Un Build sous haute tension politique
Microsoft arrive à Build 2026 avec un message attendu : l’IA n’est plus une couche ajoutée à ses produits, elle devient l’architecture même de Windows, du poste de travail et des outils de développement. Selon The Verge, la conférence de San Francisco doit mettre en avant de nouveaux modèles d’IA, un modèle de raisonnement signé Microsoft AI, une application Copilot plus centrale et des améliorations de Windows destinées à reconquérir les développeurs. Microsoft, de son côté, présente officiellement Build comme un rendez-vous consacré aux nouveaux outils et plateformes « AI-powered » pour les développeurs.
Mais l’actualité française donne à cette grand-messe une résonance inattendue. Les Numériques rapportent que le Conseil départemental d’Indre-et-Loire a adopté, le 29 mai 2026 à Tours, une charte interdisant à ses agents l’usage professionnel de ChatGPT et Gemini, tout en autorisant Copilot Chat. Tom’s Guide recoupe l’information : l’argument avancé tient moins à une supériorité intrinsèque de Copilot qu’à son intégration dans la suite Microsoft déjà utilisée par la collectivité.
C’est là que le paradoxe commence. OpenAI, Google et Microsoft sont trois acteurs américains. Tous peuvent être concernés, selon les cas, par des demandes relevant du droit extraterritorial américain. Pourtant, dans la pratique administrative, l’un des trois est traité comme l’option raisonnable, encadrée, presque « souveraine » par défaut, parce qu’elle est déjà dans le système d’information.
Interdire le shadow AI, institutionnaliser Copilot
Sur le fond, l’Indre-et-Loire ne fait pas quelque chose d’absurde en voulant encadrer l’IA générative. Les administrations ont de bonnes raisons de bannir les usages sauvages : données personnelles copiées dans une interface publique, informations confidentielles envoyées à un service non contractualisé, hallucinations utilisées dans une décision administrative, absence de traçabilité. Le problème n’est donc pas l’existence d’une charte. Le problème est le raccourci politique qui consiste à transformer un outil déjà contractualisé en réponse de souveraineté.
D’après Les Numériques, la charte impose Copilot Chat comme seul outil autorisé et prévoit des sanctions disciplinaires en cas de non-respect. L’opposition départementale a relevé la contradiction : Copilot reste un service Microsoft. La discussion rapportée par Les Numériques et Tom’s Guide montre que le débat local a rapidement dépassé la question de l’outil pour toucher à la dépendance numérique européenne.
Il faut distinguer trois niveaux. Sur le plan de la sécurité opérationnelle, Copilot intégré à Microsoft 365 peut effectivement offrir plus de contrôle qu’un usage individuel de ChatGPT ou Gemini dans un navigateur personnel : authentification par l’annuaire de l’organisation, journalisation, politiques de sécurité, protection des données d’entreprise, intégration aux droits existants. Microsoft affirme dans sa documentation que les données de Microsoft 365 Copilot et de Copilot Chat bénéficiant de la protection des données d’entreprise ne servent pas à entraîner les modèles de fondation.
Sur le plan juridique et géopolitique, toutefois, cela ne suffit pas à faire de Copilot une solution souveraine. La souveraineté ne se réduit pas à la résidence des données ni à l’absence d’entraînement des modèles. Elle suppose aussi la maîtrise du fournisseur, du droit applicable, des dépendances techniques, des clés, de l’exploitation et de la capacité de sortie.
Le Cloud Act, rappel brutal du réel
Le rapport du Sénat français sur la commande publique et la souveraineté numérique a posé la question de façon frontale. Il rappelle que le FISA et le Cloud Act permettent aux autorités américaines d’exiger de sociétés soumises au droit américain la communication de données, même lorsqu’elles sont stockées hors des États-Unis. Lors de cette commission d’enquête, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, interrogé sur sa capacité à garantir que des données de citoyens français hébergées par Microsoft ne seraient jamais transmises à des autorités étrangères sans l’accord des autorités françaises, a répondu : « Non, je ne peux pas le garantir. »
Cette phrase est devenue un point de bascule dans le débat européen. Elle ne signifie pas que Microsoft transmettrait automatiquement n’importe quelle donnée à n’importe quelle demande. Microsoft rappelle régulièrement ses procédures de contestation, de minimisation et de transparence. Mais elle signifie que la promesse commerciale de souveraineté a une limite juridique dès lors que l’entité reste rattachée à un groupe américain.
L’EDPB et l’EDPS avaient déjà analysé les tensions entre le Cloud Act et le cadre européen de protection des données. L’EDPS, dans ses travaux sur l’usage de Microsoft par les institutions européennes, avait aussi souligné les risques liés aux contrats, aux sous-traitants, aux transferts et à l’absence d’alternative réaliste pour certaines institutions. La Cour des comptes française, dans son rapport de 2025 sur la souveraineté des systèmes d’information civils de l’État, formule un constat voisin : l’État ne vise pas une souveraineté totale, mais cherche un niveau de confiance élevé par la commande publique, la mutualisation des achats et la validation par l’ANSSI.
SecNumCloud : la souveraineté n’est pas un slogan
La France dispose pourtant d’un cadre technique et juridique plus strict : SecNumCloud, référentiel de l’ANSSI. L’agence explique que cette qualification vise à protéger les données et traitements sensibles face à la cybercriminalité, mais aussi face à l’application de lois extraterritoriales. La DINUM, avec Albert API et le Socle interministériel d’IA générative, met en avant des infrastructures certifiées SecNumCloud, notamment chez Outscale, pour permettre aux administrations d’accéder à des modèles d’IA générative dans un environnement sécurisé.
C’est précisément ce qui rend l’affaire tourangelle révélatrice. Une collectivité peut connaître l’existence d’alternatives plus souveraines, mais choisir Copilot parce que Microsoft est déjà là. Le coût de transition, la formation des agents, l’intégration aux documents, aux courriels, aux identités et aux politiques de sécurité font pencher la balance vers le fournisseur installé.
Microsoft l’a bien compris. Son avantage concurrentiel face à OpenAI et Google dans le secteur public ne repose pas seulement sur la qualité de ses modèles. Il repose sur Microsoft 365, Teams, SharePoint, OneDrive, Intune, Entra ID et l’héritage d’Active Directory. Copilot n’arrive pas comme un chatbot de plus : il arrive assis sur l’annuaire, les permissions, les fichiers, les courriels, les réunions, les politiques de conformité et les marchés publics déjà signés.
OpenAI a la marque ChatGPT. Google a Gemini et une puissance technique considérable. Microsoft, lui, possède le poste de travail institutionnel. Dans une administration, c’est souvent plus décisif que le classement d’un modèle sur un benchmark.
Build 2026 : l’IA locale comme réponse partielle
À Build, Microsoft devrait justement pousser cette logique plus loin. The Verge évoque de nouveaux modèles dans Windows et une expérience Windows 11 optimisée pour les développeurs. Microsoft met aussi en avant Foundry Local et des scénarios permettant d’exécuter des modèles sur PC ou dans des environnements déconnectés. Dans son billet sur Microsoft Sovereign Cloud, l’entreprise présente Azure Local, Microsoft 365 Local et Foundry Local comme des briques capables de fonctionner dans des frontières opérationnelles souveraines, y compris sans connexion continue au cloud.
Cette orientation est importante. L’IA locale, les modèles ouverts, les environnements déconnectés et les clouds qualifiés peuvent réduire certaines dépendances. Mais ils ne règlent pas tout. Si l’interface, le système d’exploitation, l’identité, la bureautique, les licences, les mises à jour et le support restent contrôlés par le même acteur, la souveraineté devient une négociation permanente plutôt qu’un état stable.
C’est le cœur du paradoxe Copilot : l’Europe veut sortir du shadow AI, mais elle le fait parfois en renforçant le fournisseur déjà dominant. Elle veut réduire le risque juridique, mais elle choisit l’outil le plus facile à gouverner dans une dépendance existante. Elle parle de souveraineté, mais pratique souvent la continuité administrative.
Ce que cela annonce
À court terme, Copilot devrait gagner dans le secteur public, non parce qu’il est le plus souverain, mais parce qu’il est le plus administrable. Les DSI publiques préféreront souvent un outil imparfait mais intégré à un outil performant mais extérieur au périmètre contractuel. Les chartes IA vont donc se multiplier, avec une ligne rouge : interdire les comptes personnels et autoriser les assistants rattachés au tenant de l’organisation.
À moyen terme, cette situation va nourrir une pression politique plus forte sur les offres qualifiées, les clouds de confiance, les modèles européens et les clauses de réversibilité. Synergy Research estime que les fournisseurs européens ne captent qu’environ 15 % du marché cloud régional, tandis qu’Amazon, Microsoft et Google dominent largement. Tant que cette structure de marché restera inchangée, la souveraineté numérique européenne sera moins une indépendance qu’un arbitrage entre dépendances.
Le vrai test ne sera donc pas de savoir si Microsoft peut présenter Copilot comme plus sûr que ChatGPT ou Gemini dans une administration. Le test sera de savoir si l’Europe peut définir une souveraineté qui ne se contente pas d’habiller la dépendance existante d’un vocabulaire de confiance. Build 2026 montrera probablement la puissance technique de Microsoft. L’Indre-et-Loire, involontairement, en montre déjà la puissance institutionnelle.