On parle beaucoup de Microsoft 365 Copilot.

On parle beaucoup du surpartage dans SharePoint.

On parle beaucoup des permissions trop larges, des liens publics, des équipes Teams mal gouvernées et des sites devenus incontrôlables.

Très bien.

Mais pendant que tout le monde regarde le risque d’exposition des contenus collectifs, un autre problème continue de grossir en silence: l’impact du contenu conservé dans OneDrive for Business sur la qualité des réponses produites par Copilot lorsqu’on travaille avec les données de l’organisation. Microsoft rappelle d’ailleurs que Microsoft 365 Copilot s’appuie sur les données auxquelles l’utilisateur a déjà accès, et que la qualité des réponses dépend d’un contenu bien gouverné, à jour et correctement partagé.

Ce point est fondamental.

Parce que le vrai sujet n’est pas seulement: «qui peut voir quoi?»

Le vrai sujet devient aussi: «sur quelles données Copilot s’appuie-t-il pour produire une réponse?» Et si ces données sont anciennes, contradictoires, mal nommées, dupliquées ou laissées trop longtemps dans un espace de travail individuel, la qualité du résultat baisse mécaniquement. Microsoft l’écrit presque noir sur blanc: quand les données sont bien gouvernées, actuelles et convenablement partagées, Copilot peut fournir des réponses plus exactes et plus pertinentes. Par conséquent, l’inverse est aussi un risque de gouvernance très concret.

Le faux centre du débat

Le débat dominant en ce moment est simple: il faut empêcher que Copilot fasse remonter des documents indexés exposés à cause du surpartage.

Ce débat est légitime. Microsoft documente d’ailleurs plusieurs mécanismes temporaires ou ciblés pour restreindre la découverte de contenus SharePoint dans la recherche et dans Copilot, notamment Restricted SharePoint Search et Restricted Content Discovery.

Mais Microsoft insiste aussi sur deux points essentiels: ces mécanismes ne sont pas des frontières de sécurité, et ils sont pensés comme des mesures temporaires, pas comme une solution de fond.

Autrement dit, oui, il est possible d’agir sur certaines bibliothèques ou certains sites SharePoint pour limiter leur découvrabilité. Mais pendant qu’on met toute l’énergie là-dessus, on oublie une autre réalité: OneDrive for Business reste dans l’équation, et Microsoft précise explicitement que Restricted Content Discovery ne peut pas être appliqué aux sites OneDrive.

C’est là que commence le vrai angle mort.

Le problème n’est pas seulement l’exposition, c’est la pollution du contexte

Microsoft 365 Copilot utilise les données auxquelles l’utilisateur a déjà accès pour enrichir ses réponses. Microsoft indique aussi, dans sa documentation OneDrive, que Copilot peut accéder aux fichiers pour lesquels l’utilisateur a les permissions, y compris les fichiers présents dans son OneDrive ainsi que les fichiers partagés avec lui dans l’organisation.

Donc oui, le surpartage est un risque.

Mais ce n’est pas le seul.

Parce que même sans surpartage, un utilisateur peut conserver dans son OneDrive for Business:

• des brouillons anciens;
• plusieurs variantes contradictoires d’un même document;
• des fichiers préparatoires jamais publiés;
• des exports temporaires;
• des présentations abandonnées;
• des versions «finales» qui ne le sont pas du tout.

Or Copilot n’applique pas une validation métier magique sur ces contenus. Microsoft explique surtout que la qualité des réponses dépend d’un contenu bien gouverné, actuel et approprié.

Cela veut dire très concrètement qu’un OneDrive encombré de versions obsolètes ou ambiguës peut dégrader le contexte de travail sur lequel Copilot s’appuie. Ce n’est pas une faille de sécurité. C’est un problème de qualité informationnelle.

Diagramme 1 : le vrai problème n’est pas l’accès seul, c’est la qualité du contexte

flowchart TD
    A[Utilisateur en mode Travail] --> B[Copilot interroge les<br>données accessibles]
    B --> F[OneDrive for Business]
    B --> C[SharePoint]
    B --> D[Teams]
    B --> E[Exchange]

    F --> G[Brouillons récents]
    F --> H[Versions obsolètes]
    F --> I[Doublons]
    F --> J[Documents jamais publiés]

    G --> K[Contexte de meilleure<br>qualité]
    H --> L[Contexte bruité]
    I --> L
    J --> L

    K --> M[Réponse plus pertinente]
    L --> N[Réponse moins fiable<br>ou moins précise]

Ce schéma résume exactement l’enjeu. Le problème n’est pas seulement: «Copilot a-t-il le droit d’y accéder?» Le problème est aussi: «que trouve-t-il quand il y accède?»

Nous avons nous-mêmes créé une confusion nuisible

Il faut aussi avoir l’honnêteté de le dire: nous avons contribué à embrouiller les utilisateurs.

Pendant des années, nous avons parlé de OneDrive comme d’un espace «personnel» dans Microsoft 365. Cette formulation a peut-être aidé à vulgariser l’outil au départ, mais dans une organisation, elle devient toxique.

Parce qu’en entreprise, les ressources ne sont pas «personnelles». Elles sont mises à disposition par l’organisation pour permettre aux employés d’exécuter leurs tâches professionnelles. Les contenus produits dans ce cadre ne sont pas des souvenirs privés, ni des archives intimes, ni un grenier numérique où tout peut rester indéfiniment.

Cette erreur de sémantique est vitale.

OneDrive for Business n’est pas un coffre personnel. C’est un emplacement de travail individuel, utile pour préparer, corriger, tester, rédiger et mûrir un contenu avant de le rendre disponible dans un espace collectif gouverné comme SharePoint ou Teams.

Dès qu’on continue à parler de OneDrive comme d’un «lecteur personnel», on encourage sans le vouloir les mauvaises pratiques:

• on garde trop longtemps;
• on partage depuis le mauvais endroit;
• on duplique;
• on oublie de publier;
• on transforme un espace de travail transitoire en dépôt permanent.

Et ensuite on s’étonne que Copilot ramène du bruit.

OneDrive for Business doit rester un espace de travail transitoire

C’est ici que je prends une position de gouvernance claire.

Je maintiens qu’un document ne devrait pas rester indéfiniment dans un OneDrive for Business individuel. Il faut laisser aux utilisateurs une marge raisonnable pour travailler. Très bien. Mais au-delà d’un certain délai, l’organisation doit imposer une discipline.

À mes yeux, au bout de deux ou trois mois maximum, un document encore conservé dans OneDrive for Business doit faire l’objet d’une décision:

• soit il a une valeur pour l’organisation, et il doit être déplacé vers un espace collectif adapté;
• soit il n’a pas de valeur organisationnelle, et il doit être supprimé.

Ce seuil de deux ou trois mois n’est pas une règle Microsoft. C’est une recommandation de gouvernance. Je l’assume comme telle. Elle vise à éviter trois dérives très concrètes:

• le gaspillage des ressources de stockage;
• la confusion documentaire;
• la dégradation du contexte utilisé par Copilot.

Microsoft confirme au minimum deux éléments qui rendent cette recommandation loin d’être théorique: d’une part, les fichiers du OneDrive de l’utilisateur font partie des contenus auxquels Copilot peut accéder selon les permissions; d’autre part, le stockage OneDrive par défaut est généralement de 1 To par utilisateur, avec des possibilités d’augmentation selon l’offre et la licence. Un espace de cette taille peut très vite devenir un volume massif de contenus obsolètes s’il n’est pas gouverné.

Diagramme 2: le cycle de vie que OneDrive devrait supporter

flowchart LR
    A["Création du brouillon"] --> B["Travail individuel dans<br>OneDrive for Business"]
    B --> C{"Le document a-t-il encore<br>une valeur?"}
    C -- Oui --> D["Déplacement vers<br>SharePoint ou Teams"]
    C -- Non --> E["Suppression"]
    D --> F["Collaboration, gouvernance,<br>partage collectif"]

Le point important ici est le verbe: déplacer. Pas «laisser en place et partager depuis OneDrive». Pas «garder une copie maîtresse individuelle et envoyer des liens partout». Pas «on verra plus tard».

Le partage depuis OneDrive ne devrait pas devenir la norme

Là encore, je prends une position nette.

Un document destiné à être utilisé collectivement ne devrait pas rester piloté depuis un espace individuel OneDrive avec des partages ad hoc. Ce modèle crée une dépendance à l’espace d’un individu, fragilise la gouvernance, et entretient une confusion sur l’emplacement de référence.

Microsoft, de son côté, explique que certains mécanismes de restriction sur SharePoint ne modifient pas les permissions existantes et que les utilisateurs peuvent continuer à retrouver certains contenus qu’ils possèdent ou avec lesquels ils ont déjà interagi. Cela rappelle une chose simple: on ne corrige pas un problème de gouvernance uniquement en bricolant la recherche. Il faut corriger les emplacements de travail et les pratiques documentaires.

Dans cette logique, OneDrive for Business ne devrait pas devenir un pseudo-site documentaire individuel servant de base permanente à des contenus professionnels partagés. Sa vocation devrait rester celle d’un espace transitoire de préparation.

Ce qu’on peut faire sur SharePoint, et ce qu’on ne peut pas faire sur OneDrive

Il faut être extrêmement précis ici pour ne pas faire circuler d’informations inexactes.

Ce que Microsoft documente pour SharePoint

Microsoft documente des mécanismes comme Restricted SharePoint Search et Restricted Content Discovery pour limiter la découvrabilité de certains sites ou contenus SharePoint dans la recherche de l’organisation et, temporairement, dans Copilot. Mais Microsoft précise aussi que:

• ces mécanismes ne changent pas les permissions existantes;
• ils ne garantissent pas une exclusion absolue des contenus;
• ils ne sont pas destinés à être la solution de long terme;
• ils peuvent réduire la qualité des résultats de recherche et de Copilot si on les utilise excessivement.

Ce que Microsoft documente pour OneDrive

Microsoft précise explicitement que Restricted Content Discovery ne peut pas être appliqué aux sites OneDrive. Je n’ai pas trouvé, dans la documentation officielle consultée, de mécanisme équivalent permettant d’exclure globalement la bibliothèque OneDrive for Business d’un utilisateur de cette même logique de découvrabilité.

C’est précisément pour cela que le sujet OneDrive mérite plus d’attention: on ne peut pas simplement compter sur le même type de réglage technique que pour certaines bibliothèques SharePoint.

Diagramme 3: la différence de gouvernance entre SharePoint et OneDrive

flowchart TD
    A[Contenu de l'organisation] --> B{Emplacement}
    B -->|SharePoint / Teams| C[Possibilités de gouvernance<br>documentaire plus fortes]
    B -->|OneDrive for Business| D[Espace de travail individuel]

    C --> E[Peut être concerné par<br>Restricted SharePoint<br>Search]
    C --> F[Peut être concerné par<br>Restricted Content<br>Discovery]
    D --> G[Restricted Content Discovery<br>non applicable]

    E --> H[Découvrabilité limitée,<br>mais pas permissions<br>supprimées]
    F --> H
    G --> I[Besoin accru d'hygiène<br>documentaire et de<br>cycle de vie]

Le volume n’est pas anodin

L’autre raison pour laquelle ce sujet est sous-estimé, c’est la capacité.

Microsoft indique dans sa documentation de service que OneDrive for Business offre généralement 1 To par utilisateur pour plusieurs plans, et que certaines offres E3 et E5 peuvent être augmentées jusqu’à 5 To. Microsoft précise aussi, dans la documentation d’administration, que la capacité par défaut est de 1 To pour la plupart des plans, avec possibilité d’augmentation selon l’abonnement et le nombre d’utilisateurs.

Autrement dit, même sans parler d’un cas extrême, une organisation peut très vite se retrouver avec un volume immense de brouillons, d’anciennes versions et de déchets documentaires conservés dans des espaces individuels.

Le sujet n’est donc pas anecdotique. À l’échelle d’un tenant, c’est potentiellement une masse considérable de contexte professionnel imparfait.

La bonne gouvernance n’est pas punitive, elle est hygiénique

Je ne dis pas qu’il faut transformer OneDrive for Business en zone interdite.

Je dis qu’il faut cesser de l’utiliser comme une cave d’archives.

Il faut réintroduire une discipline simple:

1. OneDrive for Business sert à produire et préparer.
2. SharePoint et Teams servent à publier, partager et collaborer durablement.
3. Ce qui n’a plus de valeur doit être supprimé.

Cette hygiène documentaire ne sert pas seulement à économiser du stockage. Elle sert aussi à améliorer le signal informationnel qui alimente Copilot. Microsoft insiste elle-même sur le fait que des données actuelles, bien gouvernées et correctement partagées améliorent la pertinence et l’exactitude des réponses.

Et la conformité dans tout ça?

Il faut ajouter une nuance importante.

Dire que OneDrive doit être nettoyé ne veut pas dire qu’il faut supprimer n’importe quoi n’importe comment. Les exigences de conservation, d’archivage, de conformité ou de valeur probante doivent évidemment être respectées selon les obligations de l’organisation.

Mais justement, cela renforce mon propos: si un contenu a une valeur durable pour l’organisation, il mérite mieux qu’un maintien passif dans un espace individuel OneDrive. Il doit être régi par des règles de gouvernance, de conservation, de classement et d’accès appropriées.

Ce que Microsoft permet aussi par la protection des contenus

Il faut également signaler un point officiel utile pour les organisations les plus matures: Microsoft documente des cas où Copilot et les agents ne peuvent pas accéder à des documents non ouverts dans SharePoint et OneDrive lorsqu’ils sont étiquetés et chiffrés avec des permissions définies par l’utilisateur, sous certaines conditions. Microsoft précise aussi qu’un réglage avancé PowerShell lié aux étiquettes de confidentialité peut empêcher les applications Office d’envoyer du contenu à certaines expériences connectées, dont Microsoft 365 Copilot et les agents.

Ces mécanismes existent. Ils sont importants. Mais ils ne remplacent pas une stratégie d’hygiène documentaire sur OneDrive. Ils la complètent.

Ma recommandation, clairement

Voici la position que je défends.

Ne traite plus OneDrive for Business comme un espace personnel.
Traite-le comme un bureau individuel temporaire.

Autorise le brouillon.
Autorise la préparation.
Autorise le travail autonome.

Mais impose ensuite une décision:

• publication dans un espace collectif gouverné, si le contenu compte;
• suppression, s’il ne compte plus.

Parce que sinon, tu n’as pas seulement un problème de rangement documentaire.

Tu as un problème de qualité de contexte.

Et quand le contexte baisse en qualité, la génération baisse en qualité.

Ce que fait réellement l’algorithme: aucune hiérarchie entre OneDrive et SharePoint

Il est tentant de croire que Microsoft 365 Copilot privilégie naturellement les contenus SharePoint parce qu’ils sont «officiels», ou au contraire les contenus OneDrive parce qu’ils sont plus proches de l’utilisateur.

En réalité, ce n’est ni l’un ni l’autre.

Microsoft 365 Copilot s’appuie sur Microsoft Graph et Microsoft Search, qui reposent sur un index unifié regroupant l’ensemble des contenus accessibles à l’utilisateur: SharePoint, OneDrive for Business, Teams, Exchange.

Dans cet index, il n’existe aucune priorité par source.

Un document SharePoint n’est pas intrinsèquement plus important qu’un document OneDrive.

Ce qui compte, c’est la pertinence calculée dynamiquement.

Comment les résultats sont réellement classés

Microsoft documente plusieurs signaux utilisés pour déterminer la pertinence d’un document:

• le contenu lui-même (mots-clés, correspondance sémantique)
• les métadonnées (titre, auteur, date de modification)
• l’activité utilisateur (documents récents, fichiers ouverts)
• la popularité (documents consultés ou partagés)
• les relations (collègues, équipes, contexte de travail)

Ces signaux sont combinés pour produire un score.

Et c’est ce score qui décide de ce qui remonte.

Pas l’emplacement.

