Le stockage cloud et l'IA intégrée dans votre stockage ne sont pas le même problème. Ce guide démêle les deux.
Vos fichiers sont sur des serveurs d'entreprises américaines (Google, Microsoft). La loi américaine CLOUD Act peut contraindre ces entreprises à livrer vos données à des autorités US — même si elles sont stockées en Europe.
Quand Gemini analyse vos Docs Google ou que Copilot lit vos fichiers Word — vos données sont traitées par une IA. C'est un niveau de risque supplémentaire distinct du stockage seul.
| Solution | Données publiques | Données clients | RH / Finance / Brevets |
|---|---|---|---|
| Google Drive personnel | ⚠ Acceptable | ❌ Interdit | ❌ Interdit |
| Google Workspace Business avec DPA signé + EU data region |
✅ OK | ⚠ Sous conditions | ❌ Très risqué |
| OneDrive personnel | ⚠ Acceptable | ❌ Interdit | ❌ Interdit |
| Microsoft 365 Business avec DPA + EU Data Boundary |
✅ OK | ⚠ Sous conditions | ❌ Très risqué |
| Gemini dans Google Docs | ⚠ Acceptable | ❌ Interdit sans audit | ❌ Interdit |
| Copilot dans Word/Excel | ⚠ Acceptable | ❌ Interdit sans audit | ❌ Interdit |
Pour Google Workspace ou Microsoft 365 avec des données clients : il faut (1) un DPA signé, (2) l'hébergement EU activé, (3) Gemini/Copilot désactivé sur les fichiers concernés, (4) une mention dans votre politique RGPD. Sans ces 4 éléments, vous n'êtes pas en conformité même avec un abonnement payant.
Seules les versions Business Starter, Business Standard ou Business Plus permettent de signer un DPA et d'activer l'hébergement EU. Google Drive "gratuit" ou compte perso → données clients interdites.
admin.google.com → Compte → Légal → Data Processing Agreement. À télécharger, signer, et archiver dans votre registre RGPD.
admin.google.com → Compte → Paramètres → Région de données → Sélectionner "Europe". Attention : le changement prend jusqu'à 6 semaines pour les données existantes.
admin.google.com → Applications → Google Workspace → Gemini → Désactiver pour les unités organisationnelles qui traitent des données clients. Sinon, Gemini peut lire et analyser ces fichiers automatiquement.
Microsoft 365 Business Basic, Standard ou Premium permettent le DPA et l'EU Data Boundary. OneDrive personnel → données clients interdites.
Microsoft appelle ça le "Microsoft Products and Services Data Protection Addendum". Disponible dans le centre d'administration Microsoft 365 → Facturation → Contrats.
Depuis 2023, Microsoft propose l'EU Data Boundary pour traiter et stocker vos données en Europe. Admin center → Paramètres → Sécurité et confidentialité → Résidence des données.
Admin center → Applications intégrées → Microsoft 365 Copilot → Gestion des licences → Retirez l'accès Copilot aux utilisateurs qui traitent des données RH, financières ou clients sensibles.
Stocker un fichier client sur Google Drive avec un abonnement Business + DPA + EU Region = acceptable (avec conditions). Mais si Gemini ou Copilot ouvre et analyse ce fichier — c'est un traitement IA supplémentaire qui nécessite une évaluation séparée.
Règle pratique : désactivez Gemini et Copilot sur tous les dossiers contenant des données clients, RH ou financières. Utilisez ces IA uniquement sur des contenus publics ou internes non nominatifs.
Si vous avez déjà un abonnement Microsoft 365 Business actif, le DPA est probablement déjà signé (Microsoft le signe automatiquement depuis 2022 pour les abonnements Business). Vérifiez dans Admin Center → Légal. Et activez l'EU Data Boundary si ce n'est pas fait.