Vous pensez que vos ordinateurs professionnels sont sous votre contrôle ? C'est une illusion confortable que les trois géants de la technologie exploitent chaque jour. En 2026, il ne s'agit plus de paranoia informatique : Apple, Google et Microsoft collectent massivement des données sur vos postes de travail. Pas seulement ce que vous tapez ou consultez — mais comment vous travaillez, quand vous travaillez, vos habitudes, vos interactions, vos fichiers en cloud.
Pour les dirigeants de TPE/PME en Drôme et Ardèche que j'accompagne, cette réalité pose trois questions pragmatiques : Qui collecte quoi exactement ? Quels risques cela représente-t-il pour mes données métier ? Que puis-je faire maintenant sans révolutionner mon infrastructure IT ? C'est à ces trois questions que je vais répondre, avec chiffres et recommandations concrètes à l'appui.
Commençons par le leader incontesté : Microsoft. Windows 11 est présent sur plus de 75 % des postes de travail en France selon le baromètre Statista 2026. C'est aussi l'une des plus grandes usines de collecte de données jamais construites.
Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), en 2025, 68 % des petites entreprises françaises ne maîtrisaient pas vraiment ce qui remontait de leurs postes Windows vers Microsoft. Pour une TPE à Valence avec 15 collaborateurs utilisant tous Windows 11, cela représente potentiellement des milliers de données sensibles transitant chaque jour vers des serveurs américains.
Windows 11 envoie des requêtes HTTPS cryptées vers les serveurs Microsoft (principalement vortex.data.microsoft.com, telemetry.microsoft.com). Vous ne pouvez pas les bloquer complètement — elles sont intégrées au système d'exploitation. Vous pouvez les limiter via les paramètres Confidentialité et sécurité, mais Microsoft désactive régulièrement ces options lors des mises à jour.
Cas client réel : Une entreprise de mécanique à Valence m'a consulté en février 2026 car elle voyait des transferts de données inhabituels vers des serveurs externes. Après audit, j'ai découvert que Windows 11 envoyait chaque heure des rapports détaillés incluant les noms de fichiers des devis clients (bien que cryptés, les métadonnées restaient très sensibles).
Google vous présente Workspace (Gmail, Drive, Docs, Meet) comme une suite collaborative moderne et respectueuse de la vie privée. C'est vrai… en comparaison avec Google Consumer (le Gmail gratuit). Mais n'en soyez pas dupe.
Google Workspace offre certes des paramètres de confidentialité (par exemple, désactiver la suggestion IA, limiter la rétention des logs). Mais la CNIL (Commission Nationale de l'Informatique et des Libertés) a rappelé en 2025 que ces contrôles ne suppriment pas la collecte de métadonnées structurelle. Google a besoin de ces métadonnées pour faire fonctionner le service.
Une agence de marketing en Ardèche que j'accompagne utilise Workspace pour stocker les stratégies clients et les données d'analyse. Bien que techniquement conformes au RGPD, ces données sont indexées par les algorithmes Google, ce qui pose un risque de concurrence déloyale : si un concurrent utilise aussi Workspace, Google possède objectivement une vision plus claire des tendances du marché.
Apple s'est construit une réputation de "défenseur de la vie privée". Siri vous le rappelle, Tim Cook le crie sur les podiums. Malheureusement, macOS 14 et 15 démontrent que cette rhétorique est partiellement mensongère.
Point clé : Apple revendique que ses utilisateurs paient pour la confidentialité (via l'achat du matériel premium), contrairement à Google qui vend la publicité. C'est partiellement vrai, mais ne vous bercer pas d'illusions : Apple collecte aussi massivement pour entraîner ses IA et affiner ses services.
Apple a lancé iCloud+ Private Relay : un service censé masquer votre adresse IP sur le web. Sauf que… Private Relay ne fonctionne que sur certains sites, et Apple conserve quand même les métadonnées de votre activité. C'est un écran de fumée qui donne l'impression de sécurité sans vraiment en fournir.
Un cabinet-conseil en Drôme qui utilise entièrement des Macs m'a contacté en mars 2026 : ses collaborateurs pensaient être "protégés" par Apple. Erreur. Les métadonnées de leurs déplacements professionnels (via Cartes Apple) et l'historique de leurs appels (via FaceTime) remontaient à Apple. Pas de contenu audio, certes, mais des données comportementales très révélatrices.
