    → Évitez les noms complets, numéros de téléphone, salaires, diagnostics médicaux, contrats clients, etc.
    • Exemple à éviter : “Résume le mail de Mme Ducommun concernant son licenciement.”
    • Alternative sûre : “Résume les points clés de mon dernier échange avec un client sur le projet X.”
  2. Toujours relire et valider la réponse de Copilot
    • Copilot peut inventer des chiffres, des dates ou des noms (“hallucinations”).
    • Vérifiez les faits, sources, et ton avant d’envoyer ou partager.
  3. Ne pas partager vos identifiants ou laisser votre session ouverte
    • Si quelqu’un d’autre utilise votre compte, il aura accès à tout ce que Copilot peut voir… y compris vos mails et fichiers privés.
  4. Signaler immédiatement toute réponse bizarre ou inappropriée
    • Utilisez le bouton “Signaler un problème” (⋮) dans l’interface Copilot.
    • Cela aide Microsoft à améliorer l’outil et protège votre entreprise.
  5. Demander conseil si vous avez un doute
    • Avant d’utiliser Copilot sur un document confidentiel (RH, juridique, financier), demandez à votre manager ou au service informatique si c’est autorisé.

En conclusion

On est loin des scénarios dystopiques de Black Mirror.

Copilot ne prend pas le contrôle de nos vies : il nous aide simplement à mieux comprendre la nôtre qui est une version plus ordonnée, plus synthétique, parfois plus lucide de notre propre travail.

Dans cette série où chaque épisode tend un miroir sombre à notre rapport à la technologie, la question n’est jamais « Que fait la machine ? » mais bien « Que faisons-nous d’elle ? »

C’est exactement le défi posé par Copilot : il reflète nos pratiques numériques, nos partages parfois trop larges, nos fichiers trop ouverts, nos automatismes qu’on ne remet plus en question.

Copilot n’est pas un épisode de Black Mirror : il est le reflet de notre manière d’utiliser la technologie ; ni ange, ni démon, juste un miroir bien poli.

La vraie question n’est donc pas « Est-ce que Copilot est sûr ? ». Mais plutôt : « Est-ce que nous le sommes ? »

Et c’est une excellente nouvelle, parce que cela signifie que la sécurité (comme l’intelligence) restera toujours un peu humaine.

FAQ : Vos questions fréquentes (et nos réponses simples)

  • Copilot garde-t-il ce que je lui demande ?
    Oui, mais de façon sécurisée. Vos questions (“prompts”) et les réponses de Copilot sont stockées dans un historique chiffré et uniquement accessible dans votre compte Microsoft 365.

💡Bon à savoir :
Vous pouvez supprimer votre historique à tout moment via “Mon Compte” > “Activité Copilot”. Ces données ne servent jamais à entraîner l’IA.
Si votre entreprise le décide, l’administrateur peut aussi configurer une suppression automatique (mais ce n’est pas vous qui gérez ça),

  • Et si je désactive Copilot ou certaines fonctions ?
    Si vous désactivez les fonctionnalités d’IA dans vos paramètres (parfois appelées “expériences connectées”), Copilot ne fonctionnera plus dans Outlook, Word, Excel, etc.

Pourquoi le faire ?

  • Par prudence, ou si votre politique interne l’exige.
  • Mais vous perdrez tous les gains de productivité (résumés, suggestions, création assistée…).

💡Mon conseil : plutôt que de tout désactiver, apprenez à l’utiliser en toute sécurité. C’est l’objectif de cet article.

  • Puis-je utiliser Copilot avec des outils externes (Google Drive, Trello, etc.) ?

Parfois, oui, grâce à des “connecteurs” ou “agents” activés par votre entreprise.

Attention :

  • Ces outils tiers ont leurs propres règles de confidentialité → vérifiez toujours leur nom et leur origine.
  • Si vous voyez un connecteur étrange ou non officiel, ne l’utilisez pas et signalez-le à votre service informatique.
  • Ce n’est pas à vous de les configurer, c’est géré par les administrateurs.

En résumé : utilisez uniquement les connecteurs approuvés par votre entreprise. En cas de doute, demandez !

Article rédigé par Laurianne Demarlière, formatrice digitale.
ThinkT | formations Microsoft 365, IA et Design Thinking.

Envie d’aller plus loin ?

Vous souhaitez vous former ou former vos équipes pour utiliser Copilot intelligemment ?

📆 Me contacter ici : Me contacter

Je propose des formations et accompagnements sur mesure, à distance ou en présentiel. Toujours avec une dose de pédagogie, un soupçon d’humour, et un zeste d’esprit critique.

Découvrir les formations IA

Think’Mag, le blog où les outils deviennent des alliés.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *