Microsoft Teams et RGPD 2026 : Guide complet de conformité

Teams dans votre entreprise : bien plus qu'un simple outil de visio

Si vous travaillez dans une entreprise moderne, il y a de fortes chances que vous passiez plusieurs heures par jour sur Microsoft Teams. Réunions en visio, conversations par chat, partage de fichiers, appels téléphoniques... Teams est devenu le couteau suisse de la collaboration à distance.

Avec plus de 320 millions d'utilisateurs actifs en 2026, Teams s'est imposé comme le leader mondial des outils de communication d'entreprise, loin devant Slack, Zoom ou Google Meet. Pour beaucoup d'organisations, Teams EST la plateforme de travail quotidienne.

Mais voilà la question que peu d'entreprises se posent : "Est-ce que j'ai le droit d'utiliser Teams avec toutes ces données sensibles qui y transitent ? Et suis-je vraiment conforme au RGPD ?"

Parce que Teams, c'est un volume de données personnelles absolument gigantesque : vos conversations privées, vos appels vidéo, vos fichiers confidentiels, les enregistrements de réunions avec transcriptions automatiques, vos données de présence ("disponible", "absent", "ne pas déranger"), vos habitudes de travail...

Dans ce guide, on va vous expliquer exactement ce que vous devez faire pour utiliser Teams en respectant le RGPD, sans langue de bois.

Microsoft Teams : comprendre ce que c'est vraiment

Teams, l'outil tout-en-un de Microsoft

Microsoft Teams, c'est bien plus qu'un simple Zoom ou Skype. C'est une plateforme complète qui combine :

• ‍Messagerie instantanée : Chats individuels et de groupe, canaux thématiques, fils de discussion...‍
• Visioconférence : Réunions vidéo jusqu'à 10,000 participants, partage d'écran, tableau blanc collaboratif...‍
• Téléphonie : Appels audio via Internet (VoIP), numéros de téléphone professionnels...‍
• Partage de fichiers : Documents stockés dans SharePoint/OneDrive, co-édition en temps réel...‍
• Intégrations : Applications tierces (Trello, Salesforce, Asana...), bots, automatisations Power Automate...‍
• Enregistrements : Enregistrement des réunions avec transcription automatique et résumés IA via Copilot...

Cette intégration profonde dans l'écosystème Microsoft 365 fait la force de Teams. Mais c'est aussi ce qui pose les plus gros enjeux RGPD.

Les 5 risques RGPD spécifiques à Microsoft Teams

Risque n°1 : Volume massif de données personnelles sensibles

Teams, c'est un concentré de données personnelles. Et pas n'importe lesquelles : des données souvent confidentielles, parfois sensibles au sens du RGPD.

Ce qui transite par Teams au quotidien :‍

• ‍Données d'identification et de contact : Nom, prénom, photo de profil, email, numéro de téléphone pro, fonction, département...‍
• Conversations professionnelles : Échanges sur des projets, stratégie d'entreprise, négociations commerciales, discussions RH...‍
• Données clients : Quand vous échangez sur des dossiers clients, leurs noms, coordonnées, problématiques passent par Teams‍
• Fichiers confidentiels : Contrats, devis, analyses financières, données techniques, propriété intellectuelle...‍
• Données RH sensibles : Dans un canal RH, discussions sur recrutements, évaluations, augmentations, licenciements, arrêts maladie...‍
• Voix et image : Lors des visioconférences, votre voix (donnée biométrique dans certains cas) et votre image sont captées

Le problème : Vos collaborateurs utilisent Teams comme s'ils parlaient oralement dans un bureau. Ils oublient que tout est écrit, enregistré, potentiellement indexé. Une blague déplacée, une information confidentielle lâchée en passant, un document RH partagé par erreur dans le mauvais canal... et c'est la violation de données.

Risque n°2 : Enregistrements des réunions et transcriptions automatiques

C'est probablement LE point le plus délicat avec Teams : la fonctionnalité d'enregistrement des réunions.

