Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Comment les entreprises européennes peuvent préserver la productivité sur Microsoft 365 tout en protégeant les données sensibles et en assurant leur souveraineté

Comment les entreprises européennes peuvent préserver la productivité sur Microsoft 365 tout en protégeant les données sensibles et en assurant leur souveraineté

par Patrick Spencer updated février 18, 2026 Conformité RGPD
temps de lecture: 10 minutes

Microsoft 365 est profondément ancré dans les opérations des entreprises européennes. Teams assure la communication quotidienne. SharePoint héberge des bibliothèques de documents couvrant plusieurs départements et partenaires. OneDrive soutient le travail hybride. Outlook relie les employés aux clients et aux régulateurs.

Remplacer cette infrastructure n’est pas une option réaliste — et il ne devrait pas être nécessaire de le faire. La véritable question que se posent les responsables IT et sécurité européens est plus ciblée : comment préserver toute la productivité de Microsoft 365 tout en garantissant le respect des obligations de confidentialité des données imposées par le RGPD, Schrems II, le US CLOUD Act et un environnement réglementaire de plus en plus strict ?

Nous allons répondre à cette question en examinant le fossé en matière de souveraineté que les outils Microsoft laissent ouvert, et comment une couche de souveraineté permet d’y remédier sans perturber les workflows sur lesquels les employés comptent.

Résumé Exécutif

Idée principale : Microsoft 365 expose structurellement les entreprises européennes à des risques de souveraineté des données. Microsoft est soumis aux exigences du US CLOUD Act et, même si ses propres outils de cloud souverain atténuent certains de ces risques, ils ne les éliminent pas. Une couche de souveraineté — le Réseau de données privé Kiteworks déployé en mode locataire unique sur les workflows Microsoft 365 — offre un chiffrement contrôlé par le client, des contrôles d’accès sans possession et des fonctions d’audit qui comblent ces lacunes.

Pourquoi c’est important : Les autorités européennes de protection des données examinent de plus en plus attentivement les accords cloud avec des acteurs américains. Les TIAs qui identifient une exposition au CLOUD Act mais se contentent de mesures contractuelles ne convaincront pas les régulateurs, qui s’appuient sur le bilan post-Schrems II. Les organisations incapables de prouver la mise en place de mesures techniques complémentaires réellement efficaces — clés de chiffrement contrôlées par le client et hébergées sur du matériel géré dans l’EEE, accès du fournisseur aux données en clair totalement exclu — s’exposent à des amendes, des interdictions de traitement et une atteinte à la réputation.

5 points clés à retenir

  1. La localisation des centres de données dans l’UE ne règle pas l’exposition au CLOUD Act pour Microsoft. Microsoft est une société américaine soumise aux injonctions légales américaines, quel que soit l’emplacement de son infrastructure. Le CLOUD Act suit le contrôle du fournisseur, pas la géographie des données. L’EU Data Boundary de Microsoft limite la résidence des données, mais n’empêche pas le gouvernement américain d’y accéder sur demande légale.
  2. Les clés gérées par le client chez Microsoft ne sont pas hors de portée de Microsoft. Azure Key Vault et Purview Customer Key permettent aux clients de gérer la rotation des clés — mais celles-ci restent dans l’infrastructure Azure de Microsoft. Une demande CLOUD Act ou FISA adressée à Microsoft cible cette infrastructure. Un véritable contrôle des clés exige qu’elles soient intégrées à un HSM contrôlé par le client, en dehors de l’environnement du fournisseur.
  3. Microsoft 365 Copilot crée une exposition à la souveraineté distincte et non résolue. Copilot traite du contenu en clair — e-mails, documents, conversations Teams — pour générer des résultats. Le chiffrement au repos ne protège pas les données qui doivent être déchiffrées pour le traitement par l’IA. Les organisations ont besoin d’une couche de gouvernance qui contrôle les données accessibles à Copilot, pas seulement leur lieu de stockage.
  4. La mutualisation est un facteur de risque sous-estimé. Dans l’architecture multitenant par défaut de Microsoft, les données chiffrées et les clés de milliers d’organisations coexistent dans une infrastructure partagée. Une seule faille peut exposer plusieurs clients en même temps. Le déploiement en locataire unique — l’architecture proposée par Kiteworks — élimine totalement ce risque de mélange.
  5. Une couche de souveraineté préserve toute la productivité de M365. Kiteworks s’intègre à Outlook, Teams, SharePoint, OneDrive, Word, Excel et PowerPoint via des plugins natifs. Les utilisateurs finaux travaillent dans des interfaces familières ; les contrôles d’accès, la gestion des clés, l’audit et le géorepérage fonctionnent en arrière-plan sans perturber les workflows.

Le problème de souveraineté Microsoft 365 : ce que les outils Microsoft résolvent (ou pas)

Microsoft a beaucoup investi dans des outils répondant aux préoccupations réglementaires européennes : l’EU Data Boundary limite le traitement des données personnelles à l’infrastructure de l’UE et de l’AELE ; Azure Key Vault et Purview Customer Key donnent au client la main sur la rotation des clés ; Microsoft Cloud for Sovereignty ajoute des garde-fous pour les clients publics. Ce sont de vraies fonctions. Les responsables IT doivent comprendre ce qu’elles apportent et ce qu’elles n’apportent pas — car c’est précisément sur ce point que portent les contrôles réglementaires.

Liste de contrôle RGPD pour la conformité

Pour en savoir plus :

Ce que le programme EU Data Boundary règle (ou pas)

L’EU Data Boundary de Microsoft limite l’emplacement de stockage et de traitement des données personnelles, répondant aux exigences de résidence des données et au premier niveau de conformité en matière de souveraineté. Mais il ne règle pas la question de l’accès. Microsoft est une société américaine. Le US CLOUD Act oblige les entreprises américaines à fournir les données stockées partout dans le monde sur demande valide du gouvernement américain, quel que soit le lieu de stockage. L’article 48 du RGPD interdit les transferts vers des autorités non européennes sur la seule base d’une décision de justice étrangère — mais il n’empêche pas ces décisions d’être émises, ni n’oblige Microsoft à les refuser. Le conflit structurel entre les obligations du CLOUD Act et l’article 48 du RGPD n’est pas résolu par les engagements de résidence des données.

Pourquoi les clés gérées par le client dans Azure ne sont pas équivalentes à des clés contrôlées par le client

Azure Key Vault et Purview Customer Key permettent de gérer la rotation et la révocation des clés — des fonctions utiles. Mais les clés gérées dans Azure restent dans l’infrastructure de Microsoft. Une demande CLOUD Act ou FISA Section 702 adressée à Microsoft cible cette infrastructure. Les recommandations 01/2020 de l’EDPB précisent que le chiffrement contrôlé par le client signifie que le fournisseur n’a jamais accès aux clés ni aux données en clair. Les clés stockées dans Azure Key Vault ne répondent pas à cette exigence. Un véritable contrôle impose des clés dans un matériel certifié FIPS sous le contrôle exclusif du client, totalement hors de l’environnement du fournisseur.

Le problème Microsoft 365 Copilot : IA et souveraineté

Microsoft 365 Copilot pose un défi de souveraineté encore plus aigu. Copilot traite le contenu des e-mails, documents SharePoint et historiques Teams pour générer des résumés, brouillons et réponses — et pour cela, le contenu doit être accessible en clair. Le chiffrement au repos n’offre aucune protection au moment du traitement par l’IA. Toute donnée accessible à un employé dans M365 l’est potentiellement pour Copilot et, via Copilot, pour l’infrastructure IA de Microsoft. Pour les entreprises européennes qui traitent des données commerciales sensibles, des données personnelles réglementées ou des communications couvertes par le secret professionnel, c’est une exposition supplémentaire : les données sous-jacentes sont soumises au CLOUD Act, et les résultats issus de l’IA peuvent l’être aussi.

Le défi de gouvernance impose une couche qui contrôle les données accessibles à Copilot — en agissant au niveau du contenu, et non en se reposant sur les contrôles internes de Microsoft. Une passerelle de données IA qui intercepte et gouverne les flux vers les modèles IA — garantissant que seuls les contenus correctement classifiés accèdent au traitement IA — constitue la réponse architecturale attendue.

Exigences de souveraineté selon la réglementation européenne : ce que la loi impose réellement

Le chapitre V du RGPD exige que les transferts vers des pays tiers offrent une protection essentiellement équivalente à celle garantie dans l’UE. Schrems II a confirmé que les clauses contractuelles types imposent des mesures techniques complémentaires lorsque la législation du pays destinataire en limite l’efficacité. Pour les transferts vers des fournisseurs américains, l’exposition au CLOUD Act rend les SCC seules insuffisantes. L’EDPB est clair : lorsque la législation américaine de surveillance crée un risque que les contrats ne peuvent pas résoudre, la seule mesure complémentaire techniquement adéquate est le chiffrement contrôlé par le client, sans accès du fournisseur aux clés ni aux données en clair.

