Le 17 avril 2026, Microsoft a activé une fonctionnalité par défaut sur tous les tenants européens de Copilot. Aucun email d'alerte ni demande de consentement. Juste un message dans le Message Center de l'admin M365, noyé entre deux annonces de fonctionnalités mineures.
Cette fonctionnalité s'appelle le "flex routing". Elle permet à Microsoft d'envoyer vos requêtes Copilot, avec tout le contexte qu'elles contiennent (emails, documents, métadonnées), vers des datacenters aux États-Unis, au Canada ou en Australie quand les serveurs européens sont saturés 1.
J'ai découvert le sujet hier matin en tombant sur un post de Proton dans mon feed LinkedIn 2. J'ai immédiatement vérifié la configuration de PME que j'accompagne. Sur trois tenants avec Copilot actif, aucun n'avait vu le message (et c'est normal). Le flex routing était activé sur les trois. C'est pour ça que je fais une revue de configuration M365 régulièrement chez mes clients : les changements silencieux de ce type sont devenus trop fréquents pour les ignorer.
Ce qui quitte vraiment l'UE (et pourquoi "stockage en UE" ne suffit pas)
Microsoft fait une distinction que beaucoup de DSI ne perçoivent pas. Les données "au repos" restent dans l'EU Data Boundary. Vos fichiers Sharepoint, vos emails Exchange, vos documents OneDrive ne bougent pas. Mais quand vous demandez à Copilot "résume mes emails de la semaine" ou "synthétise ce contrat", le LLM a besoin de contexte pour répondre 3.
Ce contexte, c'est du RAG (Retrieval-Augmented Generation). Copilot va chercher vos emails, vos documents, vos métadonnées, les assemble en un prompt et les envoie au modèle pour inférence. Et c'est cette étape de traitement qui peut maintenant sortir de l'UE sans vous demander pendant les pics de charge.
La distinction "stocké en UE" vs "traité en UE" est le point central. Quand Copilot envoie le contenu de vos emails confidentiels à un GPU au Texas pour générer un résumé, c'est un transfert de données au sens du RGPD. Peu importe que le fichier original n'ait pas bougé de son datacenter à Amsterdam.
Les produits concernés ne se limitent pas à Microsoft 365 Copilot. Copilot Chat, Dynamics 365 Copilot, Power Platform Copilot et Copilot Studio sont tous dans le périmètre 1.
La cascade réglementaire que personne n'a vue venir
RGPD : un transfert qui s'ignore
Les articles 44 à 49 du RGPD encadrent strictement les transferts de données personnelles hors UE. Pour qu'un transfert soit licite, il faut une base juridique : décision d'adéquation, clauses contractuelles types (SCCs), ou une dérogation spécifique.
Microsoft s'appuie sur l'EU-US Data Privacy Framework (DPF), la décision d'adéquation adoptée en juillet 2023, pour justifier les transferts vers les États-Unis 9. Le problème, c'est que ce cadre est déjà contesté. Philippe Latombe, député français et membre de la CNIL, a déposé un recours devant la CJUE le 31 octobre 2025. La Cour de justice, rappelons-le, a déjà invalidé deux cadres précédents (Safe Harbor en 2015, Privacy Shield en 2020). Un "Schrems III" est dans les tuyaux.
Pour le Canada et l'Australie, destinations également possibles du flex routing, la situation juridique est encore plus floue. Le Canada bénéficie d'une décision d'adéquation limitée aux traitements soumis à la LPRPDE (loi fédérale), mais pas à tous les traitements. L'Australie n'a aucune décision d'adéquation.
Et puis il y a le CLOUD Act. Cette loi américaine de 2018 permet aux autorités US d'exiger l'accès aux données détenues par les entreprises américaines, y compris celles stockées sur des serveurs en Europe 11. Le chapitre VII du Data Act européen, applicable depuis septembre 2025, tente de contrer ce risque en imposant aux fournisseurs cloud de bloquer les accès illégaux par des gouvernements non européens. Résultat : les organisations qui utilisent une infrastructure cloud américaine se retrouvent prises entre deux juridictions contradictoires.
La CNIL a prononcé 487 M€ de sanctions en 2025, un record historique 7. Et son guide d'Analyse d'Impact des Transferts de Données (AITD) publié en février 2025 détaille précisément comment documenter et évaluer les risques de ce type de transfert 8. Le flex routing de Copilot tombe exactement dans le périmètre de ce guide.