La première question que vous vous posez : « Suis-je en violation du RGPD ? » Réponse honnête : ça dépend. Si vous hébergez des données clients chez Microsoft (Azure), Google (Workspace) ou Apple (iCloud for Business), vous acceptez implicitement que ces données sortent de l'UE et soient traitées par des entités soumises au Cloud Act américain. Ce dernier oblige Microsoft, Google et Apple à coopérer avec les services de renseignement américains.
Un artisan boulanger à Valence qui utilise Google Workspace pour gérer ses calendriers de production et ses recettes : techniquement, ses données de recette peuvent être légalement demandées par le FBI. Peu probable, certes. Mais légalement possible.
Plus immédiat : la concurrence. Si vous utilisez une plateforme cloud grand public, vos concurrents qui utilisent la même plateforme bénéficient indirectement d'insights sur vos stratégies. Google, Microsoft et Apple utilisent vos données de comportement pour améliorer leurs services et vendre des solutions verticales (ex. Google Analytics pour le retail). Vous financez vos propres concurrents.
Ces géants sont les cibles numéro 1 des cybercriminels. Chaque année, des milliers de comptes Workspace ou Outlook sont compromis via des attaques par force brute ou du phishing. Un attaquant ne peut pas hacker Microsoft directement, mais il peut hacker votre compte. Et si votre compte contient tous vos secrets commerciaux (stockés sur OneDrive ou Drive), c'est la catastrophe.
Microsoft, Google et Apple peuvent — et font — désactiver les comptes sans avertissement si ils détectent une activité "suspecte". Une PME de transport routier en Ardèche s'est trouvée bloquée 48 heures d'accès à ses emails et ses fichiers parce que Microsoft a jugé l'activité de son VPN "anormale". C'est techniquement leur droit. Juridiquement, ils ne doivent de justification à personne.
Inventoriez tous vos services cloud : Outlook/OneDrive, Google Workspace, iCloud, Dropbox, etc. Pour chaque service, identifiez le type de donnée stockée : données clients, données financières, propriété intellectuelle, données RH. Puis, consultez les conditions d'utilisation actuelles (elles changent régulièrement) sur le site de la CNIL pour évaluer la conformité RGPD.
Sur Windows 11 :
Sur macOS :
Sur Google Workspace (admin console) :
Une formation d'une heure : "Qu'est-ce que vous publiez vraiment dans le cloud ?" Montrez à vos collaborateurs que chaque email, chaque document Google Docs, chaque partage de calendrier est tracé. La plupart n'y pensent jamais.
Une document simple qui définit : "Quels types de données peuvent être stockées en cloud public ? Qui autorise ? Quel chiffrement est requis ? Que faire en cas d'accès non autorisé ?" Cette politique protège légalement votre PME et clarifie les responsabilités.
Pour les données vraiment sensibles (données clients, formules commerciales, données financières), considérez une alternative :
Même si vous continuez à utiliser Microsoft/Google/Apple, exigez un DPA qui précise exactement ce qui est collecté, où, comment et pour combien de temps. Microsoft et Google les fournissent, mais vous devez les demander.
Outlook/Gmail ne chiffrent pas vos emails par défaut. Utilisez OpenPGP (Thunderbird + Enigmail) ou ProtonMail pour les communications vraiment confidentielles (négociations, contrats).
Depuis que je suis installé à Valence comme technicien indépendant, j'ai accompagné une cinquantaine de TPE/PME en Drôme et Ardèche. Voici ce que je vois réellement sur le terrain :
Une agence de design graphique à Romans-sur-Isère stockait tous ses projets clients sur Google Drive. En janvier 2026, un ancien collaborateur a compromis le compte administrateur Google. Résultat : un concurrent a eu accès à 2 ans d'archives de clients (et donc des stratégies de positionnement). Google a gelé le compte, l'agence a dû réinitialiser tous les mots de passe. Leçon apprise : ils ont mis en place Nextcloud privé pour les projets sensibles.
Un cabinet-conseil en management en Ardèche recevait des audits externes pointant que ses données client remontaient potentiellement vers les serveurs Microsoft (via Outlook et OneDrive). Le cabinet a mis en place une politique stricte : seules les données "publiques" vont sur Microsoft 365, les diagnostics clients confidentiels restent sur un serveur Nextcloud auto-hébergé. Coût d'implémentation : 3 000 €. Tranquillité d'esprit et conformité RGPD : inestimable.
Un boucher-charcutier à Valence utilisait Windows 11 Pro sans jamais toucher aux paramètres de confidentialité. Son ordinateur envoyait des rapports détaillés à Microsoft sur ses horaires d'ouverture, ses fournisseurs (via les historiques d'emails), ses clients (via Outlook). Il pensait acheter un produit, il achetait en réalité un outil de surveillance avec un système d'exploitation inclus. Après nous avoir mis en place les recommandations ci-dessus, il a ressenti… une tranquillité mentale. "Au moins maintenant, je contrôle ce qui sort de ma boutique", a-t-il dit.
Si vous êtes une TPE/PME en Drôme ou Ardèche avec 5 à 50 salariés, vous n'avez probablement pas d'équipe IT dédiée. Vous faites confiance à des outils "tout-en-un" — Microsoft 365, Google Workspace — parce que c'est simple, pas cher, et "tout le monde le fait". C'est vrai. Mais c'est aussi vrai que vous déléguez entièrement le contrôle de vos données à trois entreprises américaines cotées en bourse qui ont un intérêt financier maximal à exploiter ces données.
Je ne dis pas de quitter immédiatement ces plateformes — c'est souvent impossible. Je dis : minimisez ce que vous y stockez, chiffrez ce qui doit l'être, auditez régulièrement, et gardez vos données vraiment sensibles sous votre contrôle.
Microsoft collecte : les données d'activité utilisateur (heures d'utilisation, applications lancées), les modèles d'utilisation, les données de diagnostic système (erreurs, performances), les historiques Edge, et via Copilot intégré, le contenu textuel affiché à l'écran et les interactions cloud. Ces données remontent vers les serveurs Microsoft à une fréquence qui peut être jusqu'à horaire, même si vous avez désactivé la "télémétrie complète". Vous pouvez réduire cette collecte via les paramètres Confidentialité, mais pas l'éliminer complètement.
Non, pas complètement. Google Workspace propose des contrôles de confidentialité (par exemple, désactiver les assistants IA), mais la collecte de métadonnées est structurelle au service : qui écrit à qui, quand, depuis quel appareil, pour combien de temps. Ces métadonnées sont nécessaires au fonctionnement de Gmail et Drive. Ce que vous pouvez faire : limiter la rétention des logs à 3 mois, désactiver les IA, et refuser explicitement l'utilisation des données pour l'entraînement de modèles publics (via l'admin console Google).
C'est un mythe partiellement vrai. Apple revendique mieux respecter la vie privée, et sur certains points c'est vrai (pas de publicité ciblée intégrée, chiffrement iCloud+ meilleur que OneDrive). Mais macOS collecte aussi massivement : rapports de diagnostic, données Siri, historique de recherche Spotlight, métadonnées App Store. La différence principale est que Apple gagne moins d'argent de la publicité que Google, donc a moins d'intérêt à exploiter directement vos données. Mais l'absence d'exploitation directe ne signifie pas l'absence de collecte.
Cette semaine : Auditez où vous stockez vraiment vos données (Outlook, Google, Apple, etc.). Désactivez la télémétrie non-essentielle sur tous les postes Windows/macOS (voir la section Actions). Formez vos équipes sur la minimisation de données. Dans 2-4 semaines : Écrivez une politique IT claire sur quels types de données peuvent être en cloud. Envisagez un stockage alternatif pour les données vraiment sensibles. En continu : Auditez tous les 3 mois vos configurations cloud et vérifiez que vos équipes respectent la politique. Si vous avez besoin d'aide, consultez un prestataire IT de confiance local (comme moi à Valence !).
Je propose un audit gratuit de 30 minutes pour vos TPE/PME de Drôme-Ardèche. Nous passons en revue vos services cloud actuels, vos risques de conformité RGPD, et les actions prioritaires.
📞 Demander votre audit gratuit