Comment ça marche :

N'importe quel participant peut lancer l'enregistrement d'une réunion Teams (sauf si l'admin l'a désactivé). La vidéo, l'audio, le partage d'écran, le chat de la réunion, tout est capté.

Depuis 2024, Microsoft ajoute automatiquement une transcription (conversion audio → texte) et même un résumé IA des points clés de la réunion via Copilot.

L'enregistrement est stocké sur OneDrive ou SharePoint, accessible à tous les participants (sauf restriction).

Les enjeux RGPD :

• ‍Consentement : Avez-vous le droit d'enregistrer une réunion avec des clients, des candidats, des partenaires externes sans leur consentement explicite ? En général, non.‍
• Information : Teams affiche un bandeau "Enregistrement en cours", mais est-ce suffisant ? Certains participants peuvent ne pas le voir, ou ne pas comprendre les implications.‍
• Données vocales = biométriques ? : Selon l'usage, la voix peut être considérée comme une donnée biométrique (identification unique par empreinte vocale). Si vous utilisez la reconnaissance vocale pour identifier quelqu'un, c'est une donnée sensible article 9 RGPD.‍
• Transcription = données supplémentaires : La transcription crée une nouvelle donnée persistante (texte) à partir de paroles éphémères. Durée de conservation ? Accès ? Sécurité ?‍
• Contenu sensible : Si la réunion porte sur un sujet RH (entretien annuel, procédure disciplinaire), santé, ou stratégique confidentiel, l'enregistrement devient ultra-sensible.

Cas réel qui fait peur :
Un DRH enregistre un entretien de recadrage avec un salarié via Teams, sans lui demander explicitement son accord. Le salarié ne voit pas le bandeau "enregistrement". Quelques mois plus tard, licenciement. Le salarié attaque et demande l'enregistrement en justice. L'entreprise doit le fournir, mais réalise qu'il contient aussi des propos du DRH sur d'autres salariés, captés avant/après l'entretien officiel...
Violation RGPD + prud'hommes perdus.

Risque n°3 : Transfert de données vers les États-Unis

Microsoft est une entreprise américaine. Par défaut, vos données Teams peuvent être stockées et traitées aux USA, même si vous êtes en Europe.

Le RGPD impose des règles strictes pour les transferts de données hors UE. Microsoft propose l'EU Data Boundary (équivalent de ce qui existe pour Copilot), mais il faut l'activer explicitement.

Avec EU Data Boundary activé :

• Vos données au repos (stockées) restent dans les datacenters européens
• Les traitements Teams se font sur des serveurs en Europe
• Pas de transfert USA par défaut

Sans EU Data Boundary :

• Vos données peuvent être stockées/traitées aux USA
• Support technique Microsoft peut accéder depuis les USA
• Soumis au Cloud Act américain (accès des autorités US)

En 2026, Microsoft est certifié Data Privacy Framework (DPF), ce qui sécurise juridiquement les transferts USA. Mais si vous traitez des données sensibles, activez EU Data Boundary.

Risque n°4 : Partage accidentel et mauvaises permissions

Teams facilite le partage de fichiers et l'ajout de personnes dans les conversations. C'est sa force... et son danger.

Scénarios fréquents de fuite :

• ‍Fichier partagé dans le mauvais canal : Vous uploadez un fichier Excel de données clients dans le canal "Général" au lieu du canal privé "Direction". 50 personnes y ont accès au lieu de 5.‍
• Invité externe dans une équipe sensible : Vous ajoutez un consultant externe à l'équipe "Marketing", mais il voit aussi les fichiers du canal "Stratégie 2026" qu'il ne devrait pas voir.‍
• Lien de partage "Tous les utilisateurs" : Vous partagez un document Teams via un lien "Toute personne dans l'organisation peut accéder". Si le lien fuite (email transféré, copié-collé), n'importe qui dans l'entreprise peut l'ouvrir.‍
• Historique de conversation : Un nouveau membre rejoint une équipe Teams. Il voit TOUT l'historique des conversations depuis la création de l'équipe, y compris des discussions sur des sujets confidentiels d'avant son arrivée.‍
• Le problème structurel : Teams hérite des permissions SharePoint/OneDrive, qui sont complexes. Beaucoup d'admins ne maîtrisent pas bien les subtilités (site, dossier, fichier, héritage, membres vs propriétaires...).

Résultat : des fuites de données involontaires, quasi-quotidiennes dans certaines organisations.

Risque n°5 : Conservation indéfinie des données

Par défaut, Teams conserve TOUT, POUR TOUJOURS. Toutes vos conversations, tous vos fichiers, tous vos enregistrements... restent accessibles indéfiniment, sauf si vous configurez des politiques de rétention.

Le principe RGPD de limitation de la conservation impose de ne garder les données que le temps nécessaire. Garder des conversations Teams de 2018 sur un projet terminé depuis 4 ans, c'est une violation RGPD.

Impact RGPD :

• Violation du principe de limitation de conservation
• Risque de fuite de données anciennes lors d'un audit ou d'un exercice de droit d'accès
• Surface d'attaque augmentée pour les hackers

Bonne pratique : Configurer des politiques de rétention automatique (suppression après X mois/ans selon le type de données).

‍

Comment utiliser Teams en étant conforme RGPD

Étape 1 : Vérifier votre configuration Microsoft 365 de base

Avant même de parler de Teams spécifiquement, assurez-vous que votre tenant Microsoft 365 est propre :

Abonnement Entreprise obligatoire : Microsoft 365 Business Standard, Business Premium, E3, E5... Pas de comptes personnels @outlook.com.

DPA Microsoft signé : Le Data Processing Agreement doit être accepté dans le centre d'administration Microsoft 365. C'est votre contrat RGPD avec Microsoft en tant que sous-traitant.

Domaine personnalisé : Vous devez utiliser votre propre nom de domaine (votre-entreprise.com), pas un domaine Microsoft (@votre-entreprise.onmicrosoft.com seul).

Sans ces bases, Teams n'est pas conforme RGPD, point final.

Étape 2 : Activer l'EU Data Boundary (fortement recommandé)

Si vous êtes en Europe, activez l'EU Data Boundary pour garantir que vos données Teams restent en Europe.

Comment activer :

1. Centre d'administration Microsoft 365 → Paramètres → Profil de l'organisation
2. Section "Résidence des données" ou "Data Boundary"
3. Sélectionner "Union Européenne" comme zone géographique
4. Appliquer (attention, peut prendre plusieurs semaines)

Ce que ça change pour Teams :

• Conversations stockées dans datacenters UE (Pays-Bas, Irlande, France)
• Fichiers partagés via Teams restent sur SharePoint Europe
• Enregistrements de réunions sur OneDrive Europe
• Traitements IA (transcription, résumé) effectués en Europe

Attention : L'EU Data Boundary n'est pas rétroactif. Les données existantes ne sont pas automatiquement déplacées.

Étape 3 : Configurer les politiques de rétention Teams

C'est l'étape la plus importante pour respecter le principe de limitation de conservation.

Où configurer :

Centre de conformité Microsoft 365 (compliance.microsoft.com) → Politiques → Rétention

Créer des politiques par type de contenu :

Conversations de canal Teams : Conserver 3 ans, puis supprimer automatiquementChats privés Teams : Conserver 2 ans, puis supprimerFichiers partagés dans Teams : Conserver selon la politique documentaire générale (5-10 ans selon le type)Enregistrements de réunions : Conserver 1 an maximum (ou 3 mois pour les réunions de routine)

Cas particuliers à ajuster :

• Conversations RH sensibles : 1 an max
• Discussions avec candidats recrutement : 2 ans max
• Réunions stratégiques enregistrées : 6 mois max, puis archivage sécurisé hors Teams

Important : Prévenez vos équipes AVANT d'activer les suppressions automatiques. Certains peuvent avoir pris l'habitude de chercher de vieilles conversations.

