Partager via

Confidentialité et protections

  • Article

Protection des données commerciales

Lorsque les organisations et les employés utilisent des services d’IA générative, il est important de comprendre comment ces services gèrent les données utilisateur et de conversation. Étant donné que les conversations des employés peuvent contenir des données sensibles, Copilot est conçu pour protéger ces informations, comme illustré ici :

Diagramme de l’architecture Copilot.

La protection des données commerciales dans Copilot: fonctionne comme suit :

  • Copilotutilise Microsoft Entra ID (anciennement Azure Active Directory) pour l’authentification et autorise uniquement les utilisateurs à accéder Copilot avec la protection des données commerciales à l’aide de leur compte professionnel.
  • Les informations de locataire et d’utilisateur d’un ID Entra sont supprimées des données de conversation au début d’une session de conversation. Ces informations sont utilisées uniquement pour déterminer si l’utilisateur est éligible à la protection des données commerciales. Recherche requêtes déclenchées par des invites d’un utilisateur d’ID Entra ne sont pas liées aux utilisateurs ou aux organisations par Bing.
  • Microsoft ne conserve pas les invites ou les réponses des utilisateurs d’ID Entra lors de l’utilisation Copilotde . Les invites et les réponses sont conservées pendant une courte période de mise en cache à des fins d’exécution. Une fois que le navigateur est fermé, que la rubrique de conversation est réinitialisée ou que la session expire, Microsoft ignore les invites et les réponses.
  • Les données de conversation envoyées vers et depuis Copilot avec la protection des données commerciales sont chiffrées en transit à l’aide d’un protocole TRANSPORT Layer Security (TLS 1.2+) et au repos à l’aide de la norme de chiffrement avancée (AES-128). Microsoft n’a pas d’accès « à l’œil sur » à celui-ci.
  • Étant donné que Microsoft ne conserve pas les invites et les réponses, elles ne peuvent pas être utilisées dans le cadre d’un jeu d’entraînement pour le modèle de langage volumineux sous-jacent.
  • La publicité présentée aux utilisateurs d’Entra ID n’est pas ciblée en fonction de l’identité de l’espace de travail ou de l’historique des conversations.

Ces protections de données s’étendent aux conversations utilisateur d’ID Entra éligibles dans Copilotsur copilot.microsoft.com et dans Bing, Edge et Windows. Elles s’étendent également aux Copilot conversations dans les Copilotapplications mobiles , Bing, Edge, Microsoft Start ou Microsoft 365.

Historique des conversations et rapports

Lorsque la protection des données commerciales est activée, Copilot ne prend pas en charge la fonctionnalité d’historique des conversations. Il ne conserve pas les invites de conversation ou les réponses.

Il n’offre également aucune fonctionnalité de création de rapports d’utilisation ou d’audit aux organisations. Copilottoutefois, les utilisateurs peuvent être soumis à d’autres types de surveillance disponibles pour les administrateurs informatiques dans leur organization. Par exemple, ils peuvent être soumis à la journalisation interne, aux journaux d’activité des appareils ou du réseau, ou à d’autres méthodes de surveillance sur le ou les appareils de leur entreprise.

Copilot est géré conformément à nos principes d’IA responsable, ce qui signifie que nous prenons des mesures pour atténuer les mauvaises utilisations ou les comportements et le contenu nuisibles.

Données organisationnelles

Copilot est un service d’IA générative basé sur les données du web public dans l’index de recherche Bing uniquement. Il n’a pas accès aux ressources ou au contenu de l’organisation dans Microsoft 365, tels que des documents dans OneDrive, des e-mails ou d’autres données dans Microsoft 365 Graph.

Copilotpour Microsoft 365 est requis si votre organization souhaite une expérience de conversation fondée sur des données de travail à l’intérieur de la limite de votre locataire.

Copilot peut accéder au contenu de l’organisation dans la conversation uniquement lorsque les utilisateurs le fournissent activement. Les utilisateurs peuvent autoriser Copilot l’accès au contenu de leur organisation de l’une des trois manières suivantes :

  1. Les utilisateurs tapez ou collez explicitement ces informations directement dans la conversation.
  2. Les utilisateurs chargent un fichier en sélectionnant l’icône en trombone dans le coin inférieur gauche de la boîte de conversation. Ils peuvent également glisser-déposer un fichier dans la boîte de conversation. La fonctionnalité de chargement de fichiers est actuellement en préversion. En savoir plus sur le chargement de fichiers ici.
  3. Les utilisateurs tapent une invite Copilot dans Edge après avoir activé le paramètre « Autoriser l’accès à n’importe quelle page web ou PDF », et une page intranet est ouverte dans le navigateur. Dans ce scénario, Copilot peut utiliser ce contenu pour répondre aux questions.

Dans tous les cas, lorsque les données commerciales sont activées, Copilot ne conserve aucune de ces données une fois la session de conversation terminée. Il n’utilise pas non plus les données organisationnelles pour entraîner le modèle sous-jacent.

Microsoft en tant que contrôleur de données

Copilot est un service connecté où Microsoft est le contrôleur de données. Les invites des utilisateurs quittent la limite de locataire Microsoft 365 de votre organization pour atteindre le Copilot service. Lorsque la protection des données commerciales est activée, Microsoft ne conserve pas ces données au-delà d’une courte période de mise en cache à des fins d’exécution. Une fois que le navigateur est fermé, que la rubrique de conversation est réinitialisée ou que la session expire, Microsoft ignore toutes les invites et réponses.

Pour fournir des réponses de conversation, Copilot utilise des centres de données globaux pour le traitement et peut traiter des données dans le États-Unis. Les expériences connectées facultatives et soutenues par Bing ne relèvent pas de l’engagement EU Boundary (EUDB) de Microsoft. En savoir plus : Transferts de données continus qui s’appliquent à tous les services de limites de données de l’UE. Ils ne sont pas non plus soumis aux termes de l’Addendum sur la protection des données (DPA), qui exige que les données de l’entreprise restent à l’intérieur des limites géographiques ou des locataires.

Pour rappel, Copilot n’a pas accès aux données organisationnelles à l’intérieur de la limite de votre locataire, et les conversations de conversation ne sont pas enregistrées ou utilisées pour entraîner les modèles sous-jacents.

Les organisations ayant des exigences strictes selon lesquelles les données doivent rester à l’intérieur des limites de locataire ou géographiques doivent plutôt envisager Copilot que Microsoft 365 ou Azure Open AI fournissent des services d’IA générative. Copilot avec la protection des données commerciales est conçu comme une alternative plus sécurisée pour les organisations que l’utilisation de services d’IA générative orientés consommateur.

Pour plus d’informations, consultez Microsoft 365 Data Residency et la Déclaration de confidentialité Microsoft.

Authentification et autorisation

La protection des données commerciales n’est disponible qu’en vous connectant avec le même ID Entra que celui utilisé pour accéder aux services Microsoft 365 tels que SharePoint ou Outlook.

RGPD

Le billet de blog du 21 mai 2018 de Microsoft décrit notre engagement envers la conformité au RGPD et comment Microsoft aide les entreprises et les autres organisations à respecter leurs propres obligations au RGPD. Vous trouverez plus d’informations dans le Forum aux questions du Centre de gestion de la confidentialité Microsoft.

Copilot s’aligne sur les principes du RGPD. Les clients qui souhaitent soumettre une demande de suppression d’informations de l’index de recherche Bing peuvent le faire ici : Bing - Formulaire de demande pour bloquer Recherche résultats en Europe

Publicité

Copilot affiche occasionnellement des publicités dans le cadre de réponses de conversation. Une publicité qui apparaît dans une réponse de conversation est déclenchée par toutes les requêtes générées par l’invite de l’utilisateur, et non par son identité d’espace de travail.

La publicité destinée aux utilisateurs d’Entra ID n’est pas ciblée, ce qui signifie qu’aucune information de l’identité de l’espace de travail de l’utilisateur n’est utilisée pour déterminer la publicité qui s’affiche. Les utilisateurs d’Entra ID ne seront pas recibles par les publicités avec lesquelles ils ont précédemment interagi dans Copilot.