L'IA que vous n'avez pas choisie : Copilot par défaut dans Windows, et comment reprendre le contrôle

Copilot est actif par défaut dans Windows 11, Office et Teams. Voici comment vérifier ce qui tourne, comprendre les implications RGPD et reprendre le contrôle sereinement.

Laurent SOUHY's profile

Rédigé par Laurent SOUHY

7 min de lecture
L'IA que vous n'avez pas choisie : Copilot par défaut dans Windows, et comment reprendre le contrôle

Beaucoup de solopreneurs et de TPE françaises utilisent Windows 11 et Microsoft 365 au quotidien — et avec eux, Copilot embarqué par défaut dans Word, Teams, Edge, Windows lui-même. Ce n'est pas un scandale : c'est un angle mort documentaire courant. Microsoft est un fournisseur légitime avec des engagements RGPD sérieux sur ses offres entreprise. Le sujet n'est pas de changer de stack. C'est de savoir précisément ce qui est activé, ce que ça traite, et comment calibrer pour que votre usage soit documentable — vis-à-vis d'un DPO, d'un client B2B exigeant, ou d'une autorité de contrôle.

En résumé

  • Copilot est intégré par défaut dans Windows 11 (build 22621.2134+), Microsoft 365 Business / Enterprise, Teams Premium et Edge Entreprise depuis 2023-2024.
  • Il ne s'active pas seul pour traiter vos données clients — mais certaines fonctionnalités (Recall, Connected Experiences, diagnostics) le font si vous n'avez pas explicitement reconfiguré les paramètres.
  • Le régime contractuel varie selon votre abonnement Microsoft : 365 Personal n'est pas 365 Business, et 365 Business n'est pas 365 Enterprise. Le DPA (Data Processing Addendum) n'est pas identique.
  • 5 réglages concrets permettent de clarifier et de contrôler la situation en moins d'une heure de travail.
  • POSITRONIA cartographie précisément ce type d'IA déployée par défaut, sans décision explicite — ce qu'on appelle un nœud « shadow IA » dans la carte du système IA.

L'ubiquité Copilot en chiffres

Selon les annonces officielles Microsoft 2023-2026 :

  • Windows 11 (build 22H2+) : touche Copilot sur les nouveaux claviers, volet latéral actif par défaut.
  • Microsoft 365 Business Basic / Standard / Premium : Copilot for Microsoft 365 inclus ou en upsell automatique depuis 2024, fonctionnalités IA dans Word, Excel, Outlook, Teams.
  • Teams Premium : résumés automatiques de réunions et transcription Copilot actifs par défaut.
  • Edge Entreprise : Copilot dans la barre latérale, actif dès installation.

Pour tout solopreneur ou TPE qui a souscrit ou renouvelé un abonnement Microsoft 365 après mi-2023, l'IA par défaut Windows entreprise est très probablement en service — sans décision formalisée.

Ce que « par défaut » signifie côté données

La vraie question n'est pas « est-ce que l'IA est active ? » mais « qu'est-ce qu'elle traite, et dans quel régime contractuel ? ».

Voici les éléments clés à distinguer.

FonctionnalitéActivée par défaut ?Ce qu'elle traiteRégime contractuel
Copilot dans Teams (résumés réunions)Oui (Teams Premium)Transcriptions audio, contenus partagésDPA Microsoft 365 Enterprise
Copilot dans Word / OutlookOui si licence M365 CopilotContenu documents, mailsDPA Microsoft 365 Enterprise
Connected Experiences (Office)Oui par défautDocuments, métadonnées, usage patternsDPA Microsoft 365, configurable
Diagnostic data (télémétrie)Niveau « Required » par défautUsage, erreurs applicativesContrat EA / licence
Recall (Windows 11 Copilot+ PC)Annoncé opt-in depuis juin 2024Captures d'écran chiffrées localesStockage local uniquement
Bing Chat / Copilot web (Edge)Oui dans EdgeRequêtes web, contexte onglet actifDPA séparé, MSA ou AAD selon contexte

Note sur Recall : après une vague de critiques de chercheurs en sécurité et d'organisations de protection de la vie privée (dont l'ICO britannique), Microsoft a revu la conception de Recall pour en faire une fonctionnalité opt-in explicite sur les PC Copilot+, avec stockage local chiffré. La situation a évolué positivement depuis l'annonce initiale de mai 2024. Il convient néanmoins de vérifier les paramètres sur les machines concernées.

