Partager via

Données, confidentialité et sécurité pour Microsoft 365 Copilot

  • Article

Microsoft 365 Copilot est un moteur de traitement et d’orchestration sophistiqué qui fournit des fonctionnalités de productivité basées sur l’IA en coordonnant les composants suivants :

  • Modèles de langage volumineux (LLMs)
  • Contenu dans Microsoft Graph, tel que des e-mails, des conversations et des documents auxquels vous êtes autorisé à accéder.
  • Les Microsoft 365 applications de productivité que vous utilisez quotidiennement, telles que Word et PowerPoint.

Pour une présentation de la façon dont ces trois composants fonctionnent ensemble, consultez Présentation de Microsoft 365 Copilot. Pour obtenir des liens vers d’autres contenus liés à Microsoft 365 Copilot, consultez la documentation Microsoft 365 Copilot.

Importante

  • Microsoft 365 Copilot est conforme à nos engagements existants en matière de confidentialité, de sécurité et de conformité envers les clients commerciaux de Microsoft 365, notamment le RGPD (Règlement général sur la protection des données) et la limite de données de l’Union européenne (UE).
  • Les invites, les réponses et les données accessibles via Microsoft Graph ne sont pas utilisées pour entraîner les LLM de base, y compris celles utilisées par Microsoft 365 Copilot.
  • Microsoft 365 Copilot fonctionne avec de multiples protections, qui incluent, sans s'y limiter, le blocage des contenus nuisibles, la détection des contenus protégés, et le blocage des injections rapides (attaques de type jailbreak).

Les informations contenues dans cet article sont destinées à fournir des réponses aux questions suivantes :

Remarque

Microsoft 365 Copilot continuera d’évoluer au fil du temps avec de nouvelles fonctionnalités. Pour rester informé sur Microsoft 365 Copilot ou poser des questions, accédez à la zone Microsoft 365 Copilot sur la communauté technique Microsoft.

Comment Microsoft 365 Copilot utilise vos données organisationnelles exclusives ?

Microsoft 365 Copilot fournit de la valeur en connectant les LLM aux données de votre organisation. Microsoft 365 Copilot accède au contenu et au contexte via Microsoft Graph. Il peut générer des réponses ancrées dans le contenu professionnel du client, telles que des documents utilisateur, des e-mails, un calendrier, des conversations, des réunions, des contacts et d’autres données d’entreprise. Microsoft 365 Copilot associe ce contenu avec le contexte de travail de l'utilisateur, comme la réunion à laquelle il participe actuellement, les échanges d'e-mails sur un sujet donné ou les conversations instantanées de la semaine dernière. Microsoft 365 Copilot utilise cette combinaison de contenu et de contexte pour fournir des réponses précises, pertinentes et contextuelles.

Importante

Les invites, les réponses et les données accessibles via Microsoft Graph ne sont pas utilisées pour entraîner les LLM de base, y compris celles utilisées par Microsoft 365 Copilot.

Microsoft 365 Copilot expose uniquement les données organisationnelles sur lesquelles les utilisateurs individuels ont au moins des autorisations d’affichage. Il est important que vous utilisiez les modèles d’autorisation disponibles dans les services Microsoft 365, tels que SharePoint, pour vous assurer que les utilisateurs ou groupes appropriés disposent du bon accès au contenu approprié dans votre organisation. Cela inclut les autorisations que vous accordez aux utilisateurs extérieurs à votre organisation via des solutions de collaboration inter-locataires, telles que des canaux partagés dans Microsoft Teams.

Lorsque vous saisissez des invites à l'aide de Microsoft 365 Copilot, les informations contenues dans vos invites, les données récupérées et les réponses générées demeurent dans le périmètre du service Microsoft 365, conformément à nos engagements actuels en matière de confidentialité, de sécurité et de conformité. Microsoft 365 Copilot utilise les services Azure OpenAI pour le traitement, et non pour les services OpenAI disponibles publiquement. Azure OpenAI ne met pas en cache le contenu des clients et Copilot a modifié les invites pour Microsoft 365 Copilot. Pour plus d'informations, consultez la section Données stockées à propos des interactions de l'utilisateur avec Microsoft 365 Copilot plus loin dans cet article.