NIS2 : savoir où transitent les données est une obligation
La transposition française de NIS2 (Loi Résilience) est en cours d'adoption. Les entités essentielles et importantes devront démontrer qu'elles maîtrisent leurs chaînes de sous-traitance IT et qu'elles savent où leurs données sont traitées. Un paramètre qui s'active silencieusement et qui reroute des traitements hors UE, c'est exactement le type de situation que NIS2 vise à prévenir.
AI Act : le flex routing est aussi un problème de transparence IA
Copilot est un système d'IA au sens de l'AI Act. L'entreprise qui l'utilise est "déployeur" (article 3(4)). Microsoft est "fournisseur". Les deux ont des obligations distinctes, et le flex routing les met en tension.
L'obligation d'AI literacy (article 4) est en vigueur depuis février 2025. Concrètement, vos équipes doivent comprendre ce que fait l'IA qu'elles utilisent. Est-ce qu'un commercial qui demande à Copilot de résumer un pipeline de prospects sait que sa requête peut être traitée aux États-Unis ? C'est exactement le type de connaissance que l'AI literacy est censée couvrir. Et c'est exactement ce que le flex routing rend opaque.
Les obligations de transparence (article 50) s'appliquent à partir du 2 août 2026. Le déployeur doit s'assurer que les utilisateurs sont informés qu'ils interagissent avec une IA et comprennent ses capacités et ses limites. Difficile de documenter les limites d'un système quand le fournisseur modifie le périmètre de traitement des données sans notification claire.
Si Copilot est utilisé dans un contexte relevant de l'Annexe III, analyse de CV, scoring crédit, évaluation de performance, les obligations montent d'un cran : supervision humaine effective, gestion des risques documentée, journalisation. Le flex routing complique chacune de ces exigences parce que le déployeur perd la visibilité sur l'infrastructure de traitement.
Le point que peu de PME anticipent, c'est le cumul. Le flex routing déclenche à la fois des obligations RGPD (transfert hors UE, AIPD) et des obligations AI Act (transparence, documentation déployeur, AI literacy). Ce sont deux couches de conformité sur le même outil, le même paramètre, le même risque. J'ai détaillé ce mécanisme de double conformité AI Act + RGPD dans un article dédié avec une matrice par cas d'usage.
DORA : Microsoft est sous surveillance directe
Pour les entreprises du secteur financier, le risque est encore plus concret. DORA est applicable depuis janvier 2025, et en novembre 2025, les autorités de surveillance européennes (EBA, EIOPA, ESMA) ont publié la liste des 19 prestataires IT critiques (CTPPs), dont Microsoft Azure 10. Ces prestataires sont désormais sous supervision directe de l'UE, avec des inspections sur site et des obligations de reporting.
L'ESMA a d'ailleurs publié un document d'évaluation des risques spécifique à Copilot pour M365 5. Quand le régulateur financier européen prend le temps d'évaluer un outil IA spécifique, c'est un signal qu'il ne faut pas ignorer.
Ce que les Pays-Bas et la Norvège ont déjà fait
Les entreprises françaises ne sont pas les seules à découvrir le sujet. L'autorité norvégienne de protection des données (Datatilsynet) a publié un rapport complet sur Copilot vu sous l'angle de la protection des données 4. Aux Pays-Bas, le SLM Rijk (gestion stratégique des fournisseurs du ministère de la Justice) et SURF ont conduit une DPIA complète de Copilot qui avait identifié 4 risques élevés en décembre 2024. Après 9 mois de négociation avec Microsoft, ces risques ont été réduits, mais pas éliminés 6.
La France ? La CNIL n'a pas encore publié d'avis spécifique sur Copilot ou le flex routing. Mais tous les outils réglementaires sont déjà en place pour agir.
5 actions immédiates si vous utilisez Copilot
Je ne vais pas vous dire de désinstaller Copilot. Ce serait malhonnête, c'est un outil utile quand il est correctement configuré. Mais il y a cinq choses à faire cette semaine.
1. Vérifier si le flex routing est activé
Connectez-vous au Microsoft 365 admin center avec un compte ayant le rôle "AI Administrator". Allez dans Copilot > Settings > Flexible inferencing during peak load periods. Si le paramètre est sur "Allow flex routing", vos données peuvent sortir de l'UE à tout moment 1.
2. Désactiver le flex routing
Sélectionnez "Do not allow flex routing" et enregistrez. La propagation prend environ une semaine. Attention, autre feinte, il existe un paramètre séparé dans le Power Platform admin center pour Dynamics 365 et Copilot Studio.