Le facteur déterminant: le contexte utilisateur

Microsoft insiste sur un point essentiel: les résultats sont personnalisés pour chaque utilisateur.

Autrement dit:

• deux utilisateurs peuvent obtenir des résultats différents
• un même document peut monter ou descendre selon l’activité
• le contexte immédiat influence fortement la réponse

C’est exactement ce qui rend le problème du OneDrive encore plus critique.

Le cas concret qui pose problème

Prenons une situation très simple.

Un même document existe:

• dans SharePoint → version validée, à jour
• dans OneDrive → ancienne version, non corrigée

D’un point de vue humain, le choix est évident.

D’un point de vue algorithmique, ce n’est pas le cas.

Ce que l’algorithme peut faire

Si l’utilisateur:

• a travaillé récemment sur la version OneDrive
• a ouvert ce fichier plusieurs fois
• ou l’a modifié récemment

alors cette version peut obtenir un score de pertinence plus élevé

Même si elle est incorrecte.

À l’inverse, la version SharePoint peut être:

• plus fiable
• plus complète
• mais moins récente dans le contexte utilisateur

et donc moins bien classée.

Le scénario le plus risqué

Le cas le plus problématique n’est même pas celui où le mauvais document gagne.

C’est celui où: les deux documents ont des scores proches

Dans ce cas :

• la recherche peut présenter plusieurs versions ambiguës
• Copilot peut s’appuyer sur plusieurs sources
• ou pire: mélanger les informations

Diagramme du comportement réel

flowchart TD
    A[Requête utilisateur] --> B[Index unifié<br>Microsoft Graph]
    B --> C[Document SharePoint<br>à jour]
    B --> D[Document OneDrive<br>obsolète]

    C --> E[Score de pertinence]
    D --> F[Score de pertinence]

    E --> G{Comparaison}
    F --> G

    G -->|Score SharePoint >| H[Résultat fiable]
    G -->|Score OneDrive >| I[Résultat biaisé]
    G -->|Scores proches| J[Mélange des contenus]

    J --> K[Réponse dégradée]

Ce que cela signifie concrètement

Microsoft explique que la qualité des réponses de Copilot dépend de données:

• bien gouvernées
• à jour
• correctement partagées

Cela implique directement que:

Copilot ne comprend pas la validité métier d’un document.

Il ne sait pas:

• ce qui est « officiel »
• ce qui est un brouillon
• ce qui est obsolète

Il ne voit que des signaux de pertinence.

La réalité, sans détour

Un document:

• faux mais récent
• actif dans ton OneDrive
• proche de ton contexte

peut être considéré comme plus pertinent

qu’un document:

• correct
• validé
• mais moins utilisé récemment

Pourquoi ce point est critique pour OneDrive

Parce que OneDrive concentre précisément:

• les brouillons
• les versions intermédiaires
• les documents en cours de travail

donc exactement les contenus qui peuvent produire de la confusion

Et contrairement à certaines bibliothèques SharePoint, il n’existe pas aujourd’hui de mécanisme documenté permettant de restreindre globalement leur découvrabilité dans les mêmes conditions.

Conclusion

Oui, il faut se préoccuper du surpartage dans SharePoint. C’est sérieux. C’est réel. Et Microsoft fournit des mécanismes temporaires pour aider à limiter la découvrabilité de certains contenus.

Mais non, il ne faut pas s’arrêter là.

Parce que le contenu conservé dans OneDrive for Business vient lui aussi peser sur l’environnement informationnel de travail auquel Copilot accède selon les permissions de l’utilisateur. Et sur ce terrain-là, Microsoft documente bien une asymétrie: il existe des mécanismes de restriction de découvrabilité pour certains contenus SharePoint, mais Restricted Content Discovery ne s’applique pas à OneDrive.

Alors la vraie question n’est plus seulement:
«Qui a accès à quoi?»

La vraie question devient aussi :
«Pourquoi conservons-nous encore autant de contenu obsolète dans des espaces individuels que Copilot peut utiliser comme contexte de travail?»

Et là, franchement, il est temps d’arrêter de détourner le regard.