Remarque

  • Lorsque vous utilisez des plugins pour aider Microsoft 365 Copilot à fournir des informations plus pertinentes, vérifiez la déclaration de confidentialité et les conditions d'utilisation du plugin pour déterminer comment il traitera les données de votre organisation. Pour plus d’informations, consultez Extensibilité de Microsoft 365 Copilot.
  • Lorsque vous utilisez le plug-in de contenu web, Microsoft 365 Copilot analyse l’invite de l’utilisateur et identifie les termes pour lesquels une recherche web améliorerait la qualité de la réponse. Sur la base de ces termes, Copilot génère une requête de recherche qu’il envoie au service Recherche Bing. Pour plus d’informations, consultez Données, confidentialité et sécurité des requêtes web dans Microsoft 365 Copilot et Microsoft Copilot.

La surveillance des abus, qui comprend l'examen humain du contenu, est disponible dans Azure OpenAI, mais les services Microsoft 365 Copilot ont choisi de ne pas l'utiliser. Pour plus d'informations sur le filtrage de contenu, consultez la section Comment Copilot bloque-t-il les contenus nuisibles ? plus loin dans cet article.

Remarque

Nous pouvons utiliser les commentaires des clients, facultatifs, pour améliorer Microsoft 365 Copilot, au même titre que nous utilisons les commentaires des clients pour améliorer d'autres services Microsoft 365 et les applications de productivité Microsoft 365. Nous n’utilisons pas ces commentaires pour entraîner les LLM de base utilisés par Microsoft 365 Copilot. Les clients peuvent gérer les commentaires par le biais des contrôles d’administration. Pour plus d'informations, consultez Gérer le feedback Microsoft de votre organisation et Fournir un feedback à propos de Microsoft Copilot avec les applications Microsoft 365.

Données stockées à propos des interactions utilisateur avec Microsoft 365 Copilot

Lorsqu'un utilisateur interagit avec Microsoft 365 Copilot (en utilisant des applications telles que Word, PowerPoint, Excel, OneNote, Loop ou Whiteboard), nous stockons des données à propos de ces interactions. Les données stockées comprennent l'invite de l'utilisateur et la réponse de Copilot, y compris les références à toute information utilisée pour établir la réponse de Copilot. La demande de l'utilisateur et la réponse de Copilot à cette demande sont appelées « contenu des interactions » et l'enregistrement de ces interactions est l'historique des interactions de l'utilisateur avec Copilot. Par exemple, ces données stockées fournissent aux utilisateurs l'historique des interactions de Copilot dans Business Chat et des réunions dans Microsoft Teams. Ces données sont traitées et stockées conformément aux engagements contractuels avec l’autre contenu de votre organisation dans Microsoft 365. Les données sont cryptées lorsqu'elles sont stockées et ne sont pas utilisées pour former les modules de LLM de base, y compris ceux utilisés par Microsoft 365 Copilot.

Pour visualiser et gérer ces données stockées, les administrateurs peuvent utiliser la Recherche de contenu ou Microsoft Purview. Les administrateurs peuvent également utiliser Microsoft Purview pour définir des stratégies de rétention des données liées aux interactions de conversation avec Copilot. Si vous souhaitez en savoir plus, consultez les articles suivants :

Pour les conversations Microsoft Teams avec Copilot, les administrateurs peuvent également utiliser les API d’exportation Microsoft Teams pour afficher les données stockées.

Suppression de l’historique des interactions utilisateur avec Microsoft 365 Copilot

Vos utilisateurs peuvent supprimer leur historique d’interaction Copilot, qui inclut leurs invites et les réponses retournées par Copilot, en accédant au portail Mon compte. Pour plus d’informations, consultez Supprimer l’historique de vos interactions avec Microsoft 365 Copilot.