Tant que vous êtes dans l'admin center, vérifiez deux autres paramètres : les modèles Anthropic Claude (activables dans Copilot depuis le 3 avril, désactivés par défaut en UE mais à confirmer sur votre tenant) et les labels de sensibilité Microsoft Purview, qui permettent de restreindre l'accès de Copilot aux documents confidentiels. Ces trois réglages forment le socle minimum de sécurisation d'un tenant M365 avec Copilot.
3. Documenter la décision
Que vous désactiviez ou que vous gardiez le flex routing activé, documentez la décision. Votre DPO en aura besoin. Si vous le gardez activé, vous devez pouvoir justifier la base juridique du transfert (probablement le DPF pour les US - quid du Canada et de l'Australie ?).
4. Mettre à jour votre registre des traitements
Ajoutez une ligne "traitement IA Copilot" à votre registre RGPD si ce n'est pas déjà fait. Précisez les données traitées, les finalités, et la localisation du traitement (UE, ou UE + US/CA/AU si flex routing actif).
5. Évaluer la nécessité d'une AIPD
Si Copilot traite des données personnelles à grande échelle dans votre organisation (résumé d'emails, analyse de documents RH, qualification de prospects), une Analyse d'Impact relative à la Protection des Données est probablement nécessaire. Si le risque résiduel reste élevé après l'AIPD, la consultation préalable de la CNIL est obligatoire 9. Pour les entreprises sans DPO dédié, c'est le type de livrable qu'un CTO externalisé peut structurer en une à deux semaines, en s'appuyant sur la DPIA néerlandaise comme modèle 6.
Le vrai sujet : l'opt-out silencieux comme méthode
Microsoft a partiellement fait machine arrière après le tollé. Selon un entretien avec le média néerlandais Tweakers, les grandes organisations commerciales, les clients éducation et le secteur public pourraient bénéficier d'un modèle opt-in plutôt qu'opt-out 14. Mais pour les PME et ETI, à l'heure où j'écris, c'est toujours l'opt-out qui s'applique.
C'est surtout la façon de faire qui me pose le plus problème en mission. Des changements structurants sur la localisation des données, activés par défaut, sans consentement explicite. Dans un contexte où la moitié des PME n'ont personne de dédié à l'IT, qui va lire le Message Center de l'admin M365 pour repérer une notification MC1269223 12 ? La gestion proactive d'un tenant M365, c'est exactement ce que ça veut dire : surveiller les changements de configuration, appliquer les durcissements de sécurité, et s'assurer que les paramètres de conformité ne dérivent pas entre deux release notes.
L'ensemble de la promesse EU Data Boundary repose sur l'idée que les organisations peuvent faire confiance au fait que leurs données restent dans l'UE. Quand une fonctionnalité court-circuite silencieusement cette garantie pendant un pic de charge un mardi matin, les équipes conformité ont un vrai problème 2.
Et ce n'est pas la première fois. La communauté Microsoft s'en est fait l'écho sur le Community Hub, où le fil de discussion s'intitule sans détour "Copilot Compliance Nightmare" 12.
Les alternatives existent, elles ne sont plus expérimentales
Pour les PME qui veulent garder un assistant IA sans les risques de transfert, le paysage a changé depuis un an. Les alternatives souveraines se répartissent en trois familles selon le niveau de contrôle souhaité et les compétences disponibles en interne.
Assistants SaaS souverains
Mistral Le Chat Enterprise est aujourd'hui l'option la plus complète pour remplacer Copilot comme assistant de travail. Création d'agents personnalisés, recherche documentaire RAG, connecteurs natifs vers SharePoint, Gmail et Google Drive pour indexer les connaissances internes sans passer par des services américains. L'hébergement est en Europe avec option on-premise pour les organisations qui veulent garder le contrôle total. Les tarifs sont compétitifs face à Copilot, avec des modèles significativement moins chers. Pour une PME sous Microsoft 365 ou Google Workspace qui veut limiter les transferts hors UE, c'est la brique la plus proche d'un Copilot souverain en termes de fonctionnalités générales (résumé de documents, génération de contenus, Q&A sur base documentaire).
Exahia se positionne explicitement comme alternative française à Copilot. Hébergement OVHcloud en France, zéro rétention (données traitées en RAM, pas de stockage persistant), Cloud Act-free. L'offre ACCESS est à 29€/utilisateur/mois, avec une interface de chat prête à l'emploi. Pas d'intégration native dans la suite Office, les connexions se font via API et connecteurs. Pour les PME qui ne veulent ni gérer d'infrastructure ni recruter de profils ML ou DevOps, c'est l'option la plus simple à déployer.
Plateformes GenAI d'entreprise pour construire un "Copilot maison"
LightOn Paradigm (Paris) propose de la RAG avancée, y compris multimodale, des agents métier et plusieurs modes de déploiement : cloud privé, on-premise, infrastructure souveraine. Leur brique Private Chat cible les secteurs régulés et le public. Tarifs sur devis, positionnement mid-market. Intéressant quand l'objectif est de construire un assistant fortement verticalisé sur des processus métier spécifiques, avec un contrôle fin sur l'hébergement.
Aleph Alpha (Allemagne) fonctionne plutôt comme socle pour des intégrateurs. L'éditeur développe ses propres modèles de langage avec résidence des données en Europe et architecture pensée pour ne pas utiliser les données clients pour l'entraînement. Pour une PME, ça passe concrètement par un partenaire (ESN, éditeur vertical) qui propose une solution packagée.
Self-hosting sur infrastructure EU
La stack Ollama + Open WebUI sur un serveur GPU chez Hetzner (datacenters en Allemagne et Finlande), Scaleway ou OVHcloud permet de faire tourner des modèles comme Llama 3, Mistral ou Qwen 3 avec un contrôle total. Pas de télémétrie, pas de transferts hors UE. Les benchmarks récents montrent environ 40 tokens/seconde par utilisateur sur GPU dédié, suffisant pour une équipe de 10 à 50 personnes. Comptez 250 à 500€/mois d'infrastructure selon la carte et la redondance.
OVHcloud propose aussi AI Endpoints et AI Deploy pour déployer des modèles via API dans une infrastructure souveraine avec tarification à l'usage GPU. C'est un intermédiaire entre le SaaS clé en main et le self-hosting complet, qui demande des compétences DevOps mais évite de gérer le hardware.
Le vrai arbitrage : intégration bureautique vs souveraineté
| Solution | Coût indicatif (50 utilisateurs/an) | Souveraineté | Intégration M365 |
|---|---|---|---|
| Copilot (flex routing off) | 10 800-16 800€ (add-on seul, 18-28€/user/mois) | EU Data Boundary, sous réserve de config, Cloud Act | Native (Word, Excel, Outlook, Teams) |
| Mistral Le Chat Enterprise | Sur devis, compétitif vs Copilot | France / on-premise | Connecteurs SharePoint, Gmail, Drive |
| Exahia ACCESS | ~17 400€ (29€/user/mois) | France (OVHcloud), zéro rétention | API et connecteurs |
| LightOn Paradigm | Sur devis (mid-market) | France, cloud privé / on-premise | API et connecteurs |
| Ollama + Open WebUI | 3 000-6 000€ (infra GPU) + temps DevOps | Totale | Aucune (API custom) |
Aucune de ces alternatives ne remplace Copilot à l'identique. L'intégration native dans Word, Excel, Outlook et Teams reste le vrai lock-in de Microsoft, aucune solution souveraine ne la reproduit aujourd'hui. Mais si votre priorité est la conformité et la maîtrise des transferts, les options ne sont plus expérimentales. La question n'est plus "est-ce que ça existe ?", c'est "est-ce que le risque de non-conformité justifie le coût de migration ?"
Le contexte de fond : Microsoft augmente les prix, l'Europe augmente les contrôles
Deux mouvements simultanés méritent attention. Microsoft prévoit une hausse de 12 à 25 % des tarifs M365 à partir de juillet 2026 13. En parallèle, l'arsenal réglementaire européen se renforce chaque trimestre : RGPD (en vigueur depuis 2018), NIS2 (transposition en cours), DORA (applicable depuis janvier 2025), AI Act (transparence obligatoire en août 2026), Data Act (chapitre VII applicable depuis septembre 2025).
Le coût de la conformité augmente. Celui de la non-conformité augmente encore plus vite, et Meta en sait quelque chose avec 1,2 Milliard d'euros de sanction pour des transferts de données illégaux vers les États-Unis.
La question n'est pas de quitter Microsoft ou de rester. La question, c'est de savoir exactement ce qui se passe dans votre tenant, de le documenter, et de prendre une décision éclairée plutôt que de subir un paramètre par défaut.
Si vous utilisez Copilot et que vous n'êtes pas certain de votre configuration, prenez 30 minutes pour vérifier. Et si vous préférez qu'un CTO externalisé passe en revue votre tenant M365, configuration Copilot, labels de sensibilité, paramètres de transfert, registre des traitements : diagnostic flash, 30 minutes, sans engagement.