Étape 4 : Encadrer strictement les enregistrements

Les enregistrements de réunions sont une bombe RGPD. Il faut les encadrer fermement.

Politique d'enregistrement recommandée :

Désactiver par défaut : Dans les paramètres Teams, désactiver l'enregistrement pour tous les utilisateurs.

Activer seulement pour certains rôles : Direction, formation, support client (avec justification claire).

Bannière d'information obligatoire : Teams affiche "Enregistrement en cours", mais ajoutez une annonce orale en début de réunion : "Cette réunion est enregistrée, si vous n'êtes pas d'accord, merci de le signaler maintenant".

Consentement explicite pour externes : Si des clients, candidats, partenaires externes participent, obtenez leur consentement écrit (email) AVANT la réunion.

Pas d'enregistrement pour sujets sensibles : Interdire formellement l'enregistrement des réunions RH (entretiens annuels, recadrages, sanctions), médicales, ou juridiques sensibles.

Suppression rapide : Politique de rétention courte (3-6 mois max) pour les enregistrements, sauf archivage justifié.

Accès restreint : Par défaut, seuls les participants à la réunion peuvent accéder à l'enregistrement. Vérifiez que c'est bien configuré.

Étape 5 : Gérer les permissions et les invités externes

Teams facilite la collaboration, y compris avec des externes. Mais attention aux fuites.

Bonnes pratiques de permissions :

Équipes privées par défaut : Toute nouvelle équipe Teams doit être "Privée" (pas "Publique"). L'ajout de membres se fait sur validation.

Canaux privés pour données sensibles : Créez des canaux privés au sein des équipes pour les sujets confidentiels (finance, RH, stratégie).

Limitation des invités externes : Dans les paramètres Teams, restreignez ce que les invités peuvent faire (pas de création de canaux, pas d'ajout d'applications, pas d'accès aux fichiers non partagés explicitement).

Expiration des accès invités : Configurez une expiration automatique (ex: accès invité valable 90 jours, puis révision obligatoire).

Révision trimestrielle : Tous les 3 mois, vérifiez qui a accès à quoi. Supprimez les membres qui n'ont plus besoin d'être là.

Étiquetage des données sensibles : Utilisez les étiquettes de sensibilité Microsoft 365 ("Confidentiel", "Hautement confidentiel") pour classifier les équipes et fichiers.

Étape 6 : Former vos équipes aux bonnes pratiques Teams

La meilleure politique du monde ne sert à rien si vos collaborateurs ne la respectent pas.

Ce qu'il faut enseigner :

✅ Bonnes pratiques Teams :

• Vérifier le canal AVANT de poster un message sensible
• Ne jamais partager de données clients/RH/financières dans des canaux publics
• Demander l'accord avant d'enregistrer une réunion avec des externes
• Utiliser les canaux privés pour les sujets confidentiels
• Faire attention aux fichiers uploadés (vérifier le contenu avant partage)

❌ À ne JAMAIS faire :

• Copier-coller des données personnelles massives (liste clients, données RH) dans un chat
• Enregistrer une réunion RH sensible (entretien annuel, recadrage)
• Ajouter un invité externe à une équipe entière (lui donner accès seulement à ce dont il a besoin)
• Laisser Teams ouvert sur un écran partagé lors d'une présentation publique
• Utiliser Teams pour des discussions ultra-confidentielles qui ne doivent laisser aucune trace

Format de formation : Session 1h avec cas pratiques + quiz + signature charte d'usage Teams.

Étape 7 : Réaliser une AIPD si nécessaire

Si vous utilisez Teams pour des traitements à risque, une AIPD (Analyse d'Impact relative à la Protection des Données) peut être obligatoire.

Quand l'AIPD est obligatoire avec Teams :

• Enregistrement systématique de réunions avec transcriptions (surveillance grande échelle)
• Utilisation de Teams pour traiter des données sensibles (santé, RH sensible, juridique)
• Surveillance des employés via Teams (logs, temps de présence, analyse des conversations)
• Teams pour communication avec patients (secteur santé)

Structure AIPD Teams :

1. Description : Utilisation de Microsoft Teams pour communication interne/externe, visio, partage fichiers, enregistrements
2. Risques :
   • Fuite de données via mauvaises permissions
   • Enregistrements non consentis
   • Conservation excessive de conversations sensibles
   • Transferts USA si EU Data Boundary non activé
   • Surveillance des employés
3. Mesures :
   • DPA signé, EU Data Boundary activé
   • Politiques de rétention configurées
   • Encadrement strict des enregistrements
   • Formation équipes
   • Audit trimestriel des permissions
4. Conclusion : Risque résiduel acceptable ou non ?

Étape 8 : Documenter dans votre registre RGPD

Le registre des traitements est obligatoire. Teams doit y figurer.

Les alternatives européennes à Teams

Alternatives 100% européennes

Element (ex-Riot.im) - 🇫🇷 France
Messagerie open-source basée sur Matrix, chiffrement end-to-end, hébergeable sur vos serveurs. Utilisé par la Bundeswehr allemande et plusieurs ministères français. RGPD natif, confidentialité maximale. Moins ergonomique que Teams.

Nextcloud Talk - 🇩🇪 Allemagne
Extension de Nextcloud (cloud open-source), intègre chat + visio + fichiers. Hébergement on-premise possible. Bon pour PME tech avec compétences IT. Moins de fonctionnalités que Teams.

Mattermost - 🇺🇸 USA mais open-source
Alternative open-source à Slack, hébergeable en Europe sur vos serveurs. Bon compromis fonctionnalités/conformité. Nécessite gestion technique.

Questions fréquentes sur Teams et RGPD

Puis-je enregistrer une réunion Teams avec des clients sans leur accord ?

Non, c'est risqué. Le RGPD impose d'informer les personnes avant de collecter leurs données. L'enregistrement d'une réunion = collecte de voix (potentiellement biométrique) + image + paroles.

Bonne pratique : Envoyer un email AVANT la réunion : "Cette réunion sera enregistrée pour [finalité]. Si vous n'êtes pas d'accord, merci de nous le signaler." + Annonce orale en début de réunion.

Les conversations Teams sont-elles vraiment privées ?

Non, pas vraiment. L'administrateur Microsoft 365 de votre entreprise peut accéder aux conversations Teams via des outils de conformité (eDiscovery, Audit). Vos messages ne sont pas chiffrés end-to-end comme Signal ou WhatsApp.

En pratique : Votre employeur peut légalement consulter vos conversations Teams professionnelles, même les chats privés, dans le cadre de sa politique de sécurité ou d'enquêtes internes.

Où sont stockées mes données Teams ?

Ça dépend de votre configuration :

Sans EU Data Boundary : Datacenters Microsoft mondiaux (USA, Europe, Asie selon routage)Avec EU Data Boundary activé : Datacenters européens uniquement (Pays-Bas, Irlande, France, Allemagne)

Les fichiers partagés via Teams sont sur SharePoint/OneDrive, avec la même logique de géolocalisation.

Combien de temps Teams conserve-t-il mes messages ?

Par défaut : pour toujours. Teams ne supprime rien automatiquement. Vos conversations de 2020 sont toujours accessibles.

Si vous configurez des politiques de rétention : Vous décidez (ex: supprimer après 3 ans). C'est fortement recommandé pour le RGPD.

Dois-je faire une AIPD pour Teams ?

Ça dépend de l'usage :

AIPD obligatoire si :

• Enregistrement systématique avec transcription (grande échelle)
• Teams pour traiter données sensibles (santé, RH sensible)
• Surveillance des employés via Teams
• Secteur régulé (santé, juridique, finance)

AIPD recommandée si :

• Usage généralisé dans toute l'entreprise avec données clients
• Beaucoup d'invités externes

Pas d'AIPD si :

• Usage limité, données non sensibles, pas d'enregistrements

Teams est-il concerné par l'AI Act ?

Oui, depuis l'intégration de Copilot dans Teams (résumés IA, transcriptions...). L'AI Act classe ces fonctionnalités comme "IA à risque limité" (obligation de transparence).

Si vous utilisez Teams + Copilot pour des décisions RH ou scoring, vous passez en "IA à haut risque" avec obligations renforcées.

Puis-je utiliser Teams pour des consultations médicales ?

Oui, mais avec précautions énormes. Les données de santé sont sensibles (article 9 RGPD). Il faut :

• Consentement explicite du patient
• Chiffrement renforcé
• AIPD obligatoire
• DPA signé avec Microsoft
• EU Data Boundary activé
• Pas d'enregistrement (sauf consentement écrit)
• Hébergement de données de santé certifié (HDS) → Teams seul ne suffit pas

Pour la télémédecine, mieux vaut utiliser des solutions certifiées HDS spécifiques.

Leto vous aide à sécuriser Teams dans votre entreprise

Configurer Teams en conformité RGPD, c'est technique et chronophage. Leto automatise l'essentiel.

Ce que Leto fait pour vous :

Audit Teams automatisé : Leto se connecte à votre Microsoft 365 et analyse : politiques de rétention configurées, EU Data Boundary activé ou non, nombre d'invités externes, équipes sans propriétaire, enregistrements non gérés...

Registre Teams pré-rempli : Fiche de traitement "Microsoft Teams" générée automatiquement avec toutes les informations obligatoires.

Gestion Microsoft comme sous-traitant : Microsoft apparaît dans notre base de 6,000+ sous-traitants. Vérifiez d'un coup d'œil si le DPA est signé, si vous êtes certifiés DPF, si EU Data Boundary est activé.

Politiques de rétention recommandées : Leto vous suggère des durées de conservation adaptées à votre activité (conversations, fichiers, enregistrements).

Charte d'usage Teams : Template prêt à l'emploi avec bonnes pratiques, à adapter à votre entreprise et faire signer par vos collaborateurs.

Formation équipes : Module "Utiliser Teams en sécurité" avec cas pratiques, quiz, certification.

Alertes violations : Si un enregistrement non autorisé est détecté, si un fichier sensible est partagé publiquement, Leto vous alerte en temps réel.

Demandez une démonstration pour découvrir comment Leto simplifie votre conformité Teams + RGPD.

En résumé : Teams, oui, mais avec rigueur

Microsoft Teams est un excellent outil de collaboration. Son intégration profonde dans Microsoft 365 en fait souvent le choix naturel pour les entreprises Windows/Office.

Microsoft a fait des efforts réels sur le RGPD : EU Data Boundary disponible, politiques de rétention avancées, DPA solide. C'est mieux que beaucoup de concurrents.

Mais Teams pose des risques RGPD spécifiques qu'il serait irresponsable d'ignorer :

• Volume massif de données sensibles (conversations, fichiers, voix, image)
• Enregistrements avec transcription = bombe RGPD
• Permissions complexes = fuites faciles
• Conservation infinie par défaut

Et surtout : ne laissez pas Teams se déployer "naturellement" dans votre organisation sans cadre. C'est le meilleur moyen d'avoir des violations de données et des surprises désagréables lors d'un contrôle CNIL.

Pour aller plus loin

Microsoft Copilot et RGPD : Guide Complet

Slack et RGPD : Conformité 2026

Zoom et RGPD : Visioconférences Conformes

Données Personnelles : Définition et Exemples

Registre des Traitements : Guide Complet

AIPD : Quand et Comment

Transferts de Données Hors UE