Copilot ist schon da — was wissen Ihre Mitarbeiter wirklich?
Microsoft 365 läuft in Hunderttausenden europäischer KMU. Teams, Outlook, Word, Excel — überall ist Copilot bereits als KI-Assistent integriert oder lässt sich per Lizenz freischalten. In der Praxis sieht es so aus: Der Copilot-Button erscheint, Mitarbeiter klicken ihn an, erhalten Meeting-Zusammenfassungen, E-Mail-Entwürfe, Datenanalysen. Niemand hat gefragt, was dabei mit Unternehmens- und Kundendaten passiert. Und welche regulatorischen Pflichten das Unternehmen damit übernimmt.
Das ist keine Kritik an Microsoft. Das ist die Realität in den meisten KMU, die ich in Beratungsprojekten antreffe. Die Technologie ist schneller eingeführt als die Governance. Und genau das wird 2026 zum Problem — denn der EU AI Act ist keine Ankündigung mehr, er gilt.
EU AI Act: Wie ist Copilot rechtlich klassifiziert?
Microsoft Copilot basiert auf GPT-4 (und neueren Modellen) und gilt nach EU AI Act als GPAI-System — General Purpose AI. Titel V des EU AI Acts reguliert GPAI-Modelle gesondert. Die wichtigsten Punkte:
- Microsoft ist GPAI-Anbieter nach Art. 53 EU AI Act und muss gegenüber der EU-Kommission Transparenz- und Dokumentationspflichten erfüllen.
- GPAI mit systemischem Risiko: GPT-4 wurde mit mehr als 10²⁵ FLOP trainiert — das ist die Schwelle für "systemisches Risiko" nach Art. 51. Das bedeutet verstärkte Pflichten für Microsoft, nicht direkt für Betreiber.
- Sie als Betreiber (Deployer) unterliegen Artikel 26 EU AI Act: Verantwortung für den Einsatzkontext, Schulungspflicht, Nutzungseinschränkungen, Transparenz gegenüber betroffenen Personen.
Entscheidend: Das GPAI-Label bedeutet nicht, dass Copilot harmlos ist. Es bedeutet, dass die Risikoklassifizierung vom Einsatzkontext abhängt — und den bestimmen Sie als Betreiber.
Die GPAI-Falle: Betreiber tragen die Verantwortung
Viele KMU-Entscheider gehen davon aus: "Wir kaufen nur ein Microsoft-Produkt. Für die Compliance ist Microsoft verantwortlich." Das ist eine gefährliche Fehleinschätzung.
Der EU AI Act unterscheidet klar zwischen Anbieter (Microsoft) und Betreiber (Ihr Unternehmen). Als Betreiber sind Sie verantwortlich für:
- Den Zweck, für den Sie Copilot einsetzen
- Die Schulung Ihrer Mitarbeiter nach Artikel 4 (KI-Kompetenzpflicht)
- Die Einhaltung von Nutzungseinschränkungen, die Microsoft vorgibt
- Transparenzpflichten gegenüber Mitarbeitern und Kunden, die von Copilot-Outputs betroffen sind
- Die Risikoklassifizierung im eigenen Einsatzkontext
Das Nutzungsmodell "Ich kaufe eine Software von Microsoft und nutze sie" ist im Kontext des EU AI Acts nicht ausreichend. Es braucht eine aktive Governance-Entscheidung.
Verstöße gegen Betreiberpflichten nach Art. 26 EU AI Act können mit Bußgeldern bis zu 15 Mio. € oder 3% des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Für KMU mit 5–50 Mio. € Umsatz ist das existenzrelevant.
Hochrisiko-KI im HR-Kontext: Wenn Copilot zum Compliance-Problem wird
Copilot ist im Standard-Einsatz keine Hochrisiko-KI nach EU AI Act Anhang III. Aber der Einsatzkontext ändert die Einstufung — und das wird in der Praxis häufig übersehen.
Folgende Einsatzszenarien können Copilot in die Hochrisiko-Kategorie (Anhang III, Nr. 4) heben:
- HR-Screening: Copilot analysiert Bewerbungsunterlagen oder erstellt Kandidatenprofile für Einstellungsentscheidungen.
- Leistungsbeurteilung: Copilot-generierte Meeting-Zusammenfassungen oder E-Mail-Analysen fließen in Mitarbeiterbeurteilungen ein.
- Beförderungsentscheidungen: KI-gestützte Analyse von Mitarbeiteraktivitäten zur Identifikation von Talenten.
- Gehaltsanalysen: Copilot wertet Produktivitätsdaten aus, die Gehaltsanpassungen beeinflussen.
In all diesen Szenarien gilt: Hochrisiko-KI verlangt eine Konformitätsbewertung, ein Risikomanagementsystem, technische Dokumentation und menschliche Aufsicht. Das sind keine bürokratischen Formalitäten — das sind Voraussetzungen für die rechtmäßige Nutzung.
Erstellen Sie eine interne Liste aller Copilot-Einsatzszenarien in Ihrem Unternehmen. Kennzeichnen Sie jeden Anwendungsfall: Standard (kein Hochrisiko) oder HR-relevant (potenziell Hochrisiko). Diese Liste ist die Basis für Ihre Governance-Dokumentation und schützt Sie bei Prüfungen.
DSGVO und Copilot — fünf Lücken, die noch offen sind
Microsoft hat im Januar 2023 die EU Data Boundary eingeführt. Das Versprechen: Kundendaten von EU/EWR-Kunden werden innerhalb der EU verarbeitet und gespeichert. Klingt gut. Ist es in weiten Teilen auch. Aber fünf Bereiche bleiben kritisch:
| Bereich | Status | Risiko |
|---|---|---|
| Bing-Web-Suchanfragen über Copilot | Kritisch | Suchanfragen werden in US-Rechenzentren verarbeitet |
| Diagnose- und Telemetriedaten | Eingeschränkt | Produktverbesserungsdaten teilweise außerhalb EU |
| Microsoft-Support-Zugriffe | Eingeschränkt | Support-Personal in USA kann auf Tickets zugreifen |
| Connected Experiences in Office-Apps | Eingeschränkt | Einige Office-Features senden Daten zur US-Verarbeitung |
| Azure OpenAI Sub-Processor | Weitgehend OK | EU-Region-Konfiguration möglich, aber nicht Standard |
Was bedeutet das konkret? Eine vollständige DSGVO-Konformität ohne zusätzliche Konfigurationsmaßnahmen ist nicht garantiert. Für jede Datenverarbeitung außerhalb der EU braucht es eine Rechtsgrundlage — meist Standardvertragsklauseln (SCC) kombiniert mit einer Transfer Impact Assessment (TIA).
EU Data Boundary — was bleibt offen?
Um die EU Data Boundary korrekt zu nutzen, müssen Administratoren aktiv konfigurieren. Das passiert nicht automatisch. Konkret:
- In den Microsoft 365 Admin Center-Einstellungen: EU Data Boundary aktivieren
- Connected Experiences, die externe Verarbeitung benötigen, selektiv deaktivieren
- Bing-Web-Suche in Copilot: Falls DSGVO-Konformität prioritär ist, deaktivieren
- Telemetriedaten: Auf Minimum-Level reduzieren (Enterprise-Einstellung)
- Microsoft-Produktverbesserungsprogramm: Opt-out für EU-Organisationen empfohlen
Diese Konfigurationsarbeit ist technisch machbar, aber sie kostet Zeit und Fachwissen. Viele KMU haben sie nicht gemacht — und sind sich dessen nicht bewusst.
Artikel 4 EU AI Act — Schulungspflicht gilt auch für Copilot-Nutzer
Artikel 4 des EU AI Acts ist seit Februar 2025 in Kraft und gilt für alle Betreiber von KI-Systemen. Die Pflicht: Sicherstellen, dass Mitarbeiter, die KI-Systeme einsetzen oder überwachen, über angemessene KI-Kompetenz verfügen.