Le cadre réglementaire au-delà du RGPD

Pour de nombreuses entreprises européennes, la conformité ne s’arrête pas au RGPD. La directive NIS 2 impose des exigences de sécurité supply chain qui incluent les relations avec les fournisseurs cloud. Les sociétés de services financiers soumises à DORA doivent gérer le risque de concentration autour des fournisseurs cloud et prouver leur résilience si les données deviennent soumises à des injonctions étrangères. Les organismes de santé, les prestataires de défense et les cabinets traitant des communications protégées par le secret professionnel sont soumis à des contraintes sectorielles supplémentaires. Une architecture de souveraineté conforme au standard du RGPD en matière de mesures complémentaires répond en général à ces cadres, même si la documentation varie et que chaque contexte réglementaire nécessite une analyse spécifique.

Les Transfer Impact Assessments restent la base documentaire. Un TIA crédible pour un déploiement Microsoft 365 doit identifier l’exposition au CLOUD Act et à la FISA 702, évaluer l’impact de ces lois sur l’efficacité des SCC, et démontrer que les mesures complémentaires déployées — chiffrement contrôlé par le client avec des clés hors de l’infrastructure Microsoft — offrent une protection essentiellement équivalente. Les TIAs réalisés avant la mise en place d’une couche de souveraineté doivent être mis à jour pour refléter la nouvelle architecture ; cette mise à jour constitue elle-même une preuve de la posture d’accountability attendue par les régulateurs.

L’architecture de la couche de souveraineté : comment ça fonctionne sans perturber M365

Une couche de souveraineté ne remplace pas Microsoft 365. Elle encapsule les workflows sensibles dans une couche de sécurité et de gouvernance placée entre les utilisateurs et l’infrastructure Microsoft, garantissant que les données traitées par Microsoft sont déjà chiffrées avec des clés contrôlées par l’organisation européenne — Microsoft ne traite donc que des données chiffrées, jamais en clair. Les employés continuent d’utiliser les mêmes applications ; les contrôles de souveraineté sont largement invisibles pour eux.

Comment Kiteworks s’intègre à Microsoft 365 sans le remplacer

Le Réseau de données privé Kiteworks s’intègre à chaque application Microsoft 365 majeure via des plugins et connecteurs natifs, appliquant les contrôles de souveraineté au point d’échange de données sans imposer de migration applicative.

Pour Outlook, le plugin Kiteworks applique des règles basées sur le rôle concernant les autorisations de transfert, les dates d’expiration et les contrôles d’accès avant l’envoi des messages hors de l’organisation. Les administrateurs définissent les règles de gouvernance de façon centralisée ; les utilisateurs travaillent dans leur environnement Outlook habituel. Les e-mails sécurisés circulent sans configuration supplémentaire pour les employés, et chaque envoi, réception, transfert et téléchargement est enregistré dans un journal d’audit infalsifiable.

Pour Teams, le plugin Kiteworks permet le partage sécurisé de fichiers avec des tiers via les dépôts gouvernés de Kiteworks, avec un contrôle d’accès basé sur le rôle pour accéder aux fichiers SharePoint, OneDrive et partages Windows depuis Teams, et une journalisation automatique de chaque interaction.

Pour SharePoint et OneDrive, la suite Sovereign Access de Kiteworks offre une passerelle unifiée vers les dépôts internes sans dépendance VPN. Sa fonction d’édition sans possession, propulsée par SafeEDIT, permet aux tiers de consulter et modifier des documents sans que les fichiers ne quittent jamais l’environnement contrôlé de l’organisation — l’édition sans possession élimine tout risque d’exfiltration lors de la collaboration externe, sans restreindre la collaboration elle-même.

Pour Word, Excel et PowerPoint, les plugins Kiteworks permettent le partage sécurisé de documents directement depuis les applications, en sauvegardant les fichiers dans les dépôts d’entreprise et les dossiers partagés Kiteworks sous les mêmes contrôles d’accès et d’audit que tous les autres flux de données sensibles.

