Microsoft Copilot M365 et AI Act : les obligations qu'on vous cache

Microsoft Copilot M365 est probablement la première IA générative déployée à grande échelle dans la plupart des organisations européennes. Le contrat Microsoft enterprise traite la sécurité, le chiffrement, la résidence des données. Il ne traite pas l'AI Act. Voici les cinq obligations spécifiques qui retombent sur vous.

Obligation 1 — Classifier Copilot dans votre registre IA

Copilot M365 est un système IA à usage général (GPAI au sens de l'AI Act). Il doit figurer dans votre registre interne, avec sa classification de risque pour chaque usage. Copilot dans Outlook pour rédiger un mail : risque limité. Copilot dans Excel pour générer une analyse RH avec recommandations sur des collaborateurs : potentiellement haut risque (Annexe III, point 4 — RH).

Obligation 2 — Gérer le contexte fonctionnel : un même Copilot, des usages différents

L'AI Act classe les systèmes selon leur usage final, pas selon leur architecture technique. Le même Copilot M365 peut être à risque minimal dans un contexte et à haut risque dans un autre. Votre politique de déploiement Copilot doit refléter cette granularité : permissions par groupe, par cas d'usage, par sensibilité de données.

Obligation 3 — Documenter la chaîne de responsabilité

Si Copilot génère une recommandation qui débouche sur une décision RH (par exemple : ne pas convoquer un candidat à un entretien), qui est responsable ? Microsoft fournisseur GPAI, vous déployeur, ou la personne qui a validé la recommandation ? La réponse : essentiellement vous, en tant que déployeur. Mais vous devez avoir documenté la procédure de validation humaine (Art. 14).

Obligation 4 — Activer Purview, à supposer que vous en avez la licence

Microsoft Purview est l'outil de gouvernance de données qui permet de tracer ce que Copilot lit, génère, expose. Sans Purview correctement configuré, vous perdez la traçabilité — donc vous violez l'obligation de logging des décisions (pour les cas haut risque). Or Purview n'est pas dans toutes les licences M365. Vérification préalable obligatoire avant déploiement Copilot.

Obligation 5 — Former vos équipes à l'usage Copilot, AI Act-aware

Article 4 : littératie IA obligatoire depuis février 2025. Pour Copilot, cela signifie former vos utilisateurs à : comprendre quand Copilot hallucine, comment vérifier ses sorties, quand refuser une recommandation, comment signaler un comportement anormal. Pas une vidéo de 10 minutes : un parcours documenté, traçable.

Le risque opérationnel typique : Shadow Copilot

Beaucoup d'organisations déploient Copilot pour quelques pilotes et oublient les licences Power Apps / Power Automate / Copilot Studio activées pour des dizaines d'utilisateurs métier. Résultat : des agents Copilot construits sans gouvernance, branchés sur des données sensibles, hors registre IA. C'est exactement le profil de manquement que l'AESIA et la CNIL cherchent en priorité.

L'angle souveraineté : où sont vraiment vos prompts ?

Microsoft annonce résidence UE pour les données Copilot M365. Mais les prompts envoyés à GPT-4 (le modèle sous-jacent de Copilot) transitent par OpenAI sous contrat Azure. Si vos prompts contiennent des données sensibles (données personnelles, secrets industriels), vérifier les addenda Data Processing Addendum et zero-data-retention. La version standard de Copilot M365 n'a pas de zero-data-retention par défaut.

La checklist déploiement Copilot conforme AI Act

• Inventaire des licences Copilot (M365 E3/E5/Copilot/Power Platform)
• Cartographie des cas d'usage et classification de risque
• Configuration Purview + sensitivity labels
• Scoping Entra ID : qui voit quoi via Copilot
• Formation littératie Copilot — registre traçable
• Procédure validation humaine pour usages haut risque
• DPA renégocié avec clauses AI Act
• Politique interne « Usage Copilot » signée direction

La bonne nouvelle : ces obligations s'appliquent à tous vos systèmes IA, pas seulement à Copilot. Une fois cette discipline mise en place, vous êtes prêt aussi pour les agents internes (n8n, LangChain), les SaaS RH IA, les modules de scoring fournisseur.