Quand votre IA quitte le pays sans vous prévenir
Table Of Content
Name of the heading
Talk to our experts
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed vitae purus ipsum
Introduction
La plupart des organisations européennes et suisses utilisant Microsoft 365 Copilot opèrent encore sur une hypothèse qui a cessé d'être exacte le 17 avril 2026. Une fonctionnalité appelée routage flexible, activée par défaut, signifie que lorsque les centres de données européens de Microsoft sont sous charge, les requêtes Copilot peuvent être traitées aux États-Unis, au Canada ou en Australie. Chiffrées en transit, oui. Mais traitées à l'étranger, sous juridiction étrangère, et soumises aux procédures légales américaines.
Le problème n'est pas la malveillance. C'est un choix de conception fait au niveau de l'infrastructure qui annule discrètement une posture de conformité que votre équipe a mis des mois à construire. Pour toute personne opérant sous la FINMA, DORA ou la LPD révisée, cela mérite d'être clairement compris avant le prochain audit.
Key Takeaways
- Le lieu de stockage et le lieu de traitement ne sont pas la même chose. L'inférence d'IA est là où réside la véritable exposition.
- Lorsque les centres de données européens de Microsoft sont sous charge, les requêtes Copilot peuvent être acheminées vers les États-Unis, le Canada ou l'Australie pour traitement, par défaut, sans notification proactive.
- Le CLOUD Act américain signifie que les fournisseurs domiciliés aux États-Unis peuvent être contraints de divulguer des données traitées sur le sol américain, quel que soit l'endroit où elles sont stockées. Les cadres suisses et européens ne résolvent pas ce conflit.
- La solution pour Microsoft 365 Copilot est rapide : désactiver « Inférence flexible pendant les périodes de forte charge » dans le centre d'administration. La question plus difficile est de savoir ce qui, dans votre pile technologique, contient une clause similaire enfouie dans la documentation.
- Ce sont les paramètres par défaut des fournisseurs, et non les accords signés, qui déterminent votre posture de conformité réelle. Si le paramètre par défaut est de router pour l'efficacité, votre exposition juridique suit l'équilibreur de charge.
- Les fournisseurs dont l'architecture maintient l'infrastructure, l'entité juridique et le droit applicable au sein d'une seule juridiction éliminent le problème au niveau structurel, plutôt que de le gérer via des paramètres.
Le « routage flexible » de Copilot de Microsoft peut envoyer des requêtes de l'UE à l'étranger en cas de charge. Voici ce que cela signifie pour la conformité FINMA, DORA et LPD révisée, et comment le désactiver.
La plupart des clients européens et suisses de Microsoft 365 Copilot n'en ont toujours pas entendu parler, et ceux qui en ont connaissance le découvrent généralement de la manière habituelle : un responsable de la conformité lit les notes de version un dimanche après-midi et envoie un message Slack qui gâche le lundi de quelqu'un.
Ce qui se passe réellement : depuis le 17 avril 2026, Microsoft a activé une fonctionnalité appelée « routage flexible » pour Copilot. Vous la trouverez dans le centre d'administration sous l'étiquette légèrement euphémique « Inférence flexible pendant les périodes de forte charge ». Lorsque les centres de données européens de Microsoft sont sous forte charge, les requêtes Copilot peuvent être envoyées aux États-Unis, au Canada ou en Australie pour y être traitées. Chiffrées en transit, chiffrées au repos, mais traitées à l'étranger tout de même. Toute personne s'étant inscrite après le 25 mars l'avait activé dès le premier jour. Les clients existants l'ont activé par défaut, à moins qu'un administrateur n'intervienne pour le désactiver.
Certains articles ont présenté cela comme une trahison envers les clients européens. Ce n'est pas tout à fait exact. Microsoft est une entreprise américaine qui gère un service mondial, et le routage flexible, de leur point de vue, est un choix d'ingénierie lié à la capacité. La question plus pertinente est de savoir ce que cet épisode révèle sur l'écart entre le « hébergé dans l'UE » ou « hébergé en Suisse » comme argument marketing et le contrôle réel sur l'endroit où vos données sont traitées.
Le stockage est facile. Le traitement est là où réside l'exposition.
Pendant des années, la conversation autour de la souveraineté des données s'est concentrée sur le stockage. Où les fichiers sont-ils stockés au repos ? Dans le centre de données de quelle juridiction ? Quel câble va où ? Cette conversation est en grande partie résolue. Presque tous les grands fournisseurs vous proposeront une région UE ou une région suisse pour le stockage.
L'IA modifie la nature du problème. Une inférence n'est pas un fichier stocké sur un disque. C'est un moment de calcul : votre requête, vos documents joints, le contexte de votre e-mail, tout ce dont le modèle a besoin pour répondre, tout est assemblé et chargé dans un GPU quelque part. Ce « quelque part » est l'endroit où les données se trouvent, même brièvement, en clair. Le chiffrement en transit ne vous aide pas à l'étape de l'inférence, car le modèle, par définition, doit lire l'entrée.
Ainsi, lorsque Microsoft déclare que « les données au repos restent dans la frontière de données de l'UE », ils disent la vérité et ne répondent pas non plus à la question qui préoccupe réellement la plupart des entreprises réglementées. Pour une banque opérant sous les attentes de la FINMA, un prestataire de soins de santé sous la LPD révisée, ou toute entreprise ayant des obligations DORA, la question est : qui, dans quelle juridiction, et sous quelle procédure légale, pourrait théoriquement voir ce contenu pendant son traitement ? Avec le routage flexible, la réponse passe de « l'Europe » à « cela dépend de la charge du mardi ».
Le CLOUD Act n'a pas disparu
C'est ce qui fait de la mise à jour du routage flexible plus qu'une simple note de bas de page. Le CLOUD Act américain, en vigueur depuis 2018, permet aux autorités américaines de contraindre les entreprises américaines à divulguer les données sous leur contrôle, où que ces données soient physiquement situées. L'Office fédéral de la justice suisse a écrit à ce sujet à plusieurs reprises. Le droit bancaire suisse et la revDSG fixent des limites à ce qui peut quitter le pays ou être divulgué à une autorité étrangère, sans passer par les canaux appropriés. Un fournisseur américain qui achemine le traitement vers le sol américain, même brièvement, se trouve précisément au cœur de cette tension.
Rien de tout cela n'est théorique pour les institutions financières. Quiconque a participé à un audit de la FINMA sur l'externalisation ces dernières années sait que « le fournisseur dit que c'est chiffré » ne clôt pas la question. Les auditeurs veulent voir le flux de données. Ils veulent savoir qui détient quelle clé, quel sous-traitant exécute quelle étape, et ce qui se passe dans le cas malheureux où une autorité étrangère frappe à la porte. Le routage flexible, avec son repli basé sur la capacité vers des juridictions étrangères, est exactement le genre de chose qui transforme un diagramme clair en un diagramme complexe.
Une petite chose que vous pouvez faire cette semaine
Si vous utilisez Microsoft 365 Copilot et que vous avez lu jusqu'ici en hochant la tête, la solution immédiate est rapide. Connectez-vous au centre d'administration avec le rôle d'administrateur IA, ouvrez Copilot, accédez aux Paramètres, et sous « Inférence flexible pendant les périodes de forte charge », choisissez « Ne pas autoriser le routage flexible ». C'est tout. Vous échangerez un peu de disponibilité aux heures de pointe contre le maintien de l'inférence à l'intérieur de la frontière de données de l'UE. Pour la plupart des charges de travail réglementées, c'est le compromis que vous souhaitez.
Ce qui est plus difficile et prend plus de temps, c'est la conversation que cela devrait lancer en interne. Si votre fournisseur peut modifier l'endroit où vos données sont traitées par le biais d'un paramètre par défaut qui apparaît dans un centre d'administration pendant que tout le monde est en vacances, qu'est-ce qui est dans le même cas ? Quels autres services ont une clause de « charge de pointe » enfouie dans la documentation ? Quels sont vos flux de travail IA que vous avez réellement cartographiés de bout en bout, de l'assemblage de l'invite à la livraison de la réponse ?
La tendance de fond
Le routage flexible n'est pas le scandale que certains articles décrivent. C'est un choix de conception, et Microsoft a été raisonnablement transparent quant à la publication des détails. La véritable histoire est que c'est un point de données de plus dans un schéma : lorsque votre infrastructure, votre fournisseur et votre cadre juridique se trouvent tous dans des juridictions différentes, la commodité technique de quelqu'un d'autre peut discrètement outrepasser votre position de conformité. Vous recevez une notification, vous obtenez un paramètre, et la charge de la lecture des notes de version incombe à votre équipe.
L'alternative simple : choisir des fournisseurs dont les paramètres par défaut correspondent déjà au régime sous lequel vous opérez, qui ne peuvent pas acheminer vos données ailleurs parce qu'ils n'ont jamais construit l'infrastructure pour cela, et dont les obligations légales relèvent des mêmes tribunaux que les vôtres. Cela ne donne pas lieu à des articles de blog spectaculaires. Mais cela permet des audits plus courts.
À quoi ressemble concrètement la souveraineté suisse
Chez SecureSafe, nous abordons cela sous un angle spécifique, et il est important d'être honnête à ce sujet. Nos produits sont construits autour de quelques principes qui rendent le problème du routage flexible structurellement impossible pour nous, pas seulement un paramètre que nous promettons de désactiver.
Les données résident sur des serveurs en Suisse, dans des centres de données Tier III, avec une triple redondance. La société d'exploitation, DSwiss AG (l'entité suisse derrière SecureSafe), est régie par le droit suisse, qui inclut la revDSG, le secret bancaire suisse le cas échéant, et aucune voie de contournement d'entraide judiciaire pour les agences américaines en vertu du CLOUD Act. Le chiffrement est AES-256 et l'architecture est à connaissance nulle : le contenu utilisateur est chiffré avant d'être stocké, et la plateforme est conçue de manière à ce que les données client lisibles ne soient pas accessibles à l'opérateur. Combinez cela avec une juridiction qui ne transmet pas de données à des agences étrangères par des canaux informels et vous obtenez une position qui reste dans un seul régime juridique, du moment où les données arrivent au moment où elles sont supprimées.
Cette conception précède de loin la conversation actuelle sur la souveraineté. Elle a été conçue pour les banques suisses, qui ont eu ce genre de questions à gérer pendant des décennies. Ce qui a changé, c'est que le reste du marché rattrape son retard sur les mêmes questions, poussé par l'application du RGPD, DORA, NIS-2, et maintenant la réalisation que les fonctionnalités d'IA ajoutent une toute nouvelle couche de traitement aux systèmes qui étaient auparavant principalement axés sur le stockage.
Si vous souhaitez discuter de ce que tout cela signifie pour vos propres flux de travail IA ou de documents, nous sommes disponibles. Sans engagement commercial, juste les détails concrets de la manière dont les données circulent réellement.
Conclusion
Le routage flexible ne sera pas la dernière fonctionnalité de ce type. À mesure que l'inférence IA s'intègre aux plateformes de productivité, de documents et de communication, la question de l'endroit où le calcul a lieu continuera de faire surface dans les salles d'audit et les examens de conformité. Les fournisseurs les mieux positionnés pour les industries réglementées ne sont pas nécessairement ceux qui ont les modèles les plus performants. Ce sont ceux dont l'architecture rend ces questions structurellement non pertinentes, parce que l'infrastructure, l'entité juridique et le droit applicable se trouvent tous au même endroit. C'est plus difficile à construire et plus simple à auditer.
