Le règlement européen sur l'intelligence artificielle (UE 2024/1689), plus connu sous le nom d'AI Act, est entré en vigueur le 1er août 2024. Sa pleine applicabilité est fixée au 2 août 2026. Pour les entreprises qui déploient Microsoft 365 Copilot, le calendrier est serré et les obligations sont précises. Pourtant, une idée reçue persiste : "c'est le problème de Microsoft, pas le nôtre." Ce raisonnement est inexact et potentiellement coûteux. En tant que déployeur, votre organisation endosse des responsabilités légales directes sur la façon dont Copilot accède à vos données. Cet article détaille ce que cela signifie concrètement et les actions à mener avant l'échéance.
Au programme de cet article :
L'AI Act distingue deux rôles : le fournisseur et le déployeur. Microsoft, en tant que concepteur et distributeur du modèle, est le fournisseur. Il est responsable de la conformité technique du système IA, de la transparence sur les données d'entraînement et de l'absence de contenu illégal dans les sorties du modèle.
Votre entreprise, dès lors qu'elle active Copilot pour Microsoft 365 dans son environnement, devient déployeur au sens de l'article 3 du règlement. Cette qualification s'applique indépendamment de la taille de l'organisation. Elle implique des obligations sur l'usage, la gouvernance des données injectées dans le système et la supervision humaine des résultats.
Microsoft 365 Copilot est classé comme modèle d'IA à usage général (GPAI). Par défaut, il ne relève pas des systèmes à haut risque. Cependant, cette classification peut évoluer selon l'usage que vous en faites. Si Copilot est utilisé pour des tâches de recrutement (tri automatique de CV, évaluation de candidats), d'évaluation des performances des collaborateurs, ou de prise de décision dans des domaines sensibles (crédit, santé, services essentiels), le système peut basculer dans la catégorie "à haut risque". Dans ce cas, les obligations s'alourdissent considérablement : analyse d'impact sur les droits fondamentaux, supervision humaine stricte, enregistrement auprès des autorités compétentes.
Êtes-vous déployeur au sens de l'AI Act ? Oui, si votre entreprise active Copilot dans son tenant Microsoft 365. Oui, si vous configurez les paramètres d'usage, les connecteurs et les agents. Non, si vous êtes un simple employé utilisant un outil déployé par votre employeur — la responsabilité reste chez l'organisation.
L'AI Act impose aux déployeurs quatre catégories d'obligations, quel que soit le niveau de risque du système.
La transparence. Vos collaborateurs et les tiers avec lesquels ils interagissent doivent savoir quand ils échangent avec une IA ou consomment du contenu généré par elle. Les documents, résumés, emails et présentations produits avec l'assistance de Copilot doivent être identifiables comme tels. C'est à votre organisation de définir les règles de diffusion et de marquage, pas à Microsoft.
L'accountability. Vous devez tenir un inventaire des cas d'usage Copilot actifs dans l'entreprise, réaliser une analyse de risques pour les processus critiques et maintenir une documentation de vos usages (article 26 du règlement). Cette documentation doit pouvoir être transmise aux autorités de contrôle en cas d'audit.
La formation des collaborateurs (AI literacy). L'article 4 du règlement impose que les personnes chargées d'utiliser ou de superviser des systèmes d'IA disposent des compétences nécessaires pour en comprendre les limites : hallucinations, biais potentiels, absence de vérification automatique des sources. Cette formation n'est pas une recommandation de bonne pratique, c'est une mesure de conformité.
La gouvernance des données d'entrée. L'article 10 du règlement exige que les données utilisées par les systèmes d'IA soient pertinentes, représentatives, sécurisées et correctement gouvernées. Pour Copilot, cela signifie que les données auxquelles il accède dans votre tenant Microsoft 365 doivent répondre à ces critères. Un environnement où les permissions sont mal gérées, où des fichiers sensibles sont accessibles à tous les utilisateurs authentifiés, ou encore où des partages anonymes n'ont jamais été révoqués, constitue un manquement direct à cette obligation.
C'est ici que réside le principal risque pour la majorité des entreprises, et le sujet est rarement abordé dans les guides de conformité AI Act.
Copilot ne fait pas de distinguo. Il accède à l'ensemble des données auxquelles un utilisateur a droit dans Microsoft 365, y compris les informations sensibles dont l'utilisateur lui-même ignore l'existence. Une feuille de calcul contenant les salaires stockée sur un site SharePoint configuré en accès "Authenticated Users", un espace Teams laissé ouvert après la fin d'un projet, un lien de partage anonyme créé il y a deux ans et jamais supprimé : Copilot y accède, résume, et restitue les informations à qui les demande. Il n'a pas contourné la sécurité, il a utilisé les droits existants.
Ce mécanisme crée une double exposition juridique. D'une part, un risque de fuite de données constitutif d'une violation au sens du RGPD. D'autre part, une non-conformité à l'article 10 de l'AI Act, qui exige que les données d'entrée des systèmes d'IA soient sécurisées et correctement gouvernées. Les deux réglementations s'accumulent — l'AI Act ne remplace pas le RGPD, il s'y ajoute.
96% des entreprises déclarent avoir des préoccupations de sécurité liées au déploiement de Copilot. Dans la majorité des cas, ces préoccupations sont fondées : la liberté offerte par Microsoft 365 a conduit, au fil des années, à une prolifération de partages non maîtrisés, de droits hérités non révoqués et d'espaces collaboratifs ouverts par défaut. Copilot révèle ces failles, il ne les crée pas. Une gouvernance des droits d'accès défaillante était déjà un problème avant Copilot. L'AI Act en fait désormais une obligation légale d'y remédier.