Les implications côté RGPD : ni alarmiste, ni naïf

Microsoft propose des engagements sérieux pour ses offres professionnelles. Points clés.

Ce qui est solide :

  • Microsoft est listé au Data Privacy Framework EU-US (dataprivacyframework.gov), couverture transferts UE-US sous décision d'adéquation 2023/1795.
  • Le DPA Microsoft (Data Processing Addendum) couvre les traitements en tant que sous-traitant Art. 28 pour les abonnements Business et Enterprise.
  • EU Data Boundary (résidence données EU) disponible sur les plans Enterprise.

Ce qui demande attention :

  • 365 Personal / Family ne sont pas des offres professionnelles. Pas de DPA entreprise. Si vous avez souscrit Personal pour économiser, vous opérez potentiellement sans DPA Art. 28 sur vos données clients.
  • Les Connected Experiences partagent des contenus de documents avec les serveurs Microsoft pour alimenter les suggestions IA — configurable, mais actif par défaut.
  • Le niveau de diagnostic « Required » envoie des données d'usage vers Microsoft. Réductible via paramètres Windows ou stratégies de groupe.

En pratique : Microsoft 365 Business Standard ou Premium avec DPA signé, Connected Experiences gérées et données residentes EU, c'est un usage défendable et documentable au titre de l'Art. 28 RGPD. Le sujet n'est pas l'interdiction, c'est la documentation.

5 réglages Copilot à vérifier dès aujourd'hui

Désactiver Copilot entreprise n'est pas l'objectif — le calibrer l'est. Ces cinq actions prennent moins d'une heure et suffisent pour passer d'une situation « on ne sait pas ce qui tourne » à « on a documenté et calibré » — autrement dit, d'une Copilot conformité RGPD à risque à une Copilot conformité RGPD maîtrisée.

1. Vérifier votre type d'abonnement Microsoft 365

Ouvrez account.microsoft.com/subscriptions. Vérifiez si vous êtes sur un plan Personal / Family ou Business. Si vous êtes sur Personal et que vous traitez des données clients : migrez vers Business Standard (13,20 €/utilisateur/mois HT) pour bénéficier du DPA entreprise. Cette migration est l'action prioritaire.

2. Confirmer (ou signer) le DPA Microsoft

Dans le centre d'administration Microsoft 365 (admin.microsoft.com) → ParamètresConfidentialité et sécuritéCentre de gestion des données : vous trouverez les engagements contractuels Microsoft, dont le DPA. Notez la référence dans votre registre Art. 30. Si vous passez par un revendeur, le DPA s'applique via le contrat cadre Microsoft — vérifiez auprès de votre revendeur.

3. Désactiver les Connected Experiences sur Office (ou les gérer finement)

Via admin.microsoft.comParamètresServices et complémentsConnected Experiences : désactivez les expériences qui analysent le contenu des documents. Sur les machines individuelles sans accès admin : FichierOptionsCentre de confidentialitéOptions de confidentialité → décocher les expériences connectées optionnelles. Sur flotte gérée : GPO User Configuration > Administrative Templates > Microsoft Office 2016 > Privacy > Trust Center.

4. Passer le niveau de diagnostic à « Minimum requis »

Paramètres WindowsConfidentialité et sécuritéDiagnostics et commentaires → choisir « Données de diagnostic obligatoires ». Limite la télémétrie aux données strictement nécessaires au fonctionnement. Déployable via Intune sur les flottes.

5. Vérifier l'état de Recall (PC Copilot+ uniquement)

PC Copilot+ (Qualcomm / Intel Core Ultra 2 / AMD Ryzen AI 300) avec Windows 11 24H2 : ParamètresConfidentialité et sécuritéRecall et instantanés. Depuis juin 2024, Recall est opt-in explicite après révision de conception. Vérifiez que l'état correspond à votre choix conscient — si activé, mentionnez-le dans le registre Art. 30 (les captures locales peuvent contenir des données personnelles).

Le concept de « shadow IA » : l'IA que personne n'a auditée

Il existe un écart croissant entre les IA qu'une organisation décide d'utiliser et les IA effectivement actives dans son environnement. Cet écart a un nom dans la doctrine de gouvernance IA : la shadow IA — par analogie avec le shadow IT des années 2010.

Un composant IA opérant sans décision formelle, sans audit, ni mention dans le registre Art. 30 : c'est de la shadow IA. Copilot actif par défaut sur les postes d'une TPE dont personne n'a évalué l'usage, c'est le cas le plus fréquent aujourd'hui.

Pourquoi ça compte : l'Art. 30 RGPD impose un registre complet des traitements. Un traitement IA non documenté est un traitement manquant. En cas de contrôle CNIL, l'absence de documentation d'un traitement IA visible dans vos outils est un point de fragilité — même si le traitement lui-même est conforme. La réponse n'est pas de désinstaller Copilot. C'est de documenter son usage, ses paramètres, et les données traitées.

Comment POSITRONIA cartographie ce type de nœud

Dans la vision POSITRONIA d'EuTrustedIA, votre système IA n'est pas juste votre propre code — c'est la carte complète de tous les composants IA actifs dans votre environnement, y compris ceux présents par défaut dans vos outils. « Pas d'agent sans laisse. »

Un Copilot actif dans Microsoft 365 Business est un nœud « SaaS tiers » de cette carte. POSITRONIA-CORE l'identifie, le score sur les dimensions vérifiables (DPA existant, statut DPF, data residency EU, mention registre Art. 30), et produit un rapport privé sur votre machine — sans que vos données ne quittent votre poste. Résultat : liste des nœuds identifiés + score 0-100 par nœud + actions correctives priorisées. Vous passez d'un angle mort documentaire à un inventaire auditable.

Tableau de décision rapide

Votre situationPriorité 1Priorité 2Priorité 3
M365 Personal avec données clientsMigrer vers Business StandardSigner DPA admin.microsoft.comDocumenter registre Art. 30
M365 Business, DPA non confirméConfirmer DPA en ligneDésactiver Connected Experiences optionnellesVérifier niveau diagnostic
TPE avec équipe, IT informelInventaire Copilot actif par utilisateurGPO diagnostic + Connected ExperiencesAIPD si traitements à risque
Startup B2B EU clients exigeantsEU Data Boundary EnterpriseScan POSITRONIA inventaire shadow IARegistre Art. 30 complet exportable

Ce que cette démarche dit de votre posture professionnelle

Les questionnaires fournisseurs B2B EU incluent de plus en plus : « Listez les outils IA utilisés pour traiter nos données » ou « Avez-vous réalisé une AIPD pour votre usage IA ? »

Avoir la réponse — « Oui, voici le registre Art. 30, les DPA signés, le rapport POSITRONIA du trimestre » — c'est un différenciateur commercial concret. Pas de peur, pas d'excès, juste la discipline documentaire qui rassure un acheteur professionnel. Savoir ce que fait Copilot dans votre environnement, et l'avoir documenté, c'est exactement ce signal.

Conclusion

Copilot est utilisable en contexte professionnel sous les bonnes conditions contractuelles. Pour la majorité des solopreneurs et TPE sur Microsoft 365 Business, la situation est gérable en quelques heures : confirmer le DPA, calibrer les Connected Experiences, documenter dans le registre Art. 30.

Le vrai enjeu, c'est de ne plus l'ignorer — passer d'un angle mort à un inventaire auditable, c'est le saut de maturité que demande progressivement le marché B2B EU.

Notre page de recommandations liste les ressources pour structurer votre gouvernance IA. Pour un inventaire automatisé des nœuds IA actifs dans votre environnement, voir nos plans POSITRONIA-CORE.


Cet article a été rédigé par Claude Sonnet 4.6 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.

Partager: