Microsoft Copilot activé par défaut hors EEE, ERP qui intègre un module IA dans une mise à jour, intégrateur qui déploie sans validation : l'article 3(4) AI Act vous qualifie de déployeur, et la défense "nous ne savions pas" n'est pas opérante.
Trois familles de situations remontent à la direction. L'ERP qui intègre un module IA dans une mise à jour, typiquement SAP Joule, Oracle AI ou Microsoft Dynamics Copilot, sans que la direction ait formellement validé l'activation. L'éditeur qui active une fonctionnalité IA par défaut sur l'ensemble du tenant : Microsoft a lancé en octobre 2025 l'installation automatique de l'application Microsoft 365 Copilot sur les postes Windows disposant des Microsoft 365 desktop apps, avec opt-out tenant via le Microsoft 365 Apps admin center, et exemption explicite pour l'EEE. L'intégrateur ou consultant qui déploie un agent IA sur un CRM ou un outil de relation client dans le cadre d'un contrat-cadre existant, sans validation formelle du nouveau périmètre.
Octobre 2025 : Microsoft lance l'installation automatique du Microsoft 365 Copilot app sur les postes Windows avec Microsoft 365 desktop, opt-out tenant disponible mais activé par défaut hors EEE. Mars 2026 : Microsoft suspend temporairement ce déploiement automatique sans explication publique. Avril 2026 : Microsoft publie une policy CSP "RemoveMicrosoftCopilotApp" permettant aux administrateurs Intune ou SCCM de désinstaller Copilot des postes Windows 11 25H2.
Sources : Microsoft Learn 2025 ; The Register, 18 mars 2026 ; BleepingComputer, avril 2026.
La Suisse n'est pas couverte par l'exemption EEE et reste donc soumise au déploiement par défaut. Ce point est régulièrement sous-estimé par les directions suisses qui pensaient bénéficier d'un régime équivalent au régime européen.
L'analyse comparative exhaustive des CGU des dix principaux éditeurs SaaS européens sur l'activation IA par défaut n'est pas publiquement disponible en mai 2026. Mais la pratique observée indique trois constantes. La clause d'évolution unilatérale par l'éditeur, qui permet l'activation de nouvelles fonctionnalités sans consentement explicite du client. La clause d'utilisation des prompts et outputs à des fins d'amélioration du service, souvent par défaut. La clause de localisation des données traitées par l'IA, fréquemment renvoyée à une politique annexe modifiable unilatéralement.
Pour Microsoft Copilot, l'opt-out tenant est disponible via le Microsoft 365 Apps admin center (Customization > Device Configuration > Modern App Settings > décocher "Enable automatic installation of Microsoft 365 Copilot app"). Le paramètre est activé par défaut hors EEE. Google Workspace Gemini et Salesforce Einstein présentent des configurations dont la documentation publique d'activation par défaut n'est pas entièrement transparente à mai 2026 et mérite une vérification CGU contrat par contrat.
L'article 3(4) AI Act définit le "déployeur" comme toute personne physique ou morale utilisant un système IA sous son autorité, sauf usage personnel non professionnel. L'article 25 ajoute qu'un déployeur qui modifie substantiellement un système haut risque ou change sa finalité au point qu'il bascule dans une catégorie haut risque devient fournisseur, avec les obligations correspondantes.
La conséquence opératoire est claire. Une entreprise dont un prestataire a activé Copilot ou un agent IA sans décision formelle reste néanmoins déployeur au sens de l'AI Act. Elle porte les obligations de supervision humaine, d'information des personnes concernées, de tenue d'un registre d'utilisation pour les systèmes haut risque, et de coopération avec les autorités de surveillance. La défense "nous ne savions pas" n'est pas opérante. La défense "c'est l'éditeur qui l'a activé" n'est pas davantage opposable au régulateur.
La séquence opératoire commence par la désactivation tenant immédiate de la fonctionnalité concernée (pour Microsoft Copilot, via le Microsoft 365 Apps admin center, ou via une policy AppLocker bloquant l'exécution). Suit la mise en demeure formelle de l'éditeur de fournir la base contractuelle de l'activation. Si le contrat-cadre prévoit un droit d'audit, il est activé. Les CGU sont renégociées dans les meilleurs délais. Le DPO est informé et qualifie la nature RGPD ou nLPD si l'activation a induit un traitement de données personnelles.
En parallèle, un inventaire complet des autres fonctionnalités IA activées par défaut sur l'ensemble du parc applicatif est lancé. Le cas Copilot est rarement isolé : il révèle un mode opératoire éditeur transversal que d'autres fournisseurs adoptent (Google, Salesforce, Adobe, SAP). Une cartographie globale est plus utile qu'une réaction isolée.
Étape 1 : inventaire des outils SaaS et on-premise avec fonctionnalité IA active, par scan technique des logs, interviews des managers, analyse des notes de frais. Étape 2 : qualification AI Act de chaque usage par le DPO et le juridique. Étape 3 : décision documentée pour chaque outil - maintenir, encadrer, désactiver - avec motivation tracée. Étape 4 : renégociation des contrats prioritaires avec clauses d'activation positive. Étape 5 : politique d'usage IA diffusée et signée par les managers. Étape 6 : revue trimestrielle au COMEX.
Cinq clauses transforment la position du client. Le consentement explicite et positif pour toute activation de fonctionnalité IA nouvelle, et non par défaut. Le droit à l'audit annuel sur les fonctionnalités IA actives, avec accès aux logs. La réversibilité : engagement éditeur sur la désactivation et la récupération des données dans un délai défini, typiquement 30 jours. La localisation des données : engagement explicite sur la juridiction et la résidence des données traitées par l'IA, avec interdiction de traitement hors UE pour les déployeurs européens. L'engagement de non-utilisation des prompts ou outputs pour l'entraînement de modèles tiers.
Ces clauses ne sont pas standard. Elles se négocient au cas par cas, et l'éditeur opposera la clause "subject to applicable terms" qui réintroduit l'évolution unilatérale. Une direction qui n'a pas pris la position contractuelle solide avant l'incident la prendra après, à coût largement supérieur.
VEIA intervient comme tiers structurellement indépendant. L'absence de partenariat éditeur garantit la neutralité de l'analyse contractuelle et de la recommandation. Le livrable inclut la cartographie complète des activations par défaut sur le parc applicatif, la qualification AI Act usage par usage, la démarche de mise en demeure éditeur, la note de cadrage juridique, et le pack de clauses contractuelles à négocier lors du prochain renouvellement. La position d'indépendance est particulièrement précieuse face aux éditeurs qui négocient préférentiellement avec les cabinets partenaires.
Voir le format, sa durée, son livrable et ses conditions de mise en œuvre.
Séance de cadrage - identifier le format adapté à votre contexte.
VEIA.AI est le cabinet de conseil stratégique indépendant fondé par Christophe Picou. Spécialisation : gouvernance IA des dirigeants - COMEX, conseils d'administration, dirigeants institutionnels. Aucun partenariat commercial avec un éditeur ou un intégrateur.