Was bedeutet das für Copilot-Nutzer in Ihrem Unternehmen?
- Jeder Mitarbeiter, der Copilot produktiv einsetzt, muss grundlegend verstehen, wie das System funktioniert, was seine Grenzen sind und welche Risiken falsche Ausgaben haben können.
- Diese Schulung muss dokumentiert sein — ein Onboarding-Klick durch Microsoft-Tutorial reicht nicht als Nachweis nach EU AI Act.
- Die Schulung muss rollen- und einsatzkontextspezifisch sein — HR-Mitarbeiter, die Copilot für Personalentscheidungen nutzen, brauchen eine tiefere Schulung als jemand, der nur E-Mails damit schreibt.
BetrVG §87 — Mitbestimmungsrecht des Betriebsrats
In Deutschland kommt eine weitere Dimension hinzu, die in internationalen Copilot-Analysen meist übersehen wird: das Betriebsverfassungsgesetz.
Gemäß §87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein echtes Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Copilot erfüllt dieses Kriterium in mehreren Funktionen:
- Meeting-Transkription und -Zusammenfassung: Protokolliert, wer was gesagt hat — potenziell überwachungsfähig
- E-Mail-Coaching und -Analyse: Bewertet Kommunikationsmuster von Mitarbeitern
- Microsoft Viva Insights (Teil des M365 Copilot-Ökosystems): Produktivitätsanalysen auf Mitarbeiterebene
- Copilot-Aufrufstatistiken: Können dokumentieren, wie produktiv einzelne Mitarbeiter KI nutzen
Das bedeutet: Ohne Betriebsrat-Einbindung und Betriebsvereinbarung ist eine rechtmäßige Einführung von Copilot mit diesen Features in Deutschland nicht möglich. Nicht "schwierig" — nicht möglich.
Copilot-Einführung in deutschen KMU mit Betriebsrat erfordert Triple-Compliance: (1) EU AI Act Betreiberpflichten, (2) DSGVO mit korrekter EU-Data-Boundary-Konfiguration und TIA, (3) BetrVG §87 Mitbestimmung. Wer nur einen dieser drei Bereiche adressiert, ist nicht compliant.
Praktische 5-Punkte-Checkliste: Copilot in KMU rechtssicher einführen
Diese Checkliste deckt die Mindestanforderungen für eine rechtskonkonforme Copilot-Einführung ab. Sie ersetzt keine Rechtsberatung im Einzelfall, gibt aber eine solide Orientierung:
- Einsatzdokumentation erstellen: Welche Abteilungen nutzen Copilot? Für welche Zwecke? Gibt es HR-relevante Einsatzszenarien? Dokumentieren Sie es schriftlich — das ist Ihre Basis für alle weiteren Schritte.
- Artikel-4-Schulungen durchführen und dokumentieren: Schulungsinhalt: Funktionsweise, Grenzen, Risiken, interne Nutzungsregeln. Nachweis: Teilnehmerliste, Datum, Schulungsinhalt. Differenzierung: Standard-Nutzer vs. HR-Nutzer.
- EU Data Boundary konfigurieren: Admin Center prüfen, EU-Region aktivieren, Connected Experiences und Bing-Suche bewusst entscheiden (aktivieren oder deaktivieren), Telemetrie minimieren. Transfer Impact Assessment (TIA) für verbleibende US-Transfers erstellen.
- Betriebsrat informieren und Betriebsvereinbarung vorbereiten: Welche Copilot-Features sind aktiviert? Welche Daten werden wie lange gespeichert? Gibt es Auswertungsmöglichkeiten auf Mitarbeiterebene? Betriebsvereinbarung vor Go-Live abschließen — nicht danach.
