Agissez maintenant pour garder vos charges de travail Copilot à l’intérieur de l’UE: à compter du 17 avril 2026, Microsoft active le routage Flex Copilot par défaut pour les locataires de l’UE et de l’AELE. Cela permet à l’inférence de l’IA de se produire en dehors de l’UE pendant les périodes de pointe, ce qui pourrait avoir des implications en termes de conformité.
Résumé
- La fonction Flex Routing de Copilot est activée par défaut pour les locataires de l’UE et de l’Association européenne de libre-échange (AELE).
- Les locataires de l’UE/AELE pour les grandes entreprises, l’enseignement ou les clients du secteur public peuvent avoir le paramètre désactivé par défaut ; il est conseillé de vérifier les paramètres dans tous les cas.
- L’inférence de grands modèles de langage (LLM) peut avoir lieu en dehors de la frontière des données de l’UE.
- Des données pseudonymisées limitées du Copilot peuvent être stockées en dehors de l’UE ou de l’AELE
- Les contrôles de routage sont répartis entre plusieurs centres d’administration Microsoft.
- Il est conseillé de procéder immédiatement à un examen de la conformité, de la gouvernance et des aspects juridiques.
Qu’est-ce que le routage Copilot Flex et pourquoi Microsoft l’a-t-il introduit ?
La nouvelle fonctionnalité « Copilot Flex Routing » permet à Microsoft de traiter les demandes d’IA de Copilot en dehors de la frontière de données de l’UE pendant les périodes de forte demande. Cela s’applique spécifiquement à l’inférence des grands modèles de langage (LLM), qui est l’étape où Copilot génère une réponse à une invite de l’utilisateur.
Les modifications s’appliquent à l’ensemble de Microsoft 365 Copilot, Copilot Chat, Power Platform Copilot et Dynamics Copilot.
Microsoft a introduit le routage flexible pour des raisons de gestion de la capacité:
- Les charges de travail d’IA nécessitent une capacité GPU importante
- Les centres de données de l’UE peuvent atteindre leur capacité lors des pics d’utilisation
- L’acheminement des requêtes vers des régions non européennes permet à Microsoft d’éviter la dégradation de ses services
Microsoft déclare que… :
- les données restent cryptées en transit et au repos, et
- les données au repos continuent d’être stockées à l’intérieur de l’UE.
Ce changement est néanmoins important car il affecte le lieu de traitement de l’IA, et pas seulement le lieu de stockage des données. Cette distinction est essentielle pour les organisations qui ont des exigences de traitement limitées à l’UE en vertu de règles réglementaires, contractuelles ou de gouvernance interne.
https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1269223 :
Cela concerne-t-il tous les locataires de Microsoft dans l’UE/AELE ?
Mise à jour 2026-04-13 : Microsoft a déclaré dans une interview de Tweakers, que les locataires de grandes organisations commerciales, les clients de l’éducation et les organisations du secteur public pourraient plutôt avoir un paramètre standard opt-in au lieu de l’opt-out. Cela signifie que, selon la classification de votre organisation par Microsoft, le paramètre est activé ou désactivé par défaut.
Si ce lien vous conduit à un message du Centre de messages de Microsoft indiquant « L’option Flex routing est désactivée par défaut pour votre locataire. Si vous n’entreprenez aucune action, le traitement de vos données ne sera pas modifié […] », alors l’option est désactivée par défaut pour votre locataire : https://admin.cloud.microsoft/?#/MessageCenter/:/messages/MC1269219.
Quoi qu’il en soit, nous vous recommandons de vérifier si le paramètre est activé dans votre locataire en suivant les instructions ci-dessous.
Copilot Flex Routing : Modifications par défaut et déploiements silencieux
- Locataires existants : À partir du 17 avril 2026, Copilot Flex Routing est activé par défaut pour les locataires éligibles de l’UE et de l’AELE.
- Nouveaux locataires : Cette mesure s’applique aussi automatiquement aux nouveaux locataires créés après le 25 mars 2026.
Lorsque la fonction Flex Routing est activée :
- L‘inférence LLM peut avoir lieu en dehors du périmètre des données de l’UE, y compris aux États-Unis, au Canada et en Australie.
- Cela s’applique même si toutes les données Microsoft 365 au repos restent stockées au sein de l’UE.
- Les clients doivent modifier manuellement les paramètres s’ils souhaitent un traitement réservé à l’UE.
Il s’agit d’un changement important par rapport au comportement par défaut antérieur, selon lequel les charges de travail de Copilot pour les locataires de l’UE étaient traitées uniquement au sein de l’UE, sauf configuration contraire explicite.
Le déploiement est silencieux par défaut. La conformité dépend d’une action administrative proactive.
Copilot Flex Routing : Les « données pseudonymisées limitées » peuvent quitter la frontière des données de l’UE
Microsoft indique explicitement que des données pseudonymisées limitées peuvent être stockées en dehors du périmètre de l’UE à des fins de sécurité et d’exploitation. Aucune définition précise des « données pseudonymisées limitées » n’est fournie en dehors de ces objectifs généraux.
En vertu du règlement général sur la protection des données (RGPD):
- Les données pseudonymisées restent des données personnelles
- Les obligations du GDPR continuent de s’appliquer, y compris la limitation de la finalité et la proportionnalité.
- Les transferts en dehors de l’UE peuvent encore nécessiter une justification et une documentation.
Ces changements peuvent être source d’ambiguïté juridique. C’est notamment le cas lorsque les politiques internes, les contrats avec les clients ou les cadres réglementaires exigent que les données soient traitées uniquement dans l’UE. Les accords sur le traitement des données (DPA) devront peut-être être revus ou mis à jour pour refléter ce nouveau comportement par défaut.
Copilot Flex Routing : La gouvernance s’étend à plusieurs centres administratifs
Copilot Flex Routing n’est pas gouverné à partir d’une seule surface administrative, mais à partir de deux centres d’administration.
La configuration existe en :
- Le centre d’administration de Microsoft 365, couvrant Microsoft 365 Copilot et Microsoft 365 Copilot Chat.
- Le centre d’administration de Power Platform, qui couvre Power Platform Copilot, Dynamics Copilot et Copilot Studio.
Configurez d’abord le centre d’administration Microsoft 365: le paramètre de routage flexible du centre d’administration Power Platform respectera le paramètre de routage flexible du centre d’administration Microsoft 365, sauf si le paramètre actuel du centre d’administration Power Platform est plus restrictif.
Du point de vue de la conformité, cela crée un risque de gouvernance incomplète si un seul centre administratif est examiné.
Comment désactiver le routage Flex Copilot dans le centre d’administration de Microsoft 365 ?
Ce paramètre régit Microsoft 365 Copilot et Microsoft 365 Copilot Chat.
- Connectez-vous au centre d’administration Microsoft 365 avec un compte ayant le rôle d’administrateur AI.
- Naviguez vers Copilot → Settings → Flexible inferencing during peak load periods
- Sélectionnez Do not allow flex routing
Une fois désactivée, toute l’inférence Copilot LLM reste à l’intérieur du périmètre des données de l’UE, même pendant les périodes de forte demande. Les engagements standards de Microsoft en matière de cryptage, de traitement et de résidence des données continuent de s’appliquer.
Comment désactiver le routage Copilot Flex dans le centre d’administration de Power Platform ?
Les expériences Copilot dans Power Platform, Dynamics 365 et Copilot Studio sont configurées dans le Centre d’administration de Power Platform. Ce paramètre :
- Hérite de la configuration du centre d’administration Microsoft 365 par défaut.
- Ne peut être visualisé et modifié que si Flex Routing est autorisé au niveau de Microsoft 365.
- Doit être examiné séparément pour les déploiements de Copilot à plusieurs charges de travail.
L’importance de cette question pour les organisations de l’UE
Ces changements rompent avec l’hypothèse selon laquelle les valeurs par défaut de Microsoft Copilot sont prudentes du point de vue de la conformité à l’UE.
Pour les secteurs réglementés tels que le secteur public, les services financiers et les soins de santé, l’inférence hors UE par défaut peut entrer en conflit avec:
- Réglementations sectorielles
- Engagements internes en matière de souveraineté des données
- Exigences en matière de passation de marchés et de contrats
C’est pourquoi il est nécessaire de se tenir régulièrement au courant des changements apportés par Microsoft. Abonnez-vous à notre lettre d’information gratuite sur les licences, si ce n’est déjà fait.
Ce que les organisations doivent faire maintenant
- Passez en revue le paramètre Flex Routing dans le Microsoft 365 Admin Center maintenant
- Vérifiez les paramètres hérités et remplacés dans le centre d’administration de Power Platform.
- Si vous décidez de conserver ce paramètre:
- Déterminer si l’inférence en dehors de l’UE est conforme aux politiques et contrats internes
- Mettre à jour les DPA si nécessaire
- Impliquer les parties prenantes en matière de droit, de conformité et de protection des données
- Communiquer clairement le changement aux propriétaires d’entreprises et aux clients concernés.
Sources d’information
Article d’annonce/apprentissage : https://learn.microsoft.com/en-us/microsoft-365/copilot/copilot-flex-routing
Informations sur les pays dans lesquels les données peuvent être stockées avec Flex Routing : https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-ongoing-partial-transfers#copilot-experiences-in-dynamics-365-power-platform-copilot-studio-and-microsoft-365.
Journal des modifications apportées à la documentation sur la délimitation des données dans l’UE : https://learn.microsoft.com/en-us/privacy/eudb/change-log.
Microsoft 365 admin center – Paramètres Copilot : https://admin.cloud.microsoft/?#/copilot/settings/.
Power Platform admin center : https://admin.powerplatform.microsoft.com/environments.
En savoir plus sur les licences d’entreprise Microsoft : https://www.schneider.im/software/microsoft/.