« Copilot n'est pas un outil, c'est une dépendance » — un DSI européen face au virage Microsoft

# « Copilot n'est pas un outil, c'est une dépendance » — un DSI européen face au virage Microsoft

*En 2026, Microsoft a reconfiguré en profondeur son offre Office Copilot : nouvelles conditions d'accès, évolution des niveaux de service, et une intégration toujours plus serrée avec l'écosystème Azure. Pour un DSI d'ETI industrielle implantée en France et en Allemagne, c'est le moment de dire tout haut ce que beaucoup pensent tout bas. Entretien.*

RiffLab : Quand vous avez appris les derniers changements sur Office Copilot, quelle a été votre première réaction ?

Franchement ? De la lassitude, pas de la surprise. Depuis trois ans, chaque annonce Microsoft sur Copilot ressemble à la même mécanique : on reformate l'offre, on reconditionne les licences, on rend l'outil un peu plus indispensable — et un peu plus difficile à contourner. Ce qui m'a frappé cette fois, c'est la vitesse à laquelle les nouvelles fonctionnalités s'intègrent dans des flux de travail que mes équipes utilisent quotidiennement. On parle de la messagerie, du traitement documentaire, des réunions. Ce n'est plus optionnel dans les faits, même si ça l'est encore sur le papier. Et quand quelque chose n'est plus vraiment optionnel, la question du fournisseur unique devient très sérieuse.

Vous utilisez pourtant la suite Microsoft depuis des années. Où est la rupture ?

La rupture, elle est conceptuelle. Avant, Microsoft nous vendait des logiciels de productivité. Avec Copilot, ils vendent de l'intelligence intégrée à nos processus. Ce n'est pas la même chose du tout. Quand un outil comme Copilot commence à synthétiser vos réunions, à rédiger vos comptes-rendus, à suggérer vos décisions — il capte quelque chose de bien plus sensible que des fichiers bureautiques. Il apprend la façon dont votre organisation fonctionne, pense, décide. Et cette connaissance-là, elle part vers des infrastructures que je ne contrôle pas, gouvernées par un droit que je ne maîtrise pas, dans un pays qui peut décider demain de changer les règles du jeu.

Je ne dis pas que Microsoft est malveillant. Je dis que la dépendance, même bienveillante, reste une dépendance.

Est-ce que le RGPD et les engagements "EU Data Boundary" de Microsoft ne suffisent pas à rassurer ?

Je pense que non, et il faut avoir le courage de le dire. Les engagements contractuels, c'est bien. Mais ils sont unilatéraux : c'est Microsoft qui définit ce qu'il s'engage à faire, et c'est Microsoft qui peut les réviser. On l'a vu avec plusieurs acteurs américains ces dernières années — les conditions évoluent, les politiques de données aussi. Vous avez signé un contrat avec une entité, et c'est une autre entité, après une fusion ou une pression réglementaire américaine, qui honore ou non cet engagement.

L'EU Data Boundary, c'est une promesse de localisation des données. Mais la localisation physique ne règle pas la question de la gouvernance juridique. Le Cloud Act américain, lui, n'a pas disparu en 2026. Et tant que ce cadre légal existe, la souveraineté réelle reste une illusion confortable.

Concrètement, qu'est-ce que ça change dans vos choix d'architecture pour les prochains mois ?

On a ouvert un chantier qu'on avait trop longtemps évité : la cartographie de nos données sensibles. Pas toutes les données — personne ne peut tout souverainiser du jour au lendemain, ce serait irréaliste. Mais identifier ce qui relève du cœur stratégique de l'entreprise : les données R&D, les données contractuelles avec nos clients industriels, certaines décisions de direction. Sur ces périmètres-là, je veux des solutions où je sais exactement qui y a accès et sous quel régime juridique.

Cela nous amène à regarder des alternatives européennes sur des briques spécifiques. Pas pour remplacer Microsoft en bloc du jour au lendemain — ce serait une erreur de gestion du changement majeure — mais pour créer des zones de souveraineté réelle à l'intérieur d'un écosystème hybride assumé. C'est moins spectaculaire qu'un grand soir technologique, mais c'est honnête.

Le marché des alternatives européennes à l'IA de productivité est-il mature pour répondre à ce besoin ?

Il progresse, mais il faut être lucide. Il y a aujourd'hui des acteurs européens capables de proposer des modèles de langage compétents, des environnements de traitement documentaire sécurisés, des assistants de réunion conformes. Ce n'est plus le désert d'il y a trois ans. Mais la réalité d'un DSI d'ETI, c'est qu'il gère aussi des contraintes d'intégration, de support, de formation. Et sur ces dimensions — l'écosystème, la documentation, la maturité des intégrations avec les ERP ou les outils métier — les acteurs européens ont encore du travail.

Ce que j'attends, c'est qu'ils arrêtent de se vendre uniquement sur l'argument souveraineté — qui est nécessaire mais pas suffisant — et qu'ils montrent leur robustesse opérationnelle. Les DSI ne font pas de politique. Ils font tourner des systèmes d'information. Pour changer de crémerie, il faut que la nouvelle crémerie soit aussi fiable que l'ancienne.

Et l'Europe institutionnelle dans tout ça — l'AI Act, les régulateurs — est-ce qu'ils aident ?

L'AI Act est une bonne chose. Il fixe un cadre, il oblige les fournisseurs à être transparents sur leurs systèmes à haut risque, il crée des obligations de documentation. Mais il ne résout pas le problème de la dépendance structurelle. Un Copilot conforme à l'AI Act reste un Copilot dont je suis client captif.

Ce que je veux voir de Bruxelles, ce ne sont pas seulement des règles de conformité — même si elles sont nécessaires — mais une vraie politique industrielle qui aide les acteurs européens à atteindre la masse critique. Des marchés publics orientés vers des solutions souveraines, des programmes de financement de l'interopérabilité, une pression réelle sur les clauses de portabilité des données. Sans ça, dans dix ans, on aura un AI Act très bien rédigé et une dépendance encore plus profonde qu'aujourd'hui.

Un mot pour conclure — quel conseil donneriez-vous à un DSI qui hésite encore à ouvrir ce débat dans son Comex ?

Je lui dirais : ne posez pas la question en termes technologiques, posez-la en termes de risque stratégique. Demandez à votre direction générale si elle accepterait que les clés de son intelligence organisationnelle soient détenues par un acteur étranger, soumis à un droit étranger, qui peut changer ses conditions à chaque cycle fiscal. Formulée ainsi, la question ne reste jamais sans réponse sérieuse.

La souveraineté numérique n'est pas un sujet de geek. C'est un sujet de gouvernance d'entreprise. Et les DSI qui attendent que leurs dirigeants s'en emparent spontanément attendent trop longtemps.

*Cet entretien a été réalisé avec un DSI d'ETI industrielle franco-allemande, qui a souhaité conserver l'anonymat. Les opinions exprimées n'engagent que son auteur.*