- Internes KI-Governance-Dokument erstellen: Was darf Copilot in Ihrem Unternehmen verwendet werden für? Was ist ausdrücklich ausgeschlossen? Wer ist verantwortlicher Ansprechpartner? Wie werden Copilot-Outputs überprüft? Dieses Dokument schützt Sie nicht nur rechtlich — es gibt Mitarbeitern Orientierung.
Was eine Copilot-Governance für KMU konkret bedeutet
Governance klingt nach Großkonzern. Ist es nicht. Für ein KMU mit 50–200 Mitarbeitern bedeutet eine funktionale Copilot-Governance:
- Ein 1-seitiges Dokument mit Nutzungsregeln, das jeder Mitarbeiter kennt
- Eine Schulungsmappe (digital oder physisch) mit Nachweis für jeden Copilot-Nutzer
- Eine Admin-Konfiguration im Microsoft 365 Admin Center (einmalig, ~2 Stunden)
- Eine Betriebsvereinbarung (falls Betriebsrat vorhanden) — oft 3–5 Seiten
- Einen Verantwortlichen der KI-Governance im Unternehmen (muss keine Vollzeitstelle sein)
Das ist überschaubar. Der Aufwand für die initiale Einrichtung liegt bei 10–20 Stunden für ein KMU. Der Aufwand für die Korrektur nach einer Prüfung oder einem Vorfall liegt um ein Vielfaches höher.
Die eigentliche Nachricht ist diese: Copilot ist ein exzellentes Werkzeug. Es spart Zeit, reduziert kognitive Last, beschleunigt Arbeitsprozesse. Die Herausforderung ist nicht die Technologie — sie ist, dass die regulatorische Umgebung sich verändert hat und die meisten Unternehmen das noch nicht intern übersetzt haben. Das ist das Fenster, das jetzt offen ist.
KMU, die ihre Copilot-Governance jetzt strukturiert aufbauen, haben einen echten Wettbewerbsvorteil: gegenüber Kunden, die Vertrauen in den Umgang mit KI und Daten verlangen; gegenüber Mitarbeitern, die klare Spielregeln für KI-Tools erwarten; und gegenüber dem regulatorischen Risiko, das ab August 2026 mit der vollständigen EU-AI-Act-Pflichtendeadline nochmals steigt.
Copilot w EU AI Act: Jak jest sklasyfikowany?
Microsoft Copilot jest oparty na GPT-4 i kwalifikuje się jako system GPAI (General Purpose AI) w rozumieniu tytułu V EU AI Act. Microsoft jako dostawca GPAI musi spełniać rozszerzone obowiązki wobec Komisji Europejskiej. Wy jako operator jesteście odpowiedzialni za kontekst wdrożenia na podstawie art. 26 EU AI Act.
Kluczowa różnica: EU AI Act rozróżnia dostawcę (Microsoft) i operatora (Wasze przedsiębiorstwo). Operator ponosi odpowiedzialność za cel użytkowania, szkolenia pracowników, ograniczenia użytkowania i przejrzystość wobec osób, których dotyczą wyniki Copilota.
Wysokie ryzyko w HR: Kiedy Copilot staje się problemem compliance
W standardowym zastosowaniu Copilot nie jest KI wysokiego ryzyka. Ale kontekst zmienia klasyfikację:
- Screening kandydatów: Copilot analizuje dokumenty aplikacyjne lub tworzy profile kandydatów
- Oceny pracownicze: Podsumowania spotkań lub analizy e-maili wchodzą do ocen pracowniczych
- Decyzje o awansach: Analiza aktywności pracowników za pomocą KI
W tych scenariuszach wymagana jest ocena zgodności, system zarządzania ryzykiem i ludzki nadzór.
RODO i EU Data Boundary — pięć luk
Microsoft EU Data Boundary to ważny krok, ale nie pełna gwarancja zgodności z RODO. Pięć krytycznych obszarów pozostaje otwartych: (1) zapytania do wyszukiwarki Bing, (2) dane telemetryczne, (3) dostępy wsparcia Microsoft, (4) Connected Experiences w aplikacjach Office, (5) konfiguracja sub-procesora Azure OpenAI. Dla każdego z tych obszarów niezbędna jest Transfer Impact Assessment (TIA).
Praktyczna checklista dla MŚP
- Dokumentacja wdrożenia: Które działy używają Copilota? Do jakich celów? Czy są scenariusze HR?
- Szkolenia art. 4 EU AI Act: Udokumentowane, dostosowane do roli — dla każdego użytkownika Copilota
- Konfiguracja EU Data Boundary: Admin Center, dezaktywacja Bing-Search jeśli wymagane, minimalizacja telemetrii
- Rada pracowników (jeśli istnieje): W Polsce: informacja i konsultacja; w Niemczech: pełne współdecydowanie §87 BetrVG
- Dokument Governance KI: Zasady użytkowania, wyłączenia, osoba odpowiedzialna
How Copilot Is Classified Under the EU AI Act
Microsoft Copilot (powered by GPT-4 and successor models) qualifies as a GPAI system under Title V of the EU AI Act. Microsoft, as the GPAI provider, must meet extended transparency and documentation obligations with the EU Commission. You as the deployer are responsible under Article 26 for the deployment context, employee training, usage restrictions and transparency toward affected persons.
The distinction is critical: the EU AI Act separates provider (Microsoft) from deployer (your company). Ignorance of this distinction is not a defence against liability.
High-Risk AI in HR Contexts
In standard use (writing emails, summarising meetings, data analysis), Copilot is not classified as high-risk AI. The classification changes based on deployment context — specifically when Copilot is used for:
- Candidate screening or CV analysis in recruitment
- Performance evaluations incorporating Copilot-generated insights
- Promotion decisions informed by Copilot analysis of employee activity
These scenarios fall under Annex III, No. 4 of the EU AI Act — requiring a conformity assessment, risk management system, technical documentation, and human oversight.
Five EU Data Boundary Gaps
Microsoft's EU Data Boundary is a meaningful step, but not a complete GDPR clearance. Five areas remain critical: (1) Bing web search queries processed in US datacentres, (2) diagnostic and telemetry data partially outside the EU, (3) Microsoft support access may involve US personnel, (4) Connected Experiences in Office apps, (5) Azure OpenAI sub-processor configuration. A Transfer Impact Assessment (TIA) for your specific deployment is recommended best practice.
Article 4 & Works Council: The German-Specific Layer
Beyond the EU-wide requirements, German organisations face an additional compliance layer: BetrVG §87 Para. 1 No. 6 grants works councils (Betriebsrat) co-determination rights over the introduction of technical systems capable of monitoring employee behaviour or performance. Copilot's meeting transcription, email analysis and productivity features clearly fall within this scope. Without a works council agreement (Betriebsvereinbarung), introducing these features in German organisations is not legally permissible.
Combined with EU AI Act deployer obligations and GDPR, this creates a Triple-Compliance requirement that most SMEs have not yet addressed.
Copilot est déjà là — que savent réellement vos collaborateurs ?
Microsoft 365 fonctionne dans des centaines de milliers de PME européennes. Teams, Outlook, Word, Excel — Copilot est déjà intégré partout en tant qu’assistant IA ou peut être activé via une licence. En pratique : le bouton Copilot apparait, les collaborateurs cliquent, reçoivent des résumés de réunions, des brouillons d’e-mails, des analyses de données. Personne n’a demandé ce qu’il advient des données de l’entreprise et des clients. Ni quelles obligations réglementaires l’entreprise assume ainsi.
Ce n’est pas une critique de Microsoft. C’est la réalité dans la plupart des PME que je rencontre en mission de conseil. La technologie est introduite plus vite que la gouvernance. Et c’est précisément ce qui devient problématique en 2026 — car le Règlement européen sur l’IA n’est plus une annonce, il est en vigueur.
Règlement européen sur l’IA : comment Copilot est-il classifié ?
Microsoft Copilot repose sur GPT-4 (et des modèles plus récents) et est qualifié de système GPAI — General Purpose AI — au titre V du Règlement européen sur l’IA. Les points essentiels :
- Microsoft est fournisseur GPAI au sens de l’art. 53 et doit remplir des obligations de transparence et de documentation vis-à-vis de la Commission européenne.
- GPAI à risque systémique : GPT-4 a été entraîné avec plus de 10²⁵ FLOP — c’est le seuil du « risque systémique » selon l’art. 51. Cela implique des obligations renforcées pour Microsoft, pas directement pour les opérateurs.
- Vous en tant qu’opérateur (deployer) êtes soumis à l’article 26 : responsabilité du contexte de déploiement, obligation de formation, restrictions d’utilisation, transparence envers les personnes concernées.
Point décisif : le label GPAI ne signifie pas que Copilot est inoffensif. Il signifie que la classification des risques dépend du contexte de déploiement — et c’est vous, en tant qu’opérateur, qui le déterminez.
Le piège GPAI : les opérateurs portent la responsabilité
De nombreux dirigeants de PME partent du principe : « Nous n’achetons qu’un produit Microsoft. La conformité relève de la responsabilité de Microsoft. » C’est une erreur d’appréciation dangereuse.
Le Règlement européen sur l’IA distingue clairement le fournisseur (Microsoft) de l’opérateur (votre entreprise). En tant qu’opérateur, vous êtes responsable de :
- La finalité pour laquelle vous utilisez Copilot
- La formation de vos collaborateurs conformément à l’article 4 (obligation de compétence IA)
- Le respect des restrictions d’utilisation prescrites par Microsoft
- Les obligations de transparence envers les collaborateurs et clients concernés par les résultats de Copilot
- La classification des risques dans votre propre contexte de déploiement
Le modèle d’utilisation « J’achète un logiciel Microsoft et je l’utilise » ne suffit pas dans le contexte du Règlement européen sur l’IA. Une décision de gouvernance active est nécessaire.
Les infractions aux obligations de l’opérateur au titre de l’art. 26 peuvent être sanctionnées par des amendes allant jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial — le montant le plus élevé étant retenu. Pour une PME réalisant entre 5 et 50 millions d’euros de chiffre d’affaires, cela peut mettre en jeu la survie de l’entreprise.
IA à haut risque dans le contexte RH : quand Copilot devient un problème de conformité
Dans son utilisation standard, Copilot n’est pas une IA à haut risque au sens de l’annexe III du Règlement. Cependant, le contexte de déploiement modifie la classification — et cela est souvent négligé en pratique.
Les scénarios d’utilisation suivants peuvent faire basculer Copilot dans la catégorie à haut risque (annexe III, n° 4) :
- Présélection RH : Copilot analyse des dossiers de candidature ou crée des profils de candidats pour des décisions d’embauche.
- Évaluation des performances : Les résumés de réunions ou analyses d’e-mails générés par Copilot alimentent les évaluations des collaborateurs.
- Décisions de promotion : Analyse assistée par l’IA des activités des collaborateurs pour identifier les talents.
- Analyses salariales : Copilot exploite des données de productivité qui influencent les ajustements salariaux.
Dans tous ces scénarios : l’IA à haut risque exige une évaluation de conformité, un système de gestion des risques, une documentation technique et une supervision humaine. Ce ne sont pas des formalités bureaucratiques — ce sont les conditions préalables à une utilisation légale.
Établissez une liste interne de tous les scénarios d’utilisation de Copilot dans votre entreprise. Classifiez chaque cas d’usage : standard (pas de haut risque) ou lié aux RH (potentiellement à haut risque). Cette liste constitue la base de votre documentation de gouvernance et vous protège lors des contrôles.
RGPD et Copilot — cinq lacunes encore ouvertes
Microsoft a introduit l’EU Data Boundary en janvier 2023. La promesse : les données clients de l’UE/EEE sont traitées et stockées au sein de l’UE. Cela semble positif. Et ça l’est en grande partie. Mais cinq domaines restent critiques :
| Domaine | Statut | Risque |
|---|---|---|
| Requêtes de recherche Bing via Copilot | Critique | Les requêtes sont traitées dans des centres de données américains |
| Données de diagnostic et de télémétrie | Restreint | Données d’amélioration produit partiellement hors UE |
| Accès du support Microsoft | Restreint | Le personnel de support aux États-Unis peut accéder aux tickets |
| Connected Experiences dans les applications Office | Restreint | Certaines fonctionnalités Office envoient des données vers les États-Unis |
| Sous-traitant Azure OpenAI | Globalement OK | Configuration région UE possible, mais non par défaut |
Concrètement : une conformité totale au RGPD sans mesures de configuration supplémentaires n’est pas garantie. Pour chaque traitement de données hors UE, une base juridique est nécessaire — généralement des clauses contractuelles types (CCT) combinées à une Transfer Impact Assessment (TIA).
EU Data Boundary — ce qui reste ouvert
Pour utiliser correctement l’EU Data Boundary, les administrateurs doivent effectuer une configuration active. Cela ne se fait pas automatiquement. Concrètement :
- Dans les paramètres du Microsoft 365 Admin Center : activer l’EU Data Boundary
- Les Connected Experiences nécessitant un traitement externe : désactiver sélectivement
- Recherche web Bing dans Copilot : si la conformité RGPD est prioritaire, désactiver
- Données de télémétrie : réduire au niveau minimum (paramètre Enterprise)
- Programme d’amélioration des produits Microsoft : opt-out recommandé pour les organisations européennes
Ce travail de configuration est techniquement faisable, mais il demande du temps et de l’expertise. La plupart des PME ne l’ont pas effectué — et n’en sont pas conscientes.
Article 4 du Règlement européen sur l’IA — l’obligation de formation s’applique aussi aux utilisateurs de Copilot
L’article 4 du Règlement européen sur l’IA est en vigueur depuis février 2025 et s’applique à tous les opérateurs de systèmes d’IA. L’obligation : s’assurer que les collaborateurs qui utilisent ou supervisent des systèmes d’IA disposent d’une compétence IA adéquate.
Qu’est-ce que cela signifie pour les utilisateurs de Copilot dans votre entreprise ?
- Chaque collaborateur utilisant Copilot de manière productive doit comprendre le fonctionnement du système, ses limites et les risques liés à des résultats erronés.
- Cette formation doit être documentée — un simple clic dans un tutoriel Microsoft ne constitue pas une preuve au sens du Règlement européen sur l’IA.
- La formation doit être spécifique au rôle et au contexte d’utilisation — les collaborateurs RH qui utilisent Copilot pour des décisions relatives au personnel nécessitent une formation plus approfondie que ceux qui rédigent simplement des e-mails.
Droit du travail allemand — droit de codetermination du comité d’entreprise
En Allemagne, une dimension supplémentaire s’ajoute, souvent négligée dans les analyses internationales de Copilot : le droit de la représentation du personnel (BetrVG).
Conformément au §87 al. 1 n° 6 BetrVG, le comité d’entreprise dispose d’un véritable droit de codetermination lors de l’introduction de dispositifs techniques susceptibles de surveiller le comportement ou les performances des salariés. Copilot répond à ce critère dans plusieurs fonctionnalités :
- Transcription et résumé de réunions : protocole de qui a dit quoi — potentiellement utilisable à des fins de surveillance
- Coaching et analyse d’e-mails : évalue les schémas de communication des collaborateurs
- Microsoft Viva Insights (partie de l’écosystème M365 Copilot) : analyses de productivité au niveau individuel
- Statistiques d’utilisation de Copilot : peuvent documenter la manière dont chaque collaborateur utilise l’IA
Cela signifie : sans implication du comité d’entreprise et accord d’entreprise, l’introduction légale de Copilot avec ces fonctionnalités en Allemagne n’est pas possible. Pas « difficile » — pas possible.
L’introduction de Copilot dans les PME allemandes disposant d’un comité d’entreprise exige une triple conformité : (1) obligations de l’opérateur au titre du Règlement européen sur l’IA, (2) RGPD avec configuration correcte de l’EU Data Boundary et TIA, (3) codetermination BetrVG §87. Celui qui n’adresse qu’un seul de ces trois domaines n’est pas en conformité.
Checklist pratique en 5 points : introduire Copilot en PME en conformité
Cette checklist couvre les exigences minimales pour une introduction conforme de Copilot. Elle ne remplace pas un conseil juridique au cas par cas, mais fournit une orientation solide :
- Établir une documentation de déploiement : Quels services utilisent Copilot ? À quelles fins ? Existe-t-il des scénarios liés aux RH ? Documentez-le par écrit — c’est la base de toutes les étapes suivantes.
- Mener et documenter les formations article 4 : Contenu : fonctionnement, limites, risques, règles d’utilisation internes. Preuve : liste des participants, date, contenu de la formation. Différenciation : utilisateurs standard vs. utilisateurs RH.
- Configurer l’EU Data Boundary : Vérifier l’Admin Center, activer la région UE, décider consciemment pour les Connected Experiences et la recherche Bing (activer ou désactiver), minimiser la télémétrie. Établir une Transfer Impact Assessment (TIA) pour les transferts résiduels vers les États-Unis.
- Informer le comité d’entreprise et préparer un accord d’entreprise : Quelles fonctionnalités Copilot sont activées ? Quelles données sont conservées et pendant combien de temps ? Existe-t-il des possibilités d’analyse au niveau individuel ? Conclure l’accord d’entreprise avant le lancement — pas après.
- Établir un document de gouvernance IA interne : Pour quels usages Copilot peut-il être utilisé dans votre entreprise ? Qu’est-ce qui est expressément exclu ? Qui est la personne responsable ? Comment les résultats de Copilot sont-ils vérifiés ? Ce document ne vous protège pas seulement juridiquement — il donne à vos collaborateurs une orientation.
Ce que signifie concrètement une gouvernance Copilot pour les PME
La gouvernance semble réservée aux grands groupes. Ce n’est pas le cas. Pour une PME de 50 à 200 collaborateurs, une gouvernance Copilot fonctionnelle signifie :
- Un document d’une page avec les règles d’utilisation, connu de chaque collaborateur
- Un dossier de formation (numérique ou physique) avec preuve pour chaque utilisateur de Copilot
- Une configuration administrateur dans le Microsoft 365 Admin Center (ponctuelle, environ 2 heures)
- Un accord d’entreprise (si un comité d’entreprise existe) — généralement 3 à 5 pages
- Un responsable de la gouvernance IA dans l’entreprise (pas nécessairement un poste à temps plein)
C’est gérable. L’effort initial de mise en place représente 10 à 20 heures pour une PME. L’effort de correction après un contrôle ou un incident est bien supérieur.
Le message essentiel est le suivant : Copilot est un outil excellent. Il fait gagner du temps, réduit la charge cognitive, accélère les processus de travail. Le défi n’est pas la technologie — c’est que l’environnement réglementaire a évolué et que la plupart des entreprises ne l’ont pas encore traduit en interne. C’est la fenêtre d’opportunité qui est actuellement ouverte.
Les PME qui structurent dès maintenant leur gouvernance Copilot disposent d’un véritable avantage concurrentiel : vis-à-vis des clients qui exigent confiance dans le traitement de l’IA et des données ; vis-à-vis des collaborateurs qui attendent des règles claires pour les outils IA ; et vis-à-vis du risque réglementaire qui augmentera encore à partir d’août 2026 avec l’échéance complète des obligations du Règlement européen sur l’IA.