Les outils IA intégrés aux grandes plateformes de visioconférence se ressemblent en surface : transcription automatique, résumé de réunion, compte rendu généré à la fin de la réunion. Mais leurs différences se jouent ailleurs, sur des critères qui ne sont pas toujours explicités clairement comme la localisation des données, l’exposition à des juridictions extraterritoriales, la compatibilité avec le chiffrement de bout en bout des communications ou encore la capacité à être audité.
Pour les organisations dont les échanges contiennent des informations stratégiques, contractuelles ou réglementées, ces critères conditionnent directement le niveau de risque.
Voici une analyse des principaux outils IA intégrés du marché et de leurs limites pour les échanges sensibles.
Microsoft Copilot dans Teams : des garanties de sécurité conditionnelles
Intégré nativement à Microsoft Teams, Copilot propose la transcription en temps réel des réunions, la génération automatique de résumés, la création de comptes rendus structurés et une fonctionnalité de questions-réponses sur le contenu d’une session passée.
Sur le plan de la sécurité, deux points méritent attention.
Localisation des données : l’EU Data Boundary en option, pas par défaut
Microsoft propose depuis 2025 un dispositif appelé EU Data Boundary, qui permet de cantonner le stockage et le traitement des données au sein des datacenters européens.
Mais depuis mars 2026, une fonctionnalité appelée « flex routing » est activée par défaut pour les environnements Microsoft 365 créés après le 25 mars 2026 en Europe : en cas de pic de charge, les prompts, réponses et données de contexte Copilot peuvent être traités sur des serveurs situés en dehors de l’Union européenne, y compris aux États-Unis.
Les administrateurs doivent désactiver cette option manuellement pour maintenir le traitement dans l’EU Data Boundary. Pour les environnements existants, les administrateurs doivent vérifier leur paramétrage.
Par ailleurs, depuis janvier 2026, Microsoft utilise Anthropic comme sous-traitant pour certaines fonctions Copilot dans Word, Excel et PowerPoint. Ce traitement s’effectue explicitement hors du périmètre de l’EU Data Boundary, quelle que soit la configuration du tenant.
Pour les organisations soumises à des réglementations strictes, ce point mérite d’être explicité :
- Le Cloud Act américain autorise les autorités des États-Unis à exiger de Microsoft l’accès à des données stockées sur ses serveurs, y compris en Europe, sans passer par les voies judiciaires européennes.
- L’EU Data Boundary réduit le périmètre des données concernées, mais ne supprime pas cette exposition juridique.
- Une organisation française dont les réunions sont transcrites et stockées dans l’environnement Microsoft reste potentiellement soumise à ce dispositif, quelle que soit la localisation physique des serveurs.
Chiffrement et mémorisation : ce que la faille EchoLeak a révélé
Microsoft s’engage contractuellement à ne pas utiliser les données des clients Microsoft 365 pour entraîner ses modèles de base.
Cependant, la faille EchoLeak (CVE-2025-32711), découverte en mars 2025, a mis en lumière un risque structurel différent. Cette vulnérabilité dans le plugin Copilot de Microsoft 365 a permis une attaque zero click : un simple e-mail suffisait à déclencher l’exfiltration automatique de données accessibles par Copilot, sans aucune action de l’utilisateur.
Le vecteur exploité était précisément la mémoire contextuelle riche du plugin. Plus un outil IA mémorise, plus sa surface d’attaque est large, indépendamment des engagements contractuels sur l’entraînement des modèles.
Zoom AI Companion : une incompatibilité structurelle à connaître
Zoom AI Companion propose la transcription des réunions, la génération de résumés, la création de chapitres et des fonctionnalités d’automatisation.
Le problème E2EE : chiffrement ou IA, pas les deux
La solution Zoom permet d’activer le chiffrement de bout en bout des communications mais cette activation désactive ses fonctionnalités d’IA, les deux ne pouvant fonctionner simultanément.
Pour une organisation dont les réunions contiennent des informations sensibles, un choix s’impose :
- soit les échanges sont chiffrés de bout en bout,
- soit l’IA peut fonctionner.
Données transmises à des modèles tiers
Zoom indique dans sa documentation que les données utilisées par AI Companion peuvent être transmises à des modèles d’IA tiers, notamment OpenAI et Anthropic selon la configuration.
Ces données sont chiffrées en transit et au repos, mais le traitement implique des infrastructures extérieures à Zoom. L’hébergement dans des datacenters européens n’est pas la configuration par défaut.
Google Gemini dans Meet : des garanties contractuelles insuffisantes face au Cloud Act
Intégré à Google Meet via Google Workspace, Gemini propose la prise de notes intelligente, la transcription, la génération de résumés et des suggestions d’actions post-réunion.
Hébergement et juridiction
Google est une entreprise américaine soumise au Cloud Act. Ses datacenters européens hébergent des données au repos, mais cette localisation ne supprime pas l’exposition à la juridiction américaine.
Sur l’entraînement des modèles, Google s’engage contractuellement à ne pas utiliser les données clients pour entraîner ses modèles sans permission préalable.
Mais cela suppose que l’organisation dispose d’un contrat Workspace en vigueur, avec accord de traitement des données (DPA) signé, conformément au RGPD. Les comptes grand public ou versions gratuites ne bénéficient d’aucune garantie équivalente.
Ce que ça implique pour les données de réunion
Une transcription de réunion contient des données personnelles (noms, intitulés de postes, contenus des échanges…) et potentiellement des informations commerciales, contractuelles ou techniques sensibles.
Pour les organisations soumises au RGPD et à des réglementations sectorielles comme NIS2 ou DORA, la traçabilité du traitement de ces données par un outil IA constitue une exigence de conformité.
L’engagement contractuel de non-entraînement encadre un risque précis, mais ne neutralise pas l’exposition au Cloud Act.
Les autorités américaines peuvent exiger de Google l’accès à des données traitées par ses services, y compris sur des serveurs européens, sans passer par les voies judiciaires européennes. Pour une organisation critique, cette exposition juridique structurelle reste la limite principale, indépendamment des garanties contractuelles obtenues.
Des IA de confiance existent pour les organisations critiques
Ces trois outils, déployés massivement, partagent des limites structurelles communes :
- ils sont édités par des entreprises américaines soumises au Cloud Act,
- leurs configurations les plus sécurisées nécessitent des paramétrages manuels que peu d’organisations activent par défaut,
- et aucun ne dispose d’une certification indépendante permettant un audit du code source et des mécanismes de sécurité.
Pour les secteurs défense, industrie, finance ou administrations, ces limites peuvent nuire à leur conformité réglementaire et à l’intégrité de leurs données.
Des alternatives existent, construites sur des critères de confiance différents.
Trois critères principaux :
Chiffrement E2EE compatible avec les fonctions IA
Dans la plupart des architectures de solutions collaboratives grand public, le chiffrement de bout en bout et le traitement IA sont incompatibles puisque l’IA nécessite un accès au flux audio ou textuel en clair pour le traiter.
Une architecture qui résout cette contrainte traite les données localement ou dans un environnement souverain maîtrisé, sans les exposer à des serveurs tiers.
C’est le modèle retenu par Tixeo, dont l’IA intégrée (transcription, traduction, résumé de réunion) fonctionne avec le chiffrement E2EE activé par défaut, sans arbitrage entre sécurité et fonctionnalité.
Hébergement souverain et absence d’exposition au Cloud Act
Un outil IA de réunion souverain implique un hébergement intégralement sur le territoire européen, sous juridiction européenne, avec un engagement contractuel explicite de non-utilisation des données pour l’entraînement des modèles.
L’absence d’exposition au Cloud Act américain suppose que l’éditeur ne soit pas une entité de droit américain, un critère que ni Microsoft, ni Zoom, ni Google ne remplissent structurellement, quelle que soit la localisation de leurs datacenters.
Absence de mémorisation des échanges
Dans les architectures grand public, la mémorisation contextuelle est présentée comme un avantage : l’outil retient le fil des réunions précédentes pour affiner ses résumés et ses réponses.
C’est précisément ce mécanisme qu’a exploité la faille EchoLeak sur Copilot. Pour les échanges sensibles, l’IA doit traiter les données en temps réel et ne pas les persister au-delà de la session.
L’IA Tixeo ne mémorise pas les échanges entre les sessions. Les transcriptions, traductions et résumés sont générés dans le périmètre de la réunion, puis sont supprimés dès la fin de session. Ces échanges ne constituent jamais une base de données contextuelle exploitable ultérieurement, ni par l’outil, ni par un tiers.
Les outils IA intégrés aux grandes plateformes collaboratives répondent aux besoins de productivité d’organisations dont les échanges ne sont pas soumis à des contraintes de sécurité strictes. Pour les secteurs critiques, la richesse fonctionnelle de l’outil doit s’ajouter aux garanties de maîtrise et de souveraineté des données.
