La promesse de « souveraineté des données » de Microsoft pour l’Europe est accompagnée d’un astérisque. À partir du 17 avril 2026, l’entreprise commencera à envoyer les données de Copilot vers des serveurs étrangers pour traitement.
Avec l’introduction du routage flexible pour Microsoft 365 Copilot, l’inférence des grands modèles linguistiques (LLM) — l’étape où vos données sont réellement traitées — peut avoir lieu aux États-Unis, au Canada ou en Australie lorsque la capacité des centres de données européens vient à manquer.
Ces changements sont appliqués par défaut. Pour les nouveaux comptes clients créés après le 25 mars 2026, le routage flexible est déjà activé. Pour tous les autres, il sera activé automatiquement, à moins que vous ne vous y opposiez. (Instructions sur la façon de procéder ci-dessous.)
Si votre entreprise est basée dans l’Union européenne ou dans l’Association européenne de libre-échange (AELE), il ne s’agit pas d’une petite mise à jour technique. Le routage flexible modifie le fait que vos flux de travail d’IA restent au sein de l’UE ou la quittent à votre insu. Et cela souligne ce que la version de la souveraineté numérique des géants de la technologie signifie vraiment pour l’Europe : ils gardent toujours le contrôle.
Qu’est-ce que le routage flexible ?
L’inférence est le moment où un modèle d’IA traite votre invite pour générer une réponse, qu’il s’agisse de résumer un document, de répondre à une question ou de rédiger du contenu. Au moment où cela se produit, vos données ont déjà été assemblées. Même si vos données sont stockées en Europe, elles peuvent désormais être traitées ailleurs — automatiquement, sous une juridiction non européenne.
Hébergé dans l’UE ne signifie pas traité dans l’UE
Microsoft indique clairement que les données resteront chiffrées(nouvelle fenêtre) en transit et au repos. Cela pourrait rassurer certains clients. Mais si vous opérez dans le cadre de réglementations telles que le Règlement général sur la protection des données(nouvelle fenêtre) (RGPD), la directive sur la sécurité des réseaux et de l’information (NIS2) ou la loi sur la résilience opérationnelle numérique (DORA), la protection des données dans l’espace de stockage et lors de la transmission ne suffit pas.
Le traitement (ou l’inférence) est l’endroit où l’exposition peut se produire. Et avec le routage flexible, ce point peut désormais se déplacer.
Pour qu’un modèle d’IA effectue une inférence, les données doivent être rendues accessibles pour le calcul. Vos invites, e-mails, fichiers et métadonnées sont rassemblés et envoyés au modèle. Avec le routage flexible, ce paquet peut être traité en dehors de l’UE.
L’endroit où vos données sont traitées est important — même si elles sont chiffrées à l’entrée et à la sortie.
Le fardeau de la conformité vous incombe
La décision de Microsoft de faire du routage flexible une fonctionnalité par défaut est un signal d’alarme. Les recherches montrent que la plupart des gens ne prennent pas la peine de vérifier leurs paramètres par défaut ou de les mettre à jour. Si la souveraineté des données était une chose dont l’entreprise se souciait pour ses clients européens, elle n’aurait pas mis en œuvre le routage flexible automatiquement.
Cela avertit également votre département de conformité que les fournisseurs peuvent soudainement décider de modifier une politique importante. Vous êtes désormais responsable de la surveillance des mises à jour des fournisseurs, de l’interprétation de leurs implications et de l’ajustement des paramètres pour rester conforme. Cela peut sembler injuste si vous avez sélectionné un fournisseur basé aux États-Unis en ayant l’impression que la souveraineté de vos données était importante pour eux.
Ce que les entreprises de l’UE peuvent faire maintenant
- Désactivez le routage flexible. Si vos politiques exigent un traitement exclusivement dans l’UE, ne vous fiez pas aux paramètres par défaut.
- Connectez-vous au centre d’admin Microsoft 365 en tant qu’administrateur auquel est attribué le rôle d’administrateur d’IA(nouvelle fenêtre).
- Allez dans Copilot -> Paramètres -> Inférence flexible pendant les périodes de pointe.
- Sélectionnez Ne pas autoriser le routage flexible
- Comprendre les implications transfrontalières. Votre configuration actuelle peut ne pas répondre aux exigences de votre entreprise. Prenez en compte :
- Obligations de transfert de données en vertu du RGPD et des règles sectorielles
- Politiques internes de résidence des données et engagements contractuels
- Accès légal et surveillance dans les juridictions hors UE
- Auditer de près les flux de données spécifiques à l’IA. La plupart des entreprises savent où les données sont stockées. Moins d’entre elles savent où elles sont traitées. Commencez à vous demander :
- L’endroit où vos données sont traitées
- S’il existe des lois qui peuvent contraindre la divulgation de données à des tiers
- Qui peut accéder aux données pendant le traitement et si cela peut changer
- Choisissez des fournisseurs transparents sur la façon dont ils traitent vos données. L’assistant IA(nouvelle fenêtre) de Proton traite les données exclusivement sur des serveurs européens et publie une description détaillée de son modèle de sécurité.
Le routage flexible révèle quelque chose de plus profond sur la gouvernance des données
Si vos fournisseurs sont basés aux États-Unis, vous vous appuyez sur des systèmes conçus pour une réalité réglementaire différente — une réalité que vous ne contrôlez pas, mais dont vous devez tout de même répondre.
Les mises à jour logicielles, le support, les politiques juridiques et les décisions tarifaires sont pris dans la Silicon Valley ou à Seattle. Les règles que votre fournisseur suit sont définies à Washington. Mais votre entreprise est tenue de respecter les normes européennes.
C’est pourquoi de plus en plus d’entreprises commencent à se tourner vers les alternatives européennes aux géants de la technologie(nouvelle fenêtre). Lorsque votre infrastructure, vos politiques et votre cadre juridique sont alignés sur la région dans laquelle vous opérez, la souveraineté des données devient applicable, et non conditionnelle.
