Microsoft Forms est-il chiffré ?

C'est une question légitime et fréquente, qui mérite une réponse précise plutôt qu'un slogan marketing : Microsoft Forms est-il chiffré ? La réponse honnête est oui — avec un astérisque important. Microsoft Forms chiffre bien vos données selon les critères que la plupart des gens ont en tête en posant la question. Ce qu'il ne fait pas, c'est le chiffrement de bout en bout, et ce seul fait architectural décide qui, en fin de compte, peut lire les réponses que vos formulaires collectent.

Cet article détaille ce que Microsoft Forms chiffre réellement, qui peut voir les réponses malgré ce chiffrement, où les données résident physiquement, comment cela s'intègre à un programme RGPD, et les situations précises où le chiffrement fourni par Microsoft n'est pas celui dont vous avez besoin. Nous avons un intérêt en jeu — nous éditons un produit concurrent — et nous avons donc cherché à rendre pleinement justice à Microsoft là où c'est mérité. Le facteur différenciant sur lequel nous reviendrons sans cesse n'est pas si les données sont chiffrées, mais qui détient les clés.

Microsoft Forms est-il chiffré ?

Oui. Microsoft Forms chiffre les données en transit via TLS et chiffre les données au repos dans les datacentres Microsoft 365. C'est une sécurité réelle, normalisée, et un défaut sain — vos réponses ne circulent ni ne reposent en clair. La nuance porte sur ce que ces deux protections couvrent et ne couvrent pas.

Chiffrement en transit

Quand un répondant remplit un Microsoft Form, la connexion entre son navigateur et les serveurs de Microsoft est protégée par TLS — le même chiffrement de transport qui sécurise la banque en ligne. Personne entre le répondant et Microsoft ne peut lire ou altérer la soumission en chemin. C'est la partie du « chiffrement » que la plupart des gens imaginent, et Microsoft la fait correctement.

Chiffrement au repos

Une fois qu'une réponse atterrit dans Microsoft 365, elle est stockée chiffrée au repos. Au niveau matériel, cela protège contre le vol physique d'un disque dans un datacentre Microsoft. Certains plans Microsoft 365 permettent aussi d'ajouter Customer Key, où le client fournit une clé racine. C'est un contrôle utile — mais il déplace qui gère les clés sans supprimer la capacité de Microsoft à traiter les données. Le service déchiffre toujours les réponses pour les afficher, les indexer et faire tourner ses fonctionnalités.

Ce que le chiffrement en transit et au repos ne signifie pas

Ces deux protections sont côté serveur. TLS se termine aux serveurs de Microsoft ; les données sont alors en clair dans le service, traitées en clair, puis re-chiffrées pour le stockage. Le chiffrement au repos protège contre le vol de disque, pas contre les systèmes en activité de Microsoft, pas contre un administrateur de tenant, et pas contre quiconque partage le formulaire. Autrement dit : Microsoft Forms est chiffré, mais Microsoft — et des personnes dans votre organisation — peuvent toujours lire les réponses. C'est voulu, et pour bien des usages, c'est exactement ce que vous voulez.

Qui peut voir vos réponses Microsoft Forms ?

Plus de personnes que beaucoup de propriétaires de formulaires ne le supposent. Dans le modèle Microsoft Forms, les réponses sont délibérément conçues pour être accessibles au sein de votre organisation — cette accessibilité est une fonctionnalité, pas un défaut. La liste de ceux qui peuvent techniquement lire une réponse inclut le propriétaire du formulaire, toute personne avec qui il partage ou co-crée, les membres des formulaires de groupe et vos administrateurs de tenant, avec Microsoft elle-même comme sous