Microsoft Copilot au Parlement : une menace pour la confidentialité des données suisses ?

En 2026, Microsoft Copilot a fait son entrée dans le Parlement suisse. Ce choix s’est fait sans un véritable débat politique, laissant planer des doutes sur la sécurité des données sensibles. Le risque de fuite et l’influence des lois américaines créent une zone d’incertitude inquiétante.

Le géant américain a activé sa fonction “Copilot Chat” par défaut, intégrée à la suite Microsoft 365. Les parlementaires peuvent traiter des documents confidentiels via cette IA, sans contrôle strict ni formation spécifique. C’est un cas classique d’intégration technologique précipitée.

La question se pose inévitablement : jusqu’où cette décision remet-elle en cause la confidentialité et la souveraineté des données suisses ?

Microsoft Copilot au Parlement : une intrusion décidée sans contrôle

Le déploiement de Copilot dans l’enceinte fédérale n’a pas été validé par les députés ou sénateurs. Il résulte d’une mise à jour automatique intégrée dans la licence Microsoft 365. Cela signifie qu’un acteur privé étranger a imposé sa technologie, créant un précédent dangereux.

Cette initiative remet en cause le principe fondamental de la confidentialité parlementaire. En effet, les élus manipulent des documents protégés par le secret, notamment des rapports, mails de commissions ou projets législatifs. Le moindre couac technique pourrait engendrer une violation de cette confidentialité.

Une course à l’innovation débridée ne doit jamais se faire aux dépens de la sécurité nationale ni de la confiance accordée aux institutions.

Les données sensibles sous la menace des réglementations américaines

Microsoft est une entreprise américaine qui opère sous le Cloud Act. En clair, les autorités états-uniennes peuvent théoriquement accéder aux données hébergées par cette société, même si elles sont stockées en Suisse. L’ombre de cette législation plane sérieusement sur la confidentialité des informations parlementaires.

Les parlements et administrations suisses traitent des données qu’on peut qualifier de stratégiques. Or, aucune garantie claire n’accompagne l’usage de Copilot pour ces contenus. Le risque d’un accès non autorisé, volontaire ou non, ne peut être écarté malgré les assurances quant à un traitement exclusivement local.

Par ailleurs, il faut souligner que la structure juridique américaine est en tension avec les exigences européennes et suisses en matière de protection des données, comme le RGPD. Le poids du droit américain crée un différentiel réglementaire que Microsoft et la Suisse n’ont pas totalement résolu.

Manque de formation et directives floues : une utilisation risquée

La fédération, qui a déployé Microsoft 365 sur 54 000 postes, n’a pas formé ses agents à la bonne utilisation de Copilot. Il n’existe pas de consignes claires ni de préparations adaptées pour manipuler ces outils dans un cadre sécurisé.

Pour les parlementaires, la situation est encore pire. Aucun accompagnement n’a été proposé, laissant élus et employés dans l’incertitude face à une technologie qui peut transformer des documents confidentiels en données accessibles par une IA externe. Cette absence de formation et de cadre crée un terreau propice à des erreurs humaines, parfois lourdes de conséquences.

Cette négligence ne correspond pas aux standards requis pour un environnement où la sécurité des informations est cruciale.

Approche contrastée des acteurs politiques

La réaction politique face à cette introduction est loin d’être unanime. Certains comme le député GLP critiquent le manque d’information préalable et déplorent la gestion un peu trop légère de la confidentialité. Copilot y est vu comme une “perte de temps” mal maîtrisée.

D’autres, issus notamment de la droite conservatrice, défendent cette innovation en arguant que la Suisse n’a guère le choix face à la supériorité américaine et chinoise dans le domaine de l’intelligence artificielle. L’alternative serait un retard fatal dans la modernisation des outils administratifs.

Ce débat soulève des questions fondamentales : jusqu’où sacrifier la souveraineté numérique sur l’autel de l’innovation ?

Des solutions d’usage responsable déjà expérimentées ailleurs

Le cas de la banque UBS offre un contre-exemple intéressant. Elle a choisi une introduction progressive de Copilot, avec une désactivation initiale complète pour les données sensibles. Ensuite, la fonction a été réintroduite par phases avec des filtres détectant l’entrée d’informations critiques.

Ce mode de déploiement respectueux de la confidentialité démontre que la technologie peut être contrôlée et adaptée aux exigences spécifiques des organisations. Le Parlement suisse aurait pu s’en inspirer pour limiter les risques et assurer une meilleure maîtrise des données.

La clé reste la gouvernance des outils et la capacité des organisations à paramétrer, restreindre ou désactiver Copilot selon leurs propres standards de sécurité.

Une gestion technique pas entièrement négociable

Microsoft assure que Copilot peut être configuré ou désactivé à tout moment par les administrateurs. La liberté technique de gestion est donc là. Pourtant, la partialité imposée dans le Parlement montre le contraire. Cela soulève la question d’une intervention du fournisseur dans des infrastructures critiques sans un vrai contrôle local.

L’absence d’accord clair entre Microsoft et le Parlement sur l’activation pose problème. Cette situation n’est pas isolée : la totalité des 54 000 postes de la Confédération sont affectés comme le confirme un porte-parole officiel.

On se heurte ici à un vrai dilemme entre innovation digitale et souveraineté numérique. La technologie ne doit pas échapper au cadre politique et juridique national.

Source: www.nzz.ch