Microsoft remet une pièce dans la machine.
À partir d’octobre 2025, les PC Windows 11 équipés de Microsoft 365 vont recevoir automatiquement une série d’applications dites “companion” : People, File Search et Calendar. En clair, des mini-apps censées vous faciliter la vie en affichant vos contacts, vos fichiers ou votre agenda en deux clics.
Dit comme ça, ça a l’air innocent. Sauf que, comme souvent avec Microsoft, l’annonce soulève plus de questions que de certitudes :
- Qui a demandé ça ?
- Quelles données vont transiter et où ?
- Que se passe-t-il si je n’ai pas Office 365 ?
- Et surtout : côté RGPD, ça passe crème ou ça sent la future amende à plusieurs millions ?
Chez SecuSlice, on a décortiqué l’affaire. Spoiler : on reste sceptiques.
📦 Ces fameuses “apps compagnon”
Microsoft les présente comme des alliées du quotidien :
- People : vos contacts à portée de clic, intégrés à Microsoft Graph.
- File Search : un moteur de recherche dédié pour vos documents.
- Calendar : un accès rapide à votre agenda.
Bonne nouvelle (ou pas) : elles se lancent automatiquement au démarrage de Windows. L’utilisateur pourra désactiver ce comportement dans les paramètres… mais il faut déjà savoir que ça existe.
Côté déploiement :
- Les entreprises pourront refuser via l’admin center Microsoft 365.
- Les particuliers, eux… devront probablement vivre avec.
Bref, Microsoft applique la vieille recette : “par défaut activé, et charge à vous de creuser pour désactiver”.
🔍 RGPD : quand le consentement devient un détail
Le RGPD, vous connaissez la musique : transparence, consentement, finalité limitée, minimisation des données. Des principes qui, sur le papier, devraient empêcher les géants du numérique d’installer des logiciels de force.
Mais ici, c’est flou.
- Transparence ? L’utilisateur n’a pas choisi. Il découvre l’app au prochain reboot.
- Consentement ? Silence radio. Le contrat de licence général de Microsoft suffit-il à couvrir ça ? À voir.
- Finalité ? Améliorer “l’expérience utilisateur”. On a connu plus clair.
- Minimisation ? Si les apps aspirent vos fichiers, contacts et agendas, on est loin du strict nécessaire.
Ajoutez à cela la question des transferts hors UE. Microsoft promet depuis 2023 une “EU Data Boundary”, c’est-à -dire que les données des utilisateurs européens restent traitées dans l’UE. Très joli marketing. Mais les autorités de protection des données ne sont pas dupes : en mars 2024, l’EDPS a épinglé la Commission européenne elle-même pour usage de Microsoft 365 non conforme au RGPD.
En clair : on a déjà un passif.
❓ Pas d’Office 365 ? Pas grave, tu prends quand même
Scénario probable si vous n’avez pas de licence Microsoft 365 :
- Les apps s’installent quand même.
- À l’ouverture, elles affichent un charmant message “Licence requise”.
Traduction : vous hébergez un logiciel inutile, qui encombre votre machine, sans utilité réelle.
Juridiquement, ça pose un problème : installer un logiciel sans finalité légitime, c’est au mieux discutable, au pire attaquable. Et côté utilisateur, ça frise l’intrusion logicielle.
⚙️ Comment ça marche, techniquement ?
Les apps compagnon s’appuient sur Microsoft Graph. En gros, elles dialoguent avec les services cloud de Microsoft pour :
- chercher vos fichiers,
- lire vos contacts,
- afficher votre agenda.
Si vous utilisez Copilot, vos prompts et historiques d’interactions sont stockés — cryptés, promet Microsoft — mais conservés quand même. Microsoft jure que ces données ne servent pas à entraîner ses modèles IA. Faut-il les croire ? On vous laisse deviner notre posture : sceptique.
Côté entreprises, les admins peuvent désactiver le déploiement. Côté particuliers… c’est une autre histoire. La documentation laisse entendre que l’utilisateur final n’aura pas de véritable opt-out.
🌍 Et l’Europe dans tout ça ?
Petit détail croustillant : pour Copilot, Microsoft a déjà prévu une exception. Dans l’EEE (Espace économique européen), l’installation automatique ne se fera pas. Pourquoi ? Parce que le RGPD, et plus largement le droit européen, leur fait peur.
Donc pour Copilot, l’UE a réussi à s’imposer. Pour les apps compagnon, mystère. Elles pourraient bien arriver par défaut en Europe aussi, et on attend de voir si la CNIL, le CEPD ou d’autres autorités s’en mêleront.
Rappelons qu’en 2024, l’EDPS a déjà jugé que l’usage de Microsoft 365 par la Commission européenne violait le droit européen sur la protection des données. Rien que ça. Autant dire que si Microsoft force la main aux particuliers européens, le feuilleton juridique pourrait être savoureux.
✅ Conclusion : méfiance, toujours
Soyons clairs : ces apps ne sont pas (encore) le plus gros scandale de l’année.
- Elles sont ennuyeuses, envahissantes, et posent des questions sérieuses sur la vie privée.
- Elles s’inscrivent dans une stratégie globale : enfermer encore un peu plus l’utilisateur dans l’écosystème Microsoft.
- Et côté RGPD, l’affaire est loin d’être claire.
Pour les DSI, bonne nouvelle : vous avez la main pour désactiver.
Pour les particuliers, préparez-vous à jouer au jeu du “désinstalle-moi si tu peux”.
Moralité SecuSlice :
Quand une entreprise installe un logiciel sur votre machine sans vous demander, c’est rarement pour votre bien.
Le pire ? On commence à s’habituer. Et c’est peut-être ça, la vraie vulnérabilité.
