Données, confidentialité et sécurité pour Microsoft Copilot pour Microsoft 365

Microsoft Copilot pour Microsoft 365 est un moteur de traitement et d’orchestration sophistiqué qui fournit des fonctionnalités de productivité optimisées par l’IA en coordonnant les composants suivants :

• Modèles de langage volumineux (LLMs)
• Contenu dans Microsoft Graph, tel que des e-mails, des conversations et des documents auxquels vous êtes autorisé à accéder.
• Les Microsoft 365 applications de productivité que vous utilisez quotidiennement, telles que Word et PowerPoint.

Pour une présentation de la façon dont ces trois composants fonctionnent ensemble, consultez Vue d'ensemble de Microsoft Copilot pour Microsoft 365 Copilot. Pour obtenir des liens vers d’autres contenus liés à Microsoft Copilot pour Microsoft 365, consultez la documentation de Microsoft Copilot pour Microsoft 365.

Les informations contenues dans cet article sont destinées à fournir des réponses aux questions suivantes :

• Comment Microsoft Copilot pour Microsoft 365 utilise-t-il vos données organisationnelles propriétaires ?
• Comment Microsoft Copilot pour Microsoft 365 fait-t-il protéger les informations et les données de l’organisation ?
• Quelles sont les données stockées à propos des interactions des utilisateurs avec Microsoft Copilot pour Microsoft 365 ?
• Quels engagements de résidence des données Microsoft Copilot prend-il ?
• Quelles sont les options d’extensibilité disponibles pour Microsoft Copilot pour Microsoft 365
• Comment Microsoft Copilot pour Microsoft 365 répond-il aux exigences de conformité réglementaire ?
• Les contrôles pour les expériences connectées dans Microsoft 365 Apps s'appliquent-ils à Microsoft Copilot pour Microsoft 365 ?
• Puis-je faire confiance au contenu créé par Microsoft Copilot pour Microsoft 365 ? À qui appartient ce contenu ?
• Quels sont les engagements de Microsoft en matière d’utilisation responsable de l’IA ?

Comment Microsoft Copilot pour Microsoft 365 utilise-t-ils vos données organisationnelles propriétaires ?

Microsoft Copilot pour Microsoft 365 fournit de la valeur en connectant les LLM aux données de votre organisation. Microsoft Copilot pour Microsoft 365 accède au contenu et au contexte via Microsoft Graph. Il peut générer des réponses ancrées dans le contenu professionnel du client, telles que des documents utilisateur, des e-mails, un calendrier, des conversations, des réunions, des contacts et d’autres données d’entreprise. Microsoft Copilot pour Microsoft 365 combine ce contenu avec le contexte de travail de l'utilisateur, comme la réunion à laquelle il participe actuellement, les échanges de courriels qu'il a eus sur un sujet ou les conversations qu'il a eues la semaine dernière. Microsoft Copilot pour Microsoft 365 utilise cette combinaison de contenu et de contexte pour fournir des réponses précises, pertinentes et contextuelles.

Microsoft Copilot pour Microsoft 365 expose uniquement les données organisationnelles sur lesquelles les utilisateurs individuels possèdent au moins des autorisations d’affichage. Il est important que vous utilisiez les modèles d’autorisation disponibles dans les services Microsoft 365, tels que SharePoint, pour vous assurer que les utilisateurs ou groupes appropriés disposent du bon accès au contenu approprié dans votre organisation. Cela inclut les autorisations que vous accordez aux utilisateurs extérieurs à votre organisation via des solutions de collaboration inter-locataires, telles que des canaux partagés dans Microsoft Teams.

Lorsque vous entrez des invites à l’aide de Microsoft Copilot pour Microsoft 365, les informations contenues dans vos invites, les données qu’elles récupèrent, et les réponses générées restent dans la limite de service de Microsoft 365, conformément à nos engagements actuels en matière de confidentialité, de sécurité et de conformité. Microsoft Copilot pour Microsoft 365 utilise les services Azure OpenAI pour le traitement, et non les services OpenAI disponibles publiquement. Azure OpenAI ne met pas en cache le contenu client et Copilot a modifié des invites pour Copilot pour Microsoft 365.

La surveillance des abus pour Microsoft Copilot pour Microsoft 365 s'effectue en temps réel, sans fournir à Microsoft un accès permanent aux données des clients, que ce soit pour un examen humain ou automatisé. Alors que la modération de la mauvaise utilisation, qui inclut la révision humaine du contenu, est disponible dans Azure OpenAI, les services Microsoft Copilot pour Microsoft 365 les ont refusé. Les données Microsoft 365 ne sont pas collectées ou stockées par Azure OpenAI.

Données stockées à propos des interactions utilisateur avec Microsoft Copilot pour Microsoft 365

Lorsqu’un utilisateur interagit avec Microsoft Copilot pour Microsoft 365 (à l’aide d’applications telles que Word, PowerPoint, Excel, OneNote, Loop ou Whiteboard), nous stockons des données sur ces interactions. Les données stockées comprennent l'invite de l'utilisateur et la réponse de Copilot, y compris les références à toute information utilisée pour établir la réponse de Copilot. Nous appelons contenu des interactions l'invite de l'utilisateur et la réponse de Copilot à cette invite, et l'enregistrement de ces interactions est l'historique des interactions de l'utilisateur avec Copilot. Par exemple, ces données stockées fournissent aux utilisateurs l'historique des interactions avec Microsoft Copilot avec des discussions établies sur Graph et des réunions dans Microsoft Teams. Ces données sont traitées et stockées conformément aux engagements contractuels avec l’autre contenu de votre organisation dans Microsoft 365. Les données sont chiffrées lorsqu’elles sont stockées et ne sont pas utilisées pour entraîner les LLM de base, y compris celles utilisées par Microsoft Copilot pour Microsoft 365.

Pour visualiser et gérer ces données stockées, les administrateurs peuvent utiliser la Recherche de contenu ou Microsoft Purview. Les administrateurs peuvent également utiliser Microsoft Purview pour définir des stratégies de rétention des données liées aux interactions de conversation avec Copilot. Si vous souhaitez en savoir plus, consultez les articles suivants :

• Vue d’ensemble de la recherche de contenu
• Protections de la conformité et de la sécurité des données Microsoft Purview pour les applications d’intelligence artificielle générées
• En savoir plus à propos de la rétention de Copilot pour Microsoft 365

Pour les conversations Microsoft Teams avec Copilot, les administrateurs peuvent également utiliser les API d’exportation Microsoft Teams pour afficher les données stockées.

Suppression de l’historique des interactions utilisateur avec Microsoft Copilot pour Microsoft 365

Vos utilisateurs peuvent supprimer leur historique d’interaction Copilot, qui inclut leurs invites et les réponses retournées par Copilot, en accédant au portail Mon compte. Pour plus d’informations, consultez Supprimer l’historique de vos interactions avec Microsoft Copilot.

Microsoft Copilot pour Microsoft 365 et la limite de données de l’UE

Les appels de Microsoft Copilot pour Microsoft 365 vers le LLM sont acheminés vers les centres de données dans la région la plus proche, mais peuvent également appeler d'autres régions où la capacité est disponible pendant les périodes de forte utilisation.

Pour les utilisateurs de l’Union européenne (UE), nous avons des garanties supplémentaires pour se conformer à la limite de données de l’UE. Le trafic de l’UE reste à l’intérieur de la limite de données de l’UE, tandis que le trafic mondial peut être envoyé vers l’UE et d’autres pays ou régions pour le traitement LLM.

Microsoft Copilot pour Microsoft 365 et la résidence des données

Copilot pour Microsoft 365 respecte les engagements en matière de résidence des données, comme indiqué dans les Conditions générales de produit Microsoft et l’Addendum de protection des données. Copilot pour Microsoft 365 a été ajouté en tant que charge de travail couverte des engagements de résidence de données dans les conditions du produit Microsoft le 1er mars 2024.

Les offres Microsoft sur la résidence des données avancées (ADR) et Fonctionnalités multigéographiques incluent des engagements de résidence des données pour les clients de Copilot pour Microsoft 365 à compter du 1er mars 2024. Pour les clients de l’UE, Copilot pour Microsoft 365 est un service de limite de données de l’UE. Les requêtes des clients extérieurs à l’UE peuvent être traitées aux États-Unis, dans l’Union européenne ou dans d’autres régions.

Extensibilité de Microsoft Copilot pour Microsoft 365

Bien que Microsoft Copilot pour Microsoft 365 soit déjà en mesure d'utiliser les applications et les données au sein de l'écosystème Microsoft 365, de nombreuses organisations dépendent encore de divers outils et de services externes pour la gestion du travail et de la collaboration. Les références Microsoft Copilot pour Microsoft 365 peuvent référencer des outils et des services tiers lors de la réponse à la demande d’un utilisateur à l’aide deconnecteurs Microsoft Graph ou de plug-ins. Les données des connecteurs Graph peuvent être retournées dans les réponses Microsoft Copilot pour Microsoft 365 si l’utilisateur est autorisé à accéder à ces informations.

Lorsque les plug-ins sont activés, Microsoft Copilot pour Microsoft 365 détermine s’il doit utiliser un plug-in spécifique pour fournir une réponse pertinente à l’utilisateur. Si un plug-in est nécessaire, Microsoft Copilot pour Microsoft 365 génère une requête de recherche à envoyer au plug-in au nom de l’utilisateur. La requête est basée sur l'invite de l'utilisateur, l'historique des interactions avec Copilot et les données auxquelles l'utilisateur a accès dans Microsoft 365.

Dans la section Applications intégrées du Centre d’administration Microsoft 365, les administrateurs peuvent afficher les autorisations et l’accès aux données requis par un plug-in, ainsi que les conditions d’utilisation et la déclaration de confidentialité du plug-in. Les administrateurs disposent d’un contrôle total pour sélectionner les plug-ins autorisés dans leur organisation. Un utilisateur ne peut accéder qu'aux plug-ins autorisés par son administrateur et qu'il a installés ou qui lui ont été attribués. Microsoft Copilot pour Microsoft 365 utilise uniquement les plug-ins activés par l’utilisateur.

Si vous souhaitez en savoir plus, consultez les articles suivants :

• Gérer les plug-ins pour Copilot dans les applications intégrées
• Étendre Microsoft Copilot pour Microsoft 365
• Fonctionnement de Microsoft Copilot pour Microsoft 365 avec vos données externes

Comment Microsoft Copilot pour Microsoft 365 protège-t-il les données de l'organisation ?

Le modèle d’autorisations relatif à votre locataire Microsoft 365 peut vous aider à garantir que les données ne fuient pas involontairement entre les utilisateurs, les groupes et les locataires. Microsoft Copilot pour Microsoft 365 présente uniquement les données auxquelles chaque individu a accès via les mêmes contrôles sous-jacents d'accès aux données que ceux utilisés dans les autres services Microsoft 365. L’index sémantique respecte la limite d’accès basée sur l’identité de l’utilisateur afin que le processus d’ancrage accède uniquement au contenu auquel l’utilisateur actuel est autorisé à accéder. Pour plus d’informations, consultez la politique de confidentialité et la documentation du service de Microsoft.

Lorsque vous avez des données chiffrées par Protection des données Microsoft Purview, Microsoft Copilot pour Microsoft 365 respecte les droits d’utilisation accordés à l’utilisateur. Ce chiffrement peut être appliqué par étiquettes de confidentialité ou par des autorisations restreintes dans les applications Microsoft 365 à l’aide de Gestion des droits relatifs à l'information (IRM). Pour plus d’informations sur l’utilisation de Microsoft Purview avec Microsoft Copilot pour Microsoft 365, consultez protections de conformité et de sécurité des données Microsoft Purview pour les applications IA générées.

Nous implémentons déjà plusieurs formes de protection pour empêcher les locataires de compromettre les services et applications Microsoft 365 ou d’obtenir un accès non autorisé à d’autres locataires ou au système Microsoft 365 lui-même. Voici quelques exemples de ces formes de protection :

• L'isolation logique du contenu client au sein de chaque locataire pour les services Microsoft 365 est assurée par l'autorisation Microsoft Entra et le contrôle d'accès basé sur les rôles. Pour plus d’informations, consultez Contrôles d’isolation Microsoft 365.

• Microsoft utilise une sécurité physique rigoureuse, un filtrage en arrière-plan et une stratégie de chiffrement multicouche pour protéger la confidentialité et l’intégrité du contenu client.

• Microsoft 365 utilise des technologies côté service qui chiffrent le contenu client au repos et en transit, notamment BitLocker, le chiffrement par fichier, TLS (Transport Layer Security) et l’IPsec (Internet Protocol Security). Pour plus d’informations sur le chiffrement dans Microsoft 365, consultez Chiffrement dans Microsoft cloud.

• Votre contrôle sur vos données est renforcé par l’engagement de Microsoft à se conformer aux lois de confidentialité largement applicables, telles que le RGPD, et aux normes de confidentialité, telles que ISO/IEC 27018, le premier code de pratique international pour la confidentialité du cloud.

• Pour le contenu accessible via les plug-ins Microsoft Copilot pour Microsoft 365, le chiffrement peut exclure l’accès programmatique, ce qui limite l’accès au contenu par le plug-in. Pour plus d’informations, consultez Configurer des droits d’utilisation pour Azure Information Protection.

Respecter les exigences de conformité réglementaire

À mesure que la réglementation dans le domaine de l’IA évolue, Microsoft continuera à s’adapter et à répondre aux exigences réglementaires futures.

Microsoft Copilot pour Microsoft 365 s'appuie sur les engagements actuels de Microsoft en matière de sécurité et de confidentialité des données dans l'entreprise. Ces engagements ne sont pas modifiés. Microsoft Copilot pour Microsoft 365 est intégré à Microsoft 365 et respecte tous les engagements existants en matière de confidentialité, de sécurité et de conformité envers clients professionnels Microsoft 365. Pour plus d’informations, consultez Conformité Microsoft.

Au-delà de l’adhésion à la réglementation, nous accordons la priorité à un dialogue ouvert avec nos clients, partenaires et autorités de réglementation pour mieux comprendre et traiter les préoccupations, favorisant ainsi un environnement de confiance et de coopération. Nous reconnaissons que la confidentialité, la sécurité et la transparence ne sont pas seulement des fonctionnalités, mais également des prérequis dans le paysage piloté par l’IA.

Informations supplémentaires

Microsoft Copilot pour Microsoft 365 et paramètres de stratégie pour les expériences connectées.

Si vous désactivez les expériences connectées qui analysent le contenu des Microsoft 365 Apps sur les appareils Windows ou Mac de votre organisation, les fonctionnalités Microsoft Copilot pour Microsoft 365 ne seront pas disponibles pour vos utilisateurs dans les applications suivantes :

• Excel
• PowerPoint
• OneNote
• Word

De même, les fonctionnalités de Microsoft Copilot pour Microsoft 365 dans ces applications sur les appareils Windows ou Mac ne seront pas disponibles si vous désactivez l'utilisation des expériences connectées pour Microsoft 365 Apps.

Pour plus d’informations sur ces paramètres de stratégie, consultez les articles suivants :

• Utiliser les paramètres de stratégie pour gérer les contrôles de confidentialité pour les Office 365 ProPlus(pour Windows)
• Utiliser les préférences pour gérer les contrôles de confidentialité pour Office pour Mac

À propos du contenu créé par Microsoft Copilot pour Microsoft 365

Les réponses générées par l’intelligence artificielle ne sont pas garanties à 100 %. Même si nous continuons à améliorer les réponses, les utilisateurs doivent toujours faire preuve de discernement lorsqu'ils examinent les résultats avant de les envoyer à d'autres. Nos fonctionnalités Microsoft Copilot pour Microsoft 365 fournissent des brouillons et des résumés utiles pour vous aider à en faire plus tout en vous donnant la possibilité d'examiner l'IA générée plutôt que d'automatiser entièrement ces tâches.

Nous continuons à améliorer les algorithmes pour résoudre de manière proactive les problèmes, tels que la désinformation, le blocage de contenu, la sécurité des données et la prévention de la promotion de contenu préjudiciable ou discriminatoire, conformément à nos principes d'IA responsable.

Microsoft ne revendique pas la propriété des résultats du service. Cela dit, nous ne vérifions pas si le résultat obtenu par un client est protégée par le droit d’auteur ou applicable à d’autres utilisateurs. Les systèmes d'IA générative peuvent produire des réponses similaires à des invites ou des requêtes similaires provenant de plusieurs utilisateurs ou clients. Par conséquent, plusieurs clients peuvent avoir ou revendiquer des droits sur un contenu identique ou sensiblement similaire.

Si un tiers poursuit un client commercial pour violation du droit d'auteur pour avoir utilisé les Copilots de Microsoft ou les résultats qu'ils génèrent, nous défendrons le client et paierons le montant de tout jugement ou règlement défavorable résultant du procès, à condition que le client ait utilisé le garde-corps et filtres de contenu que nous avons intégrés à nos produits. Pour plus d’informations, consultez Microsoft annonce un nouvel engagement de copyright Copilot pour les clients.

Comment Copilot bloque-t-il le contenu dangereux ?

Azure OpenAI Service inclut un système de filtrage de contenu qui fonctionne avec les modèles principaux. Les modèles de filtrage de contenu pour les catégories Haine & Équité, Sexuel, Violence et Automutilation ont été spécifiquement formés et testés dans différentes langues. Ce système fonctionne en exécutant à la fois l’invite d’entrée et la réponse via des modèles de classification conçus pour identifier et bloquer la sortie du contenu nuisible.

Les préjudices liés à la haine et à l’équité désignent tout contenu qui utilise un langage péjoratif ou discriminatoire basé sur des attributs tels que la race, l’ethnicité, la nationalité, l’identité et l’expression de genre, l’orientation sexuelle, la religion, l’immigration statut, la capacité statut, l’apparence personnelle et la taille du corps. L’équité consiste à s’assurer que les systèmes d’IA traitent tous les groupes de personnes de manière équitable sans contribuer aux inégalités sociales existantes. Le contenu sexuel implique des discussions sur les organes reproducteurs humains, les relations amoureuses, les actes présentés en termes érotiques ou affectueux, la grossesse, les actes sexuels physiques, y compris ceux présentés comme une agression ou un acte forcé de violence sexuelle, la prostitution, la pornographie et les abus. La violence décrit le langage relatif aux actions physiques destinées à blesser ou à tuer, y compris les actions, les armes et les entités connexes. Le langage d’automutilation fait référence à des actions délibérées destinées à se blesser ou à se tuer.

En savoir plus sur le filtrage de contenu Azure OpenAI.

Copilot assure-t-il la détection des matériaux protégés ?

Oui, Copilot pour Microsoft 365 assure la détection des éléments protégés, qui inclut le texte soumis aux droits d’auteur et le code soumis à des restrictions de licence. Ces atténuations ne sont pas toutes pertinentes pour tous les scénarios Copilot pour Microsoft 365.

Copilot bloque-t-il les injections d’invite (attaques jailbreak) ?

Les attaques jailbreak sont des invites utilisateur qui sont conçues pour provoquer le modèle d’IA générative pour qu’il se comporte d’une manière dont il a été entraîné à ne pas respecter ou d’enfreindre les règles qu’il a été invité à suivre. Microsoft Copilot pour Microsoft 365 est conçu pour protéger contre les attaques par injection rapide. En savoir plus sur les attaques par jailbreak et sur l’utilisation de Azure AI Sécurité du Contenu pour les détecter.

Engagement en matière d’IA responsable

À mesure que l’IA est prête à transformer nos vies, nous devons collectivement définir de nouvelles règles, normes et pratiques pour l’utilisation et l’impact de cette technologie. Microsoft s'est engagé dans une démarche d'IA responsable depuis 2017, date à laquelle nous avons défini nos principes et notre approche pour nous assurer que cette technologie est utilisée d'une manière conforme à des principes éthiques qui placent les personnes au premier plan.

Chez Microsoft, nous sommes guidés par nos principes d'IA, notre norme d'IA responsable et des décennies de recherche sur l'IA, l'ancrage et l'apprentissage automatique préservant la vie privée. Une équipe multidisciplinaire de chercheurs, d’ingénieurs et d’experts en stratégie examine nos systèmes d’IA afin de déterminer les risques potentiels et les moyens de les atténuer – en affinant les données d’entraînement, en filtrant pour limiter les contenus nuisibles, en bloquant les requêtes et les résultats sur les sujets sensibles, et en appliquant des technologies Microsoft telles qu’InterpretML et Fairlearn pour aider à détecter et à corriger les biais dans les données. Nous expliquons clairement comment le système prend ses décisions en signalant les limites, en établissant des liens vers les sources et en invitant les utilisateurs à examiner, à vérifier les faits et à ajuster le contenu en fonction de leur expertise dans le domaine concerné. Pour plus d’informations, consultez Gouvernance de l’IA : un plan d'action pour l’avenir.

Nous souhaitons aider nos clients à utiliser nos produits d'IA de manière responsable, en partageant nos connaissances et en établissant des partenariats fondés sur la confiance. Pour ces nouveaux services, nous voulons fournir à nos clients des informations sur les utilisations, les fonctionnalités et les limitations prévues de notre service de plateforme d’IA, afin qu’ils disposent des connaissances nécessaires pour faire des choix de déploiement responsables. Nous partageons également des ressources et des modèles avec des développeurs au sein d’organisations et avec des éditeurs de logiciels indépendants pour les aider à créer des solutions d’IA efficaces, sécurisées et transparentes.

Articles connexes

• Exigences de Microsoft Copilot pour Microsoft 365
• Démarrage avec Microsoft Copilot pour Microsoft 365
• Site d’adoption Microsoft Copilot