Déploiement locataire unique et gestion des clés contrôlée par le client

La base architecturale repose sur un déploiement locataire unique — sur site, cloud privé contrôlé par le client ou instance hébergée dédiée — combiné à des clés de chiffrement gérées par le client et intégrées à un HSM sous le contrôle exclusif de l’organisation européenne. Dans l’architecture multitenant par défaut de Microsoft, les données chiffrées et les clés de milliers d’organisations coexistent dans une infrastructure partagée. Kiteworks élimine totalement ce mélange : chaque déploiement est isolé, et les clés de chiffrement ne quittent jamais l’environnement contrôlé du client.

Kiteworks prend en charge le chiffrement validé FIPS 140-3 niveau 1 — AES-256 pour les données au repos, TLS 1.3 pour les données en transit, avec S/MIME et OpenPGP pour les e-mails. Les clés sont générées et détenues par l’organisation européenne. Kiteworks n’y accède jamais, et Microsoft non plus lorsqu’il traite des données déjà chiffrées avant d’atteindre l’infrastructure M365. C’est l’architecture exigée par le standard de mesures complémentaires de l’EDPB, et ce qui rend un Transfer Impact Assessment crédible face à un contrôle réglementaire.

Kiteworks applique la localisation des données via le géorepérage — listes blanches et noires d’adresses IP pour garantir que les données ne sont stockées que dans les juridictions spécifiées. Pour les organisations allemandes (BDSG), françaises (obligations ANSSI), néerlandaises (priorités AP) ou britanniques (UK GDPR), le déploiement de clés et le géorepérage par juridiction fournissent la documentation technique de souveraineté exigée lors des réponses aux autorités de protection des données.

Gouverner l’IA : l’exposition Copilot et comment y répondre

Microsoft 365 Copilot devient une fonction standard de productivité en entreprise, et les organisations européennes subissent une pression métier pour l’activer. Le défi de gouvernance consiste à permettre à Copilot d’apporter de la valeur tout en l’empêchant de traiter des contenus qui ne doivent pas entrer dans l’infrastructure IA de Microsoft — ce qui nécessite une couche de gouvernance du contenu, et non une désactivation globale.

La passerelle de données IA Kiteworks agit comme intermédiaire entre les dépôts de contenu et le traitement IA, appliquant des politiques de gouvernance qui déterminent quelles catégories de contenu peuvent être transmises aux modèles IA. L’analyse DLP, la classification de la gouvernance des données et l’application des politiques d’accès interviennent avant que le contenu n’atteigne Copilot — garantissant que les données personnelles réglementées, les documents commerciaux sensibles et les communications protégées sont gouvernés de façon cohérente, quel que soit le déclencheur IA. Les organisations qui activent Copilot sans couche de gouvernance du contenu donnent en pratique à l’infrastructure IA de Microsoft accès à tout ce que leurs employés peuvent consulter — une exposition à la conformité que les autorités de protection des données savent de plus en plus détecter et sanctionner.

La documentation de conformité : TIAs, journaux d’audit et préparation aux contrôles DPA

L’architecture technique de souveraineté est nécessaire mais pas suffisante. Les régulateurs exigent des preuves documentaires — Transfer Impact Assessments, registres de traitement, DPIA pour les traitements à risque, et journaux d’audit démontrant la conformité continue. Le tableau de bord RSSI de Kiteworks offre une visibilité centralisée sur tous les échanges de données sensibles — qui a envoyé quoi, à qui, quand, depuis quelle application — créant la traçabilité infalsifiable exigée par le principe d’accountability de l’article 5(2) du RGPD.

Pour les organisations soumises au reporting incident NIS 2 ou à la documentation DORA sur la résilience opérationnelle, la journalisation et le reporting Kiteworks constituent le dossier de preuves attendu par ces cadres. Pour répondre à une enquête DPA sur les usages Microsoft 365, la combinaison de la documentation de déploiement locataire unique, des registres de gestion des clés HSM, des preuves de géorepérage et des journaux d’audit par application permet d’apporter une réponse crédible, et pas seulement déclarative.

Comment Kiteworks permet la souveraineté Microsoft 365 sans sacrifier la productivité

Les entreprises européennes n’ont pas à choisir entre la productivité Microsoft 365 et la souveraineté des données. Le vrai choix, c’est de déployer M365 avec une couche de souveraineté qui comble les failles CLOUD Act, mutualisation et exposition IA — ou d’accepter une posture de conformité que les autorités de protection des données viendront tester. Une couche de souveraineté reposant sur des clés de chiffrement contrôlées par le client, un déploiement locataire unique, des contrôles d’accès sans possession et une gouvernance du contenu IA, c’est la norme attendue — et elle s’intègre à Microsoft 365 au niveau applicatif sans changer la façon de travailler des employés.

Kiteworks fournit la couche de souveraineté nécessaire aux entreprises européennes pour utiliser Microsoft 365 en conformité avec le RGPD, Schrems II, NIS 2 et DORA. Le Réseau de données privé se déploie en instance locataire unique — sur site, cloud privé ou hébergé par Kiteworks — avec des clés de chiffrement gérées par le client dans des HSM contrôlés par la juridiction, sans accès Kiteworks. Les plugins natifs pour Outlook, Teams, SharePoint, OneDrive et les applications Office s’intègrent directement aux workflows existants. La suite Sovereign Access permet l’accès sans possession aux dépôts internes et la collaboration externe SafeEDIT sans sortie de données de l’environnement contrôlé. Les journaux d’audit infalsifiables et le tableau de bord RSSI centralisé apportent la preuve documentaire exigée lors des contrôles DPA. Kiteworks prend en charge les déploiements spécifiques à chaque juridiction en Allemagne, France, Pays-Bas et Royaume-Uni, avec la documentation de conformité NIS2 et DORA intégrée. Pour découvrir comment l’architecture fonctionne dans votre environnement, réservez votre démo sans attendre !

Foire aux questions

Pas totalement. L’EU Data Boundary limite l’emplacement de stockage et de traitement des données personnelles, répondant aux exigences de résidence des données. Il n’empêche pas les autorités américaines d’émettre des demandes CLOUD Act ou FISA Section 702 à Microsoft, société américaine, quel que soit le lieu de stockage. La conformité RGPD chapitre V pour Microsoft 365 exige des mesures complémentaires techniques réellement efficaces — en particulier, un chiffrement contrôlé par le client avec des clés hors de l’infrastructure Microsoft — et pas seulement des engagements contractuels ou des contrôles de résidence des données.

Azure Key Vault et Purview Customer Key permettent de gérer la rotation et la révocation des clés — mais toujours dans l’infrastructure Azure de Microsoft. Les recommandations 01/2020 de l’EDPB imposent que le fournisseur n’ait jamais accès aux clés ni aux données en clair. Les clés stockées dans Azure restent dans l’infrastructure Microsoft et sont accessibles via des injonctions américaines adressées à Microsoft. Le chiffrement contrôlé par le client exige des clés intégrées à un HSM sous le contrôle exclusif du client, totalement hors de l’environnement du fournisseur.

Copilot traite du contenu en clair — e-mails, documents, conversations Teams — pour générer des résultats, ce qui signifie que le chiffrement au repos ne protège pas au moment du traitement IA. Tout contenu accessible aux employés l’est potentiellement pour l’infrastructure IA de Microsoft. La gouvernance impose une couche de politique de contenu — telle que la passerelle de données IA Kiteworks — qui contrôle les catégories de contenu traitées par l’IA, en appliquant les politiques DLP et de souveraineté avant que le contenu n’atteigne l’IA.

Oui. Kiteworks s’intègre via des plugins et connecteurs natifs pour Outlook, Teams, SharePoint, OneDrive, Word, Excel et PowerPoint. Les utilisateurs finaux travaillent dans des interfaces familières ; les contrôles d’accès, la gestion des clés de chiffrement, les journaux d’audit et le géorepérage fonctionnent en arrière-plan sans changer les workflows. La couche ajoute la souveraineté sans sacrifier la productivité — c’est tout l’intérêt de l’architecture.

Une réponse DPA crédible exige : des Transfer Impact Assessments à jour démontrant que les clés de chiffrement contrôlées par le client sont hors de l’infrastructure Microsoft ; une documentation architecturale montrant le déploiement locataire unique et la configuration de gestion des clés ; des registres de gouvernance des données prouvant que le géorepérage et les politiques d’accès sont opérationnels ; et des journaux d’audit infalsifiables montrant la conformité continue sur tous les échanges de données Microsoft 365. Le tableau de bord RSSI et les fonctions d’audit de Kiteworks sont conçus pour produire ce dossier de preuves.

Ressources complémentaires 

  • Article de blog  
    Souveraineté des données : bonne pratique ou exigence réglementaire ?
  • eBook  
    Souveraineté des données et RGPD
  • Article de blog  
    Évitez ces pièges de la souveraineté des données
  • Article de blog  
    Bonnes pratiques en matière de souveraineté des données
  • Article de blog  
    Souveraineté des données et RGPD [Comprendre la sécurité des données]

    •  

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks