La question revient dans les CODIR, dans les appels d’offres, dans les discussions informelles entre décideurs numériques : peut-on réellement sortir de Microsoft 365 ? Et surtout, faut-il le faire ? Pendant des années, elle relevait presque du tabou, Microsoft 365 était « le standard », le socle non discutable du poste de travail moderne. Ce n’est plus le cas. Entre les hausses tarifaires répétées, le durcissement du cadre réglementaire européen et la montée en maturité des alternatives françaises, la question mérite aujourd’hui une réponse sérieuse, outillée et honnête. Ni idéologique ni commerciale.
Cet article ne prétend pas que quitter Microsoft 365 est simple, il propose en revanche un cadre de réflexion structuré pour les DSI, RSSI et directeurs de la transformation qui souhaitent évaluer cette hypothèse avec méthode.
Une question qui n’est plus taboue et pour cause
Plusieurs signaux ont convergé ces dernières années pour remettre Microsoft 365 sur la table des arbitrages stratégiques et non plus seulement des choix techniques.
Le premier est financier. Entre 2022 et 2025, Microsoft a procédé à plusieurs augmentations tarifaires significatives sur ses licences Microsoft 365, parfois de l’ordre de 20 % en un an sur certains plans. Pour les grandes organisations qui comptent leurs licences en milliers ou dizaines de milliers d’unités, l’impact budgétaire est direct et difficilement absorbable sans remise en question du périmètre.
Le deuxième est géopolitique et juridique. Le contexte international a brutalement rappelé à de nombreuses organisations françaises et européennes qu’elles opéraient des infrastructures numériques sous dépendance extraterritoriale. Le Cloud Act américain n’est pas une abstraction juridique réservée aux spécialistes, c’est une réalité opérationnelle qui touche directement toute organisation utilisant des services d’une entreprise soumise au droit américain, quelle que soit la localisation physique des serveurs.
Le troisième est réglementaire. NIS2, DORA, la mention Diffusion Restreinte pour les organisations sensibles, les exigences SecNumCloud dans les appels d’offres publics : le cadre réglementaire impose désormais des niveaux de maîtrise des données qui ne sont pas compatibles avec une dépendance totale à un fournisseur soumis à des lois extraterritoriales.
Ce que Microsoft 365 couvre et ce qu’il ne peut pas garantir
Avant de parler de migration, il faut nommer précisément ce que Microsoft 365 fait et ce qu’il est structurellement incapable de garantir, non par incompétence technique, mais par construction juridique.
Microsoft 365 couvre aujourd’hui un spectre fonctionnel très large : messagerie (Outlook), suite bureautique (Word, Excel, PowerPoint), collaboration en équipe (Teams), stockage et partage de fichiers (SharePoint, OneDrive), visioconférence, gestion de projet basique (Planner) et plus récemment des fonctionnalités d’intelligence artificielle avec Copilot. C’est un écosystème cohérent, profondément intégré au poste de travail Windows, et dont l’adoption est souvent irréversible au bout de quelques années d’utilisation intensive.
Ce que Microsoft 365 ne peut pas garantir, en revanche, tient en une ligne : la souveraineté juridique de vos données. Microsoft est une entreprise américaine. À ce titre, elle est soumise au Cloud Act et au FISA, qui permettent aux autorités fédérales américaines de requérir l’accès à des données hébergées par Microsoft, où qu’elles se trouvent dans le monde. Les data centres localisés en France ou en Europe, les clauses contractuelles de localisation des données, les certifications ISO 27001 : aucune de ces mesures ne change la réalité juridique fondamentale. Comme le rappelle notre analyse sur la protection des données dirigeantes, cette limite structurelle est précisément ce qui rend Microsoft 365 inadapté à certains périmètres sensibles, indépendamment de toute considération de performance ou de prix.
Les vrais critères de décision au-delà de la liste de fonctionnalités
La tentation, lorsqu’on évalue une alternative à Microsoft 365, est de comparer les fonctionnalités ligne à ligne. C’est une approche utile mais insuffisante, car les critères qui font réellement la différence dans une décision de migration sont d’un autre ordre.
La nature des données traitées
Toutes les données ne méritent pas le même niveau de protection. Les échanges du COMEX sur une opération de fusion-acquisition n’ont pas le même niveau de sensibilité que les feuilles de suivi de congés. La bonne question n’est pas « Dois-je quitter Microsoft 365 ? » mais « Quels flux d’information dans mon organisation nécessitent une protection que Microsoft 365 ne peut pas offrir ? » C’est une approche par les risques, pas par les outils.
Le profil réglementaire de l’organisation
Une collectivité territoriale soumise aux exigences d’éligibilité SecNumCloud, un hôpital soumis aux exigences HDS, un opérateur d’importance vitale soumis à la directive NIS2 : chacun a des obligations différentes, et chacun doit évaluer la compatibilité de ses outils avec ces obligations avant toute autre considération.
La dépendance fonctionnelle réelle
Combien de collaborateurs utilisent réellement Word pour rédiger des documents complexes avec des mises en forme avancées ? Combien utilisent Excel pour des modèles financiers sophistiqués ? La réponse est souvent bien inférieure au nombre total de licences. Identifier les power users réels de la suite bureautique permet de dimensionner l’effort de migration avec précision et souvent de le réduire considérablement.
La maturité de l’organisation au changement
La conduite du changement est systématiquement sous-estimée dans les projets de migration. Comme le montre notre analyse sur la fin de l’intranet et du tout-mail interne, la résistance au changement d’outil n’est pas une question d’habitude mais de confiance : les collaborateurs doivent comprendre pourquoi le changement a lieu et percevoir un bénéfice direct dans leur quotidien.
Le Cloud Act : l’obstacle juridique que les data centres européens ne résolvent pas
C’est le point le plus souvent mal compris et le plus important à clarifier pour un DSI ou un juriste d’entreprise.
Lorsque Microsoft héberge vos données dans un data centre situé en France, en Allemagne ou aux Pays-Bas, cela ne modifie pas la nationalité juridique de l’entité qui opère ce service. Microsoft Ireland Operations Ltd, qui fournit les services Microsoft 365 en Europe, est une filiale d’une entreprise américaine. À ce titre, elle reste soumise au Cloud Act, qui permet au gouvernement américain d’accéder aux données, indépendamment de leur localisation physique.
Des initiatives comme Microsoft EU Data Boundary apportent des améliorations contractuelles réelles mais ne constituent pas une protection juridiquement absolue. La Commission nationale de l’informatique et des libertés (CNIL) a d’ailleurs rappelé à plusieurs reprises que les transferts de données vers des entités soumises au droit américain restent problématiques au regard du RGPD, même avec des clauses contractuelles.
Pour les organisations qui traitent des données sensibles (informations stratégiques, données de santé, informations classifiées, données relatives à des intérêts nationaux), cette limite n’est pas un détail juridique, c’est une incompatibilité fondamentale avec leurs obligations.
Migration totale ou stratégie de couches souveraines : deux approches différentes
La migration totale hors de Microsoft 365 est possible, mais elle est longue, coûteuse et techniquement complexe. Elle implique de remplacer simultanément la messagerie, la suite bureautique, le stockage, la visioconférence et les outils de collaboration. Pour la grande majorité des organisations, ce n’est pas réaliste à court terme.
Il existe une approche plus immédiatement actionnable : la stratégie de couches souveraines. Elle consiste à maintenir Microsoft 365 pour les usages bureautiques standards (Word, Excel, PowerPoint) qui ne traitent pas de données hautement sensibles, tout en substituant la couche de collaboration, de communication interne et de gestion des projets sensibles par une solution souveraine qualifiée.
Cette approche présente plusieurs avantages. Elle est progressive et ne nécessite pas de migration massive et simultanée, elle cible précisément les usages à plus fort risque (les échanges de direction, les discussions sur les projets sensibles, les communications internes structurantes), plutôt que de vouloir remplacer d’un coup l’intégralité d’un écosystème et elle réduit immédiatement la surface d’exposition aux risques juridiques et cybersécurité les plus critiques.
C’est d’ailleurs l’approche que décrivent de nombreuses organisations qui ont déployé Whaller DONJON non pas en remplacement de leur SI existant, mais comme une couche souveraine dédiée aux échanges qui ne peuvent se permettre aucune compromission.
Ce que Whaller couvre
La transparence sur ce point est une condition de confiance.
Whaller est une Digital Workplace souveraine, conçue pour couvrir les usages de collaboration, de communication interne et de travail en équipe. Voici ce qu’elle couvre concrètement :
- Communication interne : fil d’actualités, sphères thématiques, sondages, événements, petites annonces, newsletter interne
- Messagerie d’équipe : discussions instantanées et asynchrones dans des espaces cloisonnés
- Visioconférence : réunions vidéo intégrées avec compte-rendu automatique généré par Whaller (IA)ssistant
- Gestion documentaire : stockage, partage et organisation des fichiers par sphère, avec Whaller Drive 2.0 et Whaller Signature (signature électronique eIDAS)
- Gestion de projet : Kanban des tâches, agenda partagé, suivi des responsabilités
- Intelligence artificielle intégrée : résumés de conversation, génération automatique de tâches, comptes-rendus de réunion, serveur MCP pour les automatisations avancées, newsletter…
- Suite bureautique : intégrée dans chaque box de sphère, la suite bureautique Whaller 365 permet à tous les membres du réseau de collaborer efficacement et en temps réel.
- Réseau étendu : extranet sécurisé pour les partenaires, fédérations ou prestataires via les sphères visiteurs
La qualification SecNumCloud : ce que ça change concrètement pour votre DSI
Pour les organisations soumises à des exigences de sécurité élevées, comme les administrations, collectivités, opérateurs d’importance vitale, établissements de santé, entreprises du secteur de la défense, la qualification SecNumCloud de l’ANSSI est le référentiel de sécurité le plus exigeant disponible en France pour les services cloud.
Whaller DONJON est la première et unique plateforme collaborative française à avoir obtenu la qualification SecNumCloud 3.2 de l’ANSSI par composition. Cette qualification couvre à la fois l’infrastructure (OVHcloud, qualifiée SecNumCloud au niveau IaaS) et le logiciel applicatif (Whaller DONJON, qualifié au niveau SaaS), sans zone grise entre les deux couches.
Concrètement, cela signifie pour un DSI ou un RSSI :
- Une réponse directe aux exigences des appels d’offres publics qui imposent la qualification SecNumCloud
- Une garantie d’immunité vis-à-vis des législations extraterritoriales, le Cloud Act américain en tête
- Un hébergement physiquement dédié par organisation, sans mutualisation des données
- Un chiffrement de bout en bout des communications et des documents
- Une journalisation complète des accès pour répondre aux exigences d’audit et de conformité
Pour les organisations qui n’ont pas besoin du niveau de sécurité de Whaller DONJON, les offres Business et Enterprise de Whaller offrent un niveau de maîtrise des données très supérieur aux plateformes américaines, à des conditions accessibles aux PME/ETI et aux collectivités de taille intermédiaire.
Par où commencer : trois étapes concrètes
Se lancer dans une réflexion de migration n’implique pas de tout changer demain. Voici les trois premières étapes qui permettent d’avancer avec méthode et sans risque.
1. Cartographier les flux d’information sensibles
Avant tout outil, il faut un diagnostic. Quels sont les échanges dans votre organisation qui comportent des informations stratégiques, confidentielles ou réglementairement sensibles ? Ces flux transitent-ils par Microsoft 365 ? Sous quelle forme ? Cette cartographie, menée conjointement par la DSI et le RSSI, est le préalable à toute décision éclairée. Elle s’appuie utilement sur le référentiel de l’Indice de Résilience Numérique (IRN), publié par l’association aDRI, qui permet aux organisations d’évaluer leur niveau de dépendance numérique.
