Copilot Microsoft et AI Act : votre entreprise est-elle exposée ?
Microsoft 365 Copilot est désormais intégré dans les outils de milliers d'entreprises françaises. Mais son utilisation engage des obligations AI Act, variables selon l'usage. Voici ce que vous devez vérifier dès maintenant.
Pourquoi Copilot vous expose à l'AI Act
Microsoft 365 Copilot est un outil d'IA générative intégré à Word, Excel ou Outlook. Son déploiement dans votre entreprise vous place automatiquement sous le régime de l'AI Act.
L'AI Act distingue deux rôles : le fournisseur (Microsoft) et le déployeur (votre entreprise). En tant que déployeur, vous êtes responsable de la conformité de l'usage que vous faites de Copilot. Cela inclut la classification du risque, la documentation et la supervision humaine, même si Microsoft fournit le modèle sous-jacent.
L'article 26 de l'AI Act précise que le déployeur doit s'assurer que le système est utilisé conformément à sa destination initiale. Si vous détournez Copilot pour des décisions RH ou financières, vous devenez responsable de la conformité de cet usage spécifique.
Ce que Microsoft prend en charge, ce qui reste à votre charge
Microsoft, en tant que fournisseur du modèle GPAI (GPT-4), doit se conformer aux articles 51 à 56 de l'AI Act. Mais cela ne couvre pas vos usages internes.
- Conformité du modèle GPAI (articles 51-56)
- Documentation technique et transparence (AI Transparency Report)
- Gestion des risques systémiques
- Classification du risque selon l'usage (article 6)
- Documentation des processus internes (article 26)
- Supervision humaine et formation des utilisateurs
- Transparence envers les tiers affectés (article 50)
Microsoft publie une documentation de conformité AI Act pour ses services. Cette documentation est utile, mais elle ne remplace pas votre propre évaluation des risques liés à vos usages spécifiques.
Vos obligations selon l'usage de Copilot
Les obligations varient selon que Copilot est utilisé pour de la productivité générale ou pour des décisions sensibles.
1. Usage standard (productivité, rédaction, recherche)
Dans ce cas, Copilot est probablement classé en risque limité (article 50). Vos obligations sont légères, mais réelles :
- Informer les utilisateurs que Copilot est un système d'IA.
- Documenter les cas d'usage internes (ex : génération de comptes-rendus).
- Former les employés à l'utilisation responsable (ex : ne pas partager de données sensibles).
- Vérifier que les outputs n'affectent pas des tiers sans transparence (ex : emails générés automatiquement).
2. Usage sensible (décisions RH, crédit, évaluation de performance)
Si Copilot est utilisé pour des décisions automatisées dans des domaines listés à l'annexe III de l'AI Act, il peut être classé en haut risque. Vos obligations deviennent alors strictes :
- Évaluation des risques avant déploiement (article 9).
- Documentation technique détaillée (article 11).
- Supervision humaine obligatoire (article 14).
- Journalisation des activités (article 12).
- Information claire aux personnes concernées (article 13).
« Une entreprise qui utilise Copilot pour trier des CV ou évaluer des demandes de prêt devient de facto fournisseur d'un système haut risque, même si elle n'a pas développé le modèle. »
Cas pratiques où Copilot devient haut risque
Voici des exemples concrets où votre usage de Copilot peut basculer dans la catégorie haut risque.
1. Recrutement et gestion des ressources humaines
Si Copilot est utilisé pour :
- Trier ou pré-sélectionner des CV.
- Générer des évaluations de performance.
- Proposer des promotions ou des augmentations.
Ces usages relèvent de l'annexe III, point 4 de l'AI Act (gestion des relations de travail). Vous devez alors appliquer les obligations des systèmes haut risque, même si Copilot n'a pas été conçu pour cela.
2. Crédit et scoring financier
Si Copilot est utilisé pour :
- Analyser des demandes de prêt ou de crédit.
- Évaluer la solvabilité d'un client.
- Proposer des conditions tarifaires personnalisées.
Ces usages relèvent de l'annexe III, point 5 (accès aux services essentiels). Là encore, les obligations haut risque s'appliquent.
3. Santé et assurances
Si Copilot est utilisé pour :
- Analyser des dossiers médicaux (même partiellement).
- Proposer des tarifs d'assurance personnalisés.
Ces usages relèvent de l'annexe III, points 1 et 6. Ils sont considérés comme haut risque et nécessitent une conformité stricte.
Hébergement des données : ce que dit Microsoft
Microsoft propose depuis 2023 l'option EU Data Boundary, qui permet de stocker les données des clients européens exclusivement dans des data centers situés dans l'UE.
Pour Copilot, cela signifie :
- Les données traitées par Copilot (documents, emails, prompts) restent dans l'UE.
- Cela facilite la conformité RGPD, mais ne dispense pas des obligations AI Act.
- Vérifiez votre contrat Microsoft 365 pour confirmer l'activation de cette option.
L'AI Office rappelle que l'hébergement des données dans l'UE est un critère important, mais pas suffisant pour garantir la conformité totale à l'AI Act.
Identifiez vos obligations en 3 minutes
Notre diagnostic gratuit analyse votre usage de Copilot et vous indique les étapes de conformité à suivre.
Questions fréquentes
Réponses aux interrogations les plus courantes sur Copilot et l'AI Act.
Microsoft est responsable en tant que fournisseur du modèle GPAI (articles 51-56). Cependant, votre entreprise reste responsable de l'usage que vous faites de Copilot, notamment si cet usage est classé en haut risque (article 26).
Consultez l'annexe III de l'AI Act. Si Copilot est utilisé pour des décisions dans les domaines listés (RH, crédit, santé, etc.), il est probablement haut risque. Un diagnostic précis est recommandé.
Oui. L'article 4 de l'AI Act impose une maîtrise de l'IA (AI literacy) pour les utilisateurs. Cela inclut la formation aux limites de Copilot, aux risques de biais, et aux bonnes pratiques pour éviter les usages non conformes.
Vous devez appliquer les obligations des systèmes haut risque (articles 9 à 15) : évaluation des risques, documentation technique, supervision humaine, journalisation et information des personnes concernées. Un audit de conformité est fortement recommandé.
L'EU Data Boundary facilite la conformité RGPD en limitant le transfert des données hors de l'UE. Cependant, elle ne couvre pas tous les aspects du RGPD (ex : droit d'accès, rectification) ni les obligations spécifiques de l'AI Act. Une vérification complète est nécessaire.
Cela dépend de la finalité. Si l'analyse sert à des décisions automatisées (ex : scoring crédit), cela peut être haut risque. Dans tous les cas, vous devez informer les clients et documenter l'usage (article 50). Évitez de traiter des données sensibles sans analyse préalable.
Les sanctions peuvent aller jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial (article 99). Pour les PME, les amendes sont plafonnées à 15 millions d'euros ou 3 % du chiffre d'affaires. Les autorités de régulation (CNIL en France) peuvent aussi imposer des mesures correctives.