Pour les équipes sécurité souhaitant aller plus loin sur ce sujet, la notion de Data Security Posture Management (DSPM) fournit un cadre structurant pour cartographier et corriger en continu l'exposition des données dans les environnements cloud.
L'AI Act s'applique par phases successives. Les principales échéances à retenir pour un déployeur Copilot sont les suivantes.
2 février 2025 : les pratiques interdites sont effectives. Scoring social, manipulation comportementale, identification biométrique en temps réel sans exception légale sont proscrits.
2 août 2025 : les obligations applicables aux modèles d'IA à usage général (GPAI) sont actives. Cela inclut la transparence sur les données d'entraînement et les exigences de documentation pour les fournisseurs, dont Microsoft pour Copilot. En tant que déployeur, vous devez vous assurer que votre fournisseur est en règle et conserver la documentation contractuelle correspondante.
2 août 2026 : entrée en application de l'ensemble du règlement, notamment les obligations de gouvernance interne pour les déployeurs (article 26) et les exigences de transparence (article 50). C'est votre date butoir pour avoir en place l'inventaire des usages, la gouvernance des données d'entrée, la formation des équipes et la documentation de conformité.
Sur les sanctions : les violations relatives aux systèmes à haut risque, cas le plus probable pour un déployeur Copilot ayant des usages sensibles, peuvent atteindre 15 millions d'euros ou 3% du chiffre d'affaires mondial annuel. Les manquements aux pratiques interdites atteignent 35 millions d'euros ou 7% du CA mondial. Dans les deux cas, les réglementations RGPD et AI Act s'appliquent de façon cumulative.
Les spécialistes recommandent de compter 3 à 6 mois pour une mise en conformité structurée. En mai 2026, la marge de manoeuvre est limitée.
Cette pression réglementaire s'inscrit dans un contexte de convergence avec d'autres cadres déjà actifs. La directive NIS2, dont les obligations concernent de nombreuses organisations déployant M365, impose des exigences similaires en matière de gestion des risques et de sécurité des données. Les deux textes se renforcent mutuellement.
Une mise en conformité AI Act pour un déployeur Copilot se structure en quatre chantiers, dans cet ordre de priorité.
Étape 1 : cartographier les usages. Dressez un inventaire exhaustif des cas d'usage Copilot actifs dans votre organisation. Qui l'utilise ? Pour quelles tâches ? Certains usages impliquent-ils des domaines sensibles (RH, finance, santé) susceptibles de déclencher une qualification "haut risque" ? Cette cartographie est la base de toute évaluation de risque sérieuse.
Étape 2 : auditer les droits et permissions M365. C'est le chantier le plus structurant et souvent le plus sous-estimé. Il s'agit d'identifier les partages trop ouverts, les liens anonymes actifs, les accès externes inactifs, les groupes Teams ouverts par défaut et les permissions héritées non révisées. Sans cette visibilité, vous ne pouvez pas garantir que les données auxquelles Copilot accède sont correctement gouvernées au sens de l'article 10. Le guide sur les bonnes pratiques de partage externe dans Microsoft 365 détaille les principaux vecteurs de surexposition à traiter en priorité.
Étape 3 : corriger les permissions en impliquant les propriétaires de données. Une approche efficace ne repose pas uniquement sur l'équipe IT. Ce sont les propriétaires fonctionnels des données qui sont les mieux placés pour juger de la pertinence d'un partage ou d'un accès. Un dispositif clé-en-main comme DETOX pour M365 permet de conduire cette correction en 4 à 6 semaines, sans mobiliser des ressources IT massives. En pratique, cela représente en moyenne 7 remédiations par utilisateur. Sur plus d'un million d'utilisateurs ayant traversé ce processus, les trois actions les plus fréquentes sont la suppression d'accès, le changement de propriétaire et la révocation des liens anonymes.
Étape 4 : former les équipes et documenter. Mettre en place une charte d'usage Copilot, former les collaborateurs sur les limites du système, et constituer le dossier documentaire requis (inventaire des usages, analyses de risques, preuves de formation). Ce dernier chantier est souvent reporté — c'est lui pourtant que les autorités demanderont en premier en cas de contrôle.
Pour les DSI et RSSI qui déploient Copilot dans un contexte de transformation M365 plus large, le guide Microsoft 365 Copilot pour les entreprises offre une vue complète des enjeux techniques et de gouvernance à anticiper.
L'AI Act ne remet pas en cause le déploiement de Copilot. Il impose de le faire correctement. Pour un déployeur, cela se résume à une réalité simple : vous êtes responsable de ce que Copilot consomme. Si vos permissions M365 sont mal gouvernées, si vos partages sont trop ouverts, si vos données sensibles sont accessibles à qui ne devrait pas y avoir accès, votre conformité AI Act est compromise avant même que vous ayez commencé à documenter quoi que ce soit.
La gouvernance des données n'est plus optionnelle — c'est une obligation légale. Et c'est précisément là que la majorité des entreprises ont le plus de travail à faire. Des dispositifs pragmatiques existent pour l'adresser rapidement, en impliquant les utilisateurs plutôt qu'en surchargeant l'IT. Les entreprises qui s'y attellent maintenant bénéficient d'un double avantage : une meilleure sécurité des données en entreprise et un Copilot qui performe sur une base saine, avec des résultats plus fiables et plus pertinents.
Le 2 août 2026 approche. L'audit de votre tenant est le premier pas.
Évaluez l'état de vos permissions M365