2. Identifier un premier périmètre pilote
La migration progressive est la seule qui fonctionne réellement. Identifier un premier périmètre, une équipe de direction, un projet sensible, un département juridique et le déployer sur une solution souveraine, permet de valider l’adhésion des utilisateurs, d’affiner les processus et de mesurer les gains concrets avant d’élargir. Notre guide sur le déploiement d’une Digital Workplace détaille cette approche par étapes.
3. Évaluer les coûts réels de l’inaction
Le coût d’une migration est visible et facile à calculer, le coût de ne pas migrer l’est beaucoup moins : risque juridique en cas d’injonction Cloud Act, surcoût des licences Microsoft sur 3 à 5 ans, risque réglementaire en cas de non-conformité NIS2 ou DORA et risque de réputation en cas d’incident de sécurité sur des données sensibles. Notre article sur le ROI d’une communication interne souveraine propose un modèle de calcul multidimensionnel que les DAF et DSI peuvent adapter à leur contexte.
FAQ — Questions fréquentes sur la migration hors de Microsoft 365
Peut-on migrer progressivement sans tout basculer d’un coup ?
Oui, et c’est même l’approche recommandée. La stratégie de couches souveraines consiste à remplacer prioritairement les usages de collaboration et de communication interne sensibles. Whaller s’intègre à l’écosystème existant plutôt que de l’imposer en remplacement total.
Est-ce que Microsoft 365 Business Premium n’offre pas déjà un niveau de sécurité suffisant ?
Microsoft 365 Business Premium apporte des améliorations significatives sur la sécurité des postes de travail et la gestion des identités. En revanche, il ne règle pas la question juridique fondamentale du Cloud Act : l’entité qui opère le service reste soumise au droit américain, quelle que soit l’option de sécurité souscrite. Pour les données à caractère sensible ou stratégique, ce n’est pas un niveau de protection suffisant au regard des référentiels réglementaires français et européens.
Whaller remplace-t-il Teams pour les appels vidéo ?
Whaller intègre une fonctionnalité de visioconférence native dans ses sphères, avec génération automatique de compte-rendu par Whaller (IA)ssistant. Pour les organisations qui font un usage intensif de Teams spécifiquement pour les appels vidéo avec des interlocuteurs externes nombreux, une évaluation au cas par cas est recommandée.
Quel est le niveau de certification/qualification de Whaller ?
L’offre Whaller DONJON est qualifiée SecNumCloud 3.2 par l’ANSSI — la qualification la plus exigeante pour un service cloud en France, couvrant à la fois l’infrastructure et le logiciel. Les offres Business et Enterprise bénéficient d’un hébergement souverain chez OVHcloud en France, sans soumission aux législations extraterritoriales. Whaller est également en cours de certification « Numérique France Garanti »
Combien de temps dure un déploiement Whaller ?
Un déploiement pilote sur un périmètre ciblé peut être opérationnel en quelques jours. Un déploiement à l’échelle d’une organisation de taille intermédiaire (200 à 500 utilisateurs) se réalise généralement en 4 à 8 semaines, en incluant la configuration, la formation des administrateurs et l’accompagnement au changement.
Ressources pour aller plus loin
- Blog : Cloud Act et souveraineté numérique : ce que les organisations doivent savoir
- Blog : Whaller vs Microsoft Teams : la comparaison complète
- Blog : Whaller comme alternative à Slack : analyse fonctionnelle et souveraineté
- eBook : [eBook] Qualification SecNumCloud : comprendre les enjeux pour votre organisation
- Site : Whaller DONJON — plateforme collaborative SecNumCloud 3.2
- Site : Découvrir la Digital Workplace souveraine Whaller
📅 Inscrivez-vous gratuitement et découvrez Whaller I 👉 Demandez une démonstration I 📩 Besoin de conseils ? Contactez-nous !
0 commentaires