Microsoft 365 Copilot et la limite de données de l’UE

Les appels de Microsoft 365 Copilot vers le LLM sont routés vers les centres de données les plus proches de la région, mais peuvent également appeler d'autres régions où la capacité est disponible pendant les périodes de forte utilisation.

Pour les utilisateurs de l’Union européenne (UE), nous avons des garanties supplémentaires pour se conformer à la limite de données de l’UE. Le trafic de l’UE reste à l’intérieur de la limite de données de l’UE, tandis que le trafic mondial peut être envoyé vers l’UE et d’autres pays ou régions pour le traitement LLM.

Microsoft 365 Copilot et la résidence des données

Copilot pour Microsoft 365 respecte les engagements en matière de résidence des données, comme indiqué dans les Conditions générales de produit Microsoft et l’Addendum de protection des données. Microsoft 365 Copilot a été ajouté comme charge de travail couverte par les engagements de résidence des données dans les conditions du produit Microsoft le 1er mars 2024.

Les offres Microsoft sur la résidence des données avancées (ADR) et Fonctionnalités multigéographiques incluent des engagements de résidence des données pour les clients de Microsoft 365 Copilot à compter du 1er mars 2024. Pour les clients de l’UE, Microsoft 365 Copilot est un service de limite de données de l’UE. Les requêtes des clients extérieurs à l’UE peuvent être traitées aux États-Unis, dans l’Union européenne ou dans d’autres régions.

Extensibilité de Microsoft 365 Copilot

Bien que Microsoft 365 Copilot soit déjà en mesure d’utiliser les applications et les données au sein de l’écosystème Microsoft 365, de nombreux utilisateurs dépendent toujours de divers outils et services externes pour la gestion du travail et la collaboration. Les expériences Microsoft 365 Copilot pourront se référer à des outils et des services tiers lorsqu'elles répondront à la demande d'un utilisateur au moyen de connecteurs ou de plugins Microsoft Graph. Les données des connecteurs Graph peuvent être retournées dans les réponses Microsoft 365 Copilot si l’utilisateur est autorisé à accéder à ces informations.

Lorsque les plugins sont activés, Microsoft 365 Copilot détermine s'il doit utiliser un plugin spécifique pour aider à fournir une réponse pertinente à l'utilisateur. Si un plug-in est nécessaire, Microsoft 365 Copilot génère une requête de recherche à envoyer au plug-in au nom de l’utilisateur. La requête est basée sur l'invite de l'utilisateur, l'historique des interactions avec Copilot et les données auxquelles l'utilisateur a accès dans Microsoft 365.

Dans la section Applications intégrées du Centre d’administration Microsoft 365, les administrateurs peuvent afficher les autorisations et l’accès aux données requis par un plug-in, ainsi que les conditions d’utilisation et la déclaration de confidentialité du plug-in. Les administrateurs disposent d’un contrôle total pour sélectionner les plug-ins autorisés dans leur organisation. Un utilisateur ne peut accéder qu'aux plug-ins autorisés par son administrateur et qu'il a installés ou qui lui ont été attribués. Microsoft 365 Copilot utilise uniquement les plug-ins activés par l’utilisateur.

Si vous souhaitez en savoir plus, consultez les articles suivants :

Comment Microsoft 365 Copilot protège-t-il les données organisationnelles ?

Le modèle d’autorisations relatif à votre locataire Microsoft 365 peut vous aider à garantir que les données ne fuient pas involontairement entre les utilisateurs, les groupes et les locataires. Microsoft 365 Copilot présente uniquement les données auxquelles chaque individu peut accéder à l’aide des mêmes contrôles sous-jacents pour l’accès aux données utilisés dans d’autres services Microsoft 365. L’index sémantique respecte la limite d’accès basée sur l’identité de l’utilisateur afin que le processus d’ancrage accède uniquement au contenu auquel l’utilisateur actuel est autorisé à accéder. Pour plus d’informations, consultez la politique de confidentialité et la documentation du service de Microsoft.

Lorsque vous avez des données chiffrées par Protection des données Microsoft Purview, Microsoft 365 Copilot respecte les droits d’utilisation accordés à l’utilisateur. Ce chiffrement peut être appliqué par étiquettes de confidentialité ou par des autorisations restreintes dans les applications Microsoft 365 à l’aide de Gestion des droits relatifs à l'information (IRM). Pour plus d’informations sur l’utilisation de Microsoft Purview avec Microsoft 365 Copilot, consultez la protections de conformité et de sécurité des données Microsoft Purview pour les applications IA générées.

Nous implémentons déjà plusieurs formes de protection pour empêcher les locataires de compromettre les services et applications Microsoft 365 ou d’obtenir un accès non autorisé à d’autres locataires ou au système Microsoft 365 lui-même. Voici quelques exemples de ces formes de protection :

  • L'isolation logique du contenu client au sein de chaque locataire pour les services Microsoft 365 est assurée par l'autorisation Microsoft Entra et le contrôle d'accès basé sur les rôles. Pour plus d’informations, consultez Contrôles d’isolation Microsoft 365.

  • Microsoft utilise une sécurité physique rigoureuse, un filtrage en arrière-plan et une stratégie de chiffrement multicouche pour protéger la confidentialité et l’intégrité du contenu client.

  • Microsoft 365 utilise des technologies côté service qui chiffrent le contenu du client au repos et en transit, notamment BitLocker, le chiffrement par fichier, TLS (Transport Layer Security) et IPsec (Internet Protocol Security). Pour plus d’informations sur le chiffrement dans Microsoft 365, consultez Chiffrement dans Microsoft cloud.

  • Votre contrôle sur vos données est renforcé par l’engagement de Microsoft à se conformer aux lois de confidentialité largement applicables, telles que le RGPD, et aux normes de confidentialité, telles que ISO/IEC 27018, le premier code de pratique international pour la confidentialité du cloud.

  • Pour le contenu accessible via les plug-ins Microsoft 365 Copilot, le chiffrement peut exclure l’accès programmatique, ce qui limite l’accès au contenu par le plug-in. Pour plus d’informations, consultez Configurer des droits d’utilisation pour Azure Information Protection.

Respecter les exigences de conformité réglementaire

À mesure que la réglementation dans le domaine de l’IA évolue, Microsoft continuera à s’adapter et à répondre aux exigences réglementaires futures.

Microsoft 365 Copilot s’appuie sur les engagements actuels de Microsoft en matière de sécurité et de confidentialité des données dans l’entreprise. Ces engagements ne sont pas modifiés. Microsoft 365 Copilot est intégré à Microsoft 365 et respecte tous les engagements existants en matière de confidentialité, de sécurité et de conformité envers Microsoft 365 clients professionnels. Pour plus d’informations, consultez Conformité Microsoft.

Au-delà de l’adhésion à la réglementation, nous accordons la priorité à un dialogue ouvert avec nos clients, partenaires et autorités de réglementation pour mieux comprendre et traiter les préoccupations, favorisant ainsi un environnement de confiance et de coopération. Nous reconnaissons que la confidentialité, la sécurité et la transparence ne sont pas seulement des fonctionnalités, mais également des prérequis dans le paysage piloté par l’IA.

Informations supplémentaires

Microsoft 365 Copilot et les contrôles de confidentialité des expériences connectées

Certains contrôles de confidentialité des expériences connectées dans Microsoft 365 Apps peuvent affecter la disponibilité des fonctionnalités de Microsoft 365 Copilot. Cela inclut les contrôles de confidentialité des expériences connectées analysant votre contenu et le contrôle de confidentialité des expériences connectées optionnelles. Pour plus d'informations sur ces contrôles de confidentialité, consultez Vue d'ensemble des contrôles de confidentialité pour Microsoft 365 Apps for enterprise.

Contrôle de la confidentialité des expériences connectées qui analysent votre contenu

Si vous désactivez les expériences connectées qui analysent votre contenu sur les appareils Windows ou Mac de votre entreprise, les fonctionnalités de Microsoft 365 Copilot ne seront pas disponibles pour vos utilisateurs dans les applications suivantes :

  • Excel
  • PowerPoint
  • OneNote
  • Word

Il existe également un contrôle de confidentialité qui désactive toutes les expériences connectées, y compris celles qui analysent votre contenu. Si vous utilisez ce contrôle de confidentialité, les fonctionnalités de Microsoft 365 Copilot ne seront pas disponibles pour certaines applications sur certains appareils, comme décrit ci-dessus.

Contrôle de confidentialité pour les expériences connectées facultatives

Si vous désactivez les expériences connectées facultatives au sein de votre organisation, les fonctionnalités de Microsoft 365 Copilot qui sont des expériences connectées facultatives ne seront pas disponibles pour vos utilisateurs. Par exemple, la recherche web ne sera pas disponible pour vos utilisateurs.

Il existe également un contrôle de confidentialité qui désactive toutes les expériences connectées, y compris les expériences connectées optionnelles. Si vous utilisez ce contrôle de confidentialité, les fonctionnalités des expériences connectées facultatives de Microsoft 365 Copilot ne seront pas disponibles.

À propos du contenu créé par Microsoft 365 Copilot

Les réponses générées par l’intelligence artificielle ne sont pas garanties à 100 %. Même si nous continuons à améliorer les réponses, les utilisateurs doivent toujours faire preuve de discernement lorsqu'ils examinent les résultats avant de les envoyer à d'autres. Nos fonctionnalités Microsoft 365 Copilot fournissent des brouillons et des résumés utiles pour vous aider à accomplir davantage de tâches tout en vous donnant la possibilité de passer en revue l’IA générée plutôt que d’automatiser entièrement ces tâches.

Nous continuons à améliorer les algorithmes pour résoudre de manière proactive les problèmes, tels que la désinformation, le blocage de contenu, la sécurité des données et la prévention de la promotion de contenu préjudiciable ou discriminatoire, conformément à nos principes d'IA responsable.

Microsoft ne revendique pas la propriété des résultats du service. Cela dit, nous ne vérifions pas si le résultat obtenu par un client est protégée par le droit d’auteur ou applicable à d’autres utilisateurs. Les systèmes d'IA générative peuvent produire des réponses similaires à des invites ou des requêtes similaires provenant de plusieurs utilisateurs ou clients. Par conséquent, plusieurs clients peuvent avoir ou revendiquer des droits sur un contenu identique ou sensiblement similaire.

Si un tiers poursuit un client commercial pour violation du droit d'auteur pour avoir utilisé les Copilots de Microsoft ou les résultats qu'ils génèrent, nous défendrons le client et paierons le montant de tout jugement ou règlement défavorable résultant du procès, à condition que le client ait utilisé le garde-corps et filtres de contenu que nous avons intégrés à nos produits. Pour plus d’informations, consultez Microsoft annonce un nouvel engagement de copyright Copilot pour les clients.

Comment Copilot bloque-t-il le contenu dangereux ?

Azure OpenAI Service inclut un système de filtrage de contenu qui fonctionne avec les modèles principaux. Les modèles de filtrage de contenu pour les catégories Haine & Équité, Sexuel, Violence et Automutilation ont été spécifiquement formés et testés dans différentes langues. Ce système fonctionne en exécutant à la fois l’invite d’entrée et la réponse via des modèles de classification conçus pour identifier et bloquer la sortie du contenu nuisible.

Les préjudices liés à la haine et à l’équité désignent tout contenu qui utilise un langage péjoratif ou discriminatoire basé sur des attributs tels que la race, l’ethnicité, la nationalité, l’identité et l’expression de genre, l’orientation sexuelle, la religion, l’immigration statut, la capacité statut, l’apparence personnelle et la taille du corps. L’équité consiste à s’assurer que les systèmes d’IA traitent tous les groupes de personnes de manière équitable sans contribuer aux inégalités sociales existantes. Le contenu sexuel implique des discussions sur les organes reproducteurs humains, les relations amoureuses, les actes présentés en termes érotiques ou affectueux, la grossesse, les actes sexuels physiques, y compris ceux présentés comme une agression ou un acte forcé de violence sexuelle, la prostitution, la pornographie et les abus. La violence décrit le langage relatif aux actions physiques destinées à blesser ou à tuer, y compris les actions, les armes et les entités connexes. Le langage d’automutilation fait référence à des actions délibérées destinées à se blesser ou à se tuer.

En savoir plus sur le filtrage de contenu Azure OpenAI.

Copilot assure-t-il la détection des matériaux protégés ?

Oui, Copilot pour Microsoft 365 assure la détection des éléments protégés, ce qui inclut le texte soumis aux droits d’auteur et le code soumis à des restrictions de licence. Ces atténuations ne sont pas toutes pertinentes pour tous les scénarios Copilot pour Microsoft 365.

Copilot bloque-t-il les injections d’invite (attaques jailbreak) ?

Les attaques jailbreak sont des invites utilisateur qui sont conçues pour provoquer le modèle d’IA générative pour qu’il se comporte d’une manière dont il a été entraîné à ne pas respecter ou d’enfreindre les règles qu’il a été invité à suivre. Microsoft 365 Copilot est conçu pour protéger contre les attaques par injection rapide. En savoir plus sur les attaques par jailbreak et sur l’utilisation de Azure AI Sécurité du Contenu pour les détecter.

Engagement en matière d’IA responsable

À mesure que l’IA est prête à transformer nos vies, nous devons collectivement définir de nouvelles règles, normes et pratiques pour l’utilisation et l’impact de cette technologie. Microsoft s'est engagé dans une démarche d'IA responsable depuis 2017, date à laquelle nous avons défini nos principes et notre approche pour nous assurer que cette technologie est utilisée d'une manière conforme à des principes éthiques qui placent les personnes au premier plan.

Chez Microsoft, nous sommes guidés par nos principes d'IA, notre norme d'IA responsable et des décennies de recherche sur l'IA, l'ancrage et l'apprentissage automatique préservant la vie privée. Une équipe multidisciplinaire de chercheurs, d’ingénieurs et d’experts en stratégie examine nos systèmes d’IA afin de déterminer les risques potentiels et les moyens de les atténuer – en affinant les données d’entraînement, en filtrant pour limiter les contenus nuisibles, en bloquant les requêtes et les résultats sur les sujets sensibles, et en appliquant des technologies Microsoft telles qu’InterpretML et Fairlearn pour aider à détecter et à corriger les biais dans les données. Nous expliquons clairement comment le système prend ses décisions en signalant les limites, en établissant des liens vers les sources et en invitant les utilisateurs à examiner, à vérifier les faits et à ajuster le contenu en fonction de leur expertise dans le domaine concerné. Pour plus d’informations, consultez Gouvernance de l’IA : un plan d'action pour l’avenir.

Nous souhaitons aider nos clients à utiliser nos produits d'IA de manière responsable, en partageant nos connaissances et en établissant des partenariats fondés sur la confiance. Pour ces nouveaux services, nous voulons fournir à nos clients des informations sur les utilisations, les fonctionnalités et les limitations prévues de notre service de plateforme d’IA, afin qu’ils disposent des connaissances nécessaires pour faire des choix de déploiement responsables. Nous partageons également des ressources et des modèles avec des développeurs au sein d’organisations et avec des éditeurs de logiciels indépendants pour les aider à créer des solutions d’IA efficaces, sécurisées et transparentes.