Où vont les données de votre entreprise lorsque les employés utilisent Claude ?

Claude gagne rapidement du terrain aux côtés de Microsoft Copilot, tout simplement parce que les réponses sont souvent meilleures. En même temps, peu de responsables informatiques et de DPO savent exactement ce qu'il advient des données de l'entreprise lorsque les employés combinent les deux outils. Cet article cartographie les flux de données et explique les risques encourus, avec les meilleures pratiques que vous pouvez mettre en œuvre dès aujourd'hui.

Données et AnalysesIntelligence artificielle

L’avancée « silencieuse » de Claude

Ces dernières années, Microsoft 365 Copilot a été positionné comme l’assistant IA pour le lieu de travail. En conséquence, les organisations ont investi massivement dans les licences et la gouvernance. Entre-temps, une autre réalité prend forme : en plus de leur fenêtre Copilot, les employés ouvrent un onglet avec Claude.ai. La raison en est simple : il leur donne de meilleures réponses pour les textes, le code, les analyses complexes et les documents plus longs.

Nous observons désormais ce comportement dans presque toutes les organisations que nous visitons. Et cela crée un problème rampant : la gouvernance Copilote soigneusement conçue ne s’applique qu’à la première fenêtre. Le deuxième onglet en est complètement exclu.

« La politique de copilotage est bonne. Mais qu’advient-il des données de l’autre fenêtre de l’IA ? »

 

Deux outils, deux flux de données très différents

Pour comprendre les risques, vous devez d’abord savoir comment chaque outil traite vos données. L’architecture diffère fondamentalement.

Microsoft 365 Copilot

Copilot est profondément intégré dans le locataire Microsoft 365 de votre organisation. Les données restent dans l’écosystème Microsoft Cloud et, pour les clients de l’UE, elles relèvent du programme EU Data Boundary de Microsoft. En d’autres termes, le stockage et le traitement restent en Europe, si la configuration est correcte. En outre, tout relève de votre DPA Microsoft existant et des conditions commerciales, et vos données ne seront pas utilisées pour la formation au modèle.

Claude.ai (consommateur ou professionnel)

Si les employés utilisent claude.ai avec un compte personnel, y compris un compte Pro payant, les données sont en dehors de tout accord d’entreprise. L’infrastructure fonctionne sur AWS aux États-Unis, sans résidence des données dans l’UE. En outre, Anthropic a procédé à un changement controversé en octobre 2025 : les utilisateurs qui n’ont pas activement désactivé le nouveau choix de confidentialité autorisent la conservation de leurs conversations pendant une période pouvant aller jusqu’à cinq ans pour l’entraînement des modèles.

 

RISQUE CRITIQUE

Un employé qui colle un contrat client, un document RH ou un rapport de stratégie interne dans claude.ai sur son compte personnel envoie ces données sur des serveurs américains et donc en dehors de votre accord de traitement GDPR. Sans garantie de résidence des données, et éventuellement la permission de les utiliser comme données de formation.

 

Copilote vs Claude : les faits côte à côte

Le tableau ci-dessous met en parallèle les deux mondes. Les différences se situent à tous les niveaux importants pour une organisation.

Aspect
Microsoft 365 Copilot
Claude.ai (consommateur)
DONNÉES ET CONFIDENTIALITÉ
Résidence des données dans l’UE ✓ Oui – via la frontière de données de l’UE ✗ Non disponible (US/AWS uniquement)
Modéliser la formation à vos dates ✗ Sans objet ⚠ Activé par défaut à moins d’être désactivé par l’utilisateur lui-même (oct. 2025)
GDPR DPA disponible Oui, entièrement Partiel : CSC, champ d’application limité
JURIDIQUE ET CONFORMITÉ
Relève du contrat d’entreprise ✓ Oui ✗ Non : compte personnel
Période de rétention des appels Paramètres par locataire 30 jours (opt-out) ou
5 ans (opt-in)
ISO 27001 / SOC 2 ✓ Oui ✓ Oui, plus ISO 42001
INTÉGRATION ET GESTION
Accès aux données de l’entreprise SharePoint, Teams, Mail… Seulement ce que les utilisateurs insèrent eux-mêmes
Gestion administrative possible ✓ Contrôle total ✗ Aucun contrôle administratif possible

 

Claude au sein de Copilot : comment cela fonctionne-t-il ?

Il y a un deuxième scénario qui est beaucoup moins bien compris dans nos conversations : Claude comme modèle au sein même de Microsoft 365 Copilot. Microsoft a introduit en septembre 2025 la possibilité pour les utilisateurs de Researcher Agent de choisir le modèle linguistique sous-jacent, qui inclut donc les modèles Claude d’Anthropic.

DIFFÉRENCE IMPORTANTE

Claude en tant que modèle dans Copilot est tout à fait différent de Claude.ai. Mais il n’est pas non plus automatiquement sûr pour les organisations de l’UE : la situation en matière de conformité est plus complexe qu’il n’y paraît à première vue.

 

Ce qui se passe techniquement

Lorsqu’un utilisateur choisit Claude dans l’agent Copilot Researcher, la requête est traitée par AWS aux États-Unis (et non par l’infrastructure européenne de Microsoft). Concrètement, cela signifie que

  • Les données quittent le programme EU Data Boundary de Microsoft
  • Le traitement n’est pas couvert par les licences DPA et ADR standard de Microsoft.
  • Anthropic a été ajouté en tant que sous-traitant secondaire en janvier 2026, mais les engagements de l’UE en matière de limitation des données ne s’appliquent pas à ce modèle.
  • Les utilisateurs ont dû accepter les conditions de traitement des données d’Anthropics lors de son introduction, une étape qui passe inaperçue dans de nombreuses organisations parce que les gens cliquent rapidement.
GDPR-IMPACT

L’utilisation de Claude par l’intermédiaire de l’agent Copilot Researcher pour des tâches impliquant le traitement de données personnelles n’est, dans sa configuration actuelle, pas compatible avec le GDPR pour les organisations de l’UE. Le traitement en dehors de l’UE/EEE n’est pas couvert par les garanties requises. Votre DPD doit en être informé.

 

Ce que les administrateurs peuvent faire

Depuis le centre d’administration Microsoft 365, gérez l’agent chercheur et la sélection du modèle. L’action recommandée pour les organisations de l’UE : désactivez ou limitez l’option de sélection de Claude comme modèle jusqu’à ce que Microsoft et Anthropic fournissent une solution de traitement conforme à l’UE.

 

Claude be peut-il être utilisé en conformité avec l’UE ?

La réponse est oui, mais seulement par des voies de déploiement spécifiques. La voie directe via claude.ai ou l’API Anthropic ne garantit pas la résidence des données dans l’UE. Cependant, il existe deux configurations qui offrent cette garantie :

Pavé de déploiement
Résidence dans l’UE
Exigences
Claude via AWS Bedrock (profils d’inférence de l’UE) Disponible (eu-central-1, eu-west-1…) Compte AWS + configuration Bedrock + réglage de la région UE
Claude via Google Vertex AI (points finaux régionaux de l’UE) Disponible (europe-west1, europe-west4…) Compte Google Cloud + Vertex AI + configuration des points d’extrémité de l’UE
Claude Enterprise (direct de Anthropic) Standard sur l’infrastructure américaine Uniquement via Bedrock ou Vertex AI si l’UE l’exige
Claude.ai (Pro/consommateur) Jamais possible Ne convient pas pour les données à caractère personnel dans le contexte de l’UE

 

Si vous souhaitez déployer Claude de manière structurelle, pour l’analyse de documents ou la communication avec les clients, par exemple, la voie via AWS Bedrock ou Google Vertex AI avec une région de l’UE correctement configurée est la seule option conforme au GDPR en dehors de l’écosystème Microsoft.

 

Cartographie des risques concrets

Qu’est-ce que cela signifie concrètement pour votre organisation ? Voici les scénarios que nous rencontrons le plus souvent dans la pratique, classés par ordre d’impact.

RISQUE ÉLEVÉ

Données personnelles aux États-Unis

Les données RH, les listes de clients ou les dossiers médicaux collés dans claude.ai quittent l’UE sans les garanties appropriées.

RISQUE ÉLEVÉ

Dates de formation sans consentement

Les employés qui ont manqué l’opt-out d’octobre 2025 autorisent la conservation des entretiens d’entreprise pendant 5 ans pour la formation au modèle.

RISQUE ÉLEVÉ

L’IA de l’ombre en dehors de la gouvernance

Les services informatiques n’ont aucune visibilité sur les données traitées par les comptes personnels d’IA. Les pistes d’audit sont totalement absentes.

RISQUE MOYEN

Claude en Copilote sans vérifier

Les employés choisissent Claude comme modèle de Copilote sans se rendre compte que le traitement a lieu en dehors de l’UE.

RISQUE MOYEN

Documents confidentiels

Plans stratégiques, documents de fusion et d’acquisition ou demandes de brevet qui se retrouvent par inadvertance sur une plateforme grand public.

FAIBLE RISQUE

Atteinte à la réputation

Une violation de données ou de conformité constatée par un régulateur a également des conséquences sur la réputation, en plus des conséquences financières.

 

Meilleures pratiques pour votre organisation

En réalité, les employés continuent d’utiliser des outils d’IA et les interdictions sont rarement efficaces. L’essentiel est de mettre en place des politiques réalistes et de proposer des alternatives sûres. Voici les huit mesures que nous recommandons aux organisations de prendre.

  1. Pour un inventaire de l’IA
    Cartographiez les outils d’IA que vos employés utilisent effectivement, et pas seulement ceux qui ont été approuvés par les services informatiques. Les enquêtes anonymes donnent des résultats plus honnêtes que les analyses d’outils logiques.
  2. Classifiez vos données et associez-les aux outils autorisés
    Définissez clairement quelles catégories de données (publiques, internes, confidentielles, secrètes) peuvent être traitées dans quels outils. Données personnelles et informations confidentielles : jamais dans les plateformes grand public.
  3. Proposez une alternative approuvée à Claude
    Si les employés préfèrent Claude à Copilot, offrez-leur une version conforme aux normes européennes via AWS Bedrock ou Vertex AI, avec un compte d’entreprise, la DPA et la conservation zéro des données si nécessaire. Interdire sans proposer d’alternative ne fonctionne pas.
  4. Désactiver Claude en tant que modèle dans Copilot pour les locataires de l’UE
    Rendez-vous dans le centre d’administration Microsoft 365 et limitez la sélection des modèles dans l’agent de recherche. Communiquez activement cette mesure aux utilisateurs et expliquez pourquoi : il s’agit d’une mesure temporaire jusqu’à ce que la conformité soit garantie, et non d’une interdiction.
  5. Vérifiez l’état de l’opt-in pour tous les employés utilisant claude.ai
    Les employés qui ont utilisé claude.ai avant octobre 2025 et qui n’ont pas consciemment répondu au pop-up peuvent autoriser l’utilisation de leurs conversations à des fins de formation. Demandez-leur de désactiver cette option via Paramètres > Vie privée > « Améliorer Claude pour tout le monde ».
  6. Réalisez une analyse d’impact sur la protection des données pour toute utilisation de l’IA impliquant des données à caractère personnel
    La loi exige une analyse d’impact sur la protection des données pour les opérations de traitement à haut risque. Les outils d’IA qui traitent des données à caractère personnel remplissent généralement les conditions requises. Effectuez cette évaluation avant le déploiement, et non après.

 

Conclusion : une IA forte avec une gouvernance faible est une bombe à retardement.

Claude est un excellent assistant IA. La qualité des réponses est réelle, et les employés qui préfèrent l’outil à Copilot pour certaines tâches le font pour des raisons valables. Mais la qualité et la conformité sont deux dimensions différentes.

La situation actuelle dans de nombreuses organisations est celle d’une réalité divisée : une gouvernance formelle autour de Copilot et une zone libre informelle pour tout ce qui est en dehors de cette gouvernance. Ce fossé politique se creuse au fur et à mesure que l’IA s’impose.

Structurer est plus efficace qu’interdire. Donnez aux employés les outils qu’ils souhaitent utiliser et configurez-les de manière à ce que les données de votre entreprise restent en Europe, sous votre contrôle et dans un cadre juridique approprié. C’est tout à fait possible techniquement aujourd’hui. Il suffit de faire un choix conscient.

 

Xylos vous aide à structurer en toute sécurité l’utilisation de l’IA

Chez Xylos, nous guidons les organisations dans l’élaboration d’une politique d’IA qui fonctionne dans la pratique. Nous cartographions l’utilisation réelle de l’IA, établissons un lien entre la classification de vos données et les outils autorisés et mettons en place une configuration sécurisée et conforme aux normes de l’UE pour les assistants d’IA que vos employés souhaitent utiliser efficacement. De cette façon, vous combinez les gains de productivité de l’IA avec le contrôle que votre DPO attend.

Vous voulez savoir où se situe votre organisation aujourd’hui ? Contactez-nous pour un entretien sans engagement avec nos experts.

 

 

A propos de l’auteur

Peter Verrykt est Business Unit Lead Data & AI chez Xylos et guide les organisations dans la transformation des données en valeur commerciale concrète. Il aide les entreprises à voir au-delà des implémentations techniques et à déployer les données et l’IA comme fondement de meilleures décisions, d’une plus grande agilité et d’une croissance durable.

Partager ce cas client

Parlons de votre prochain projet.

L’équipe Xylos est prête à vous rencontrer !

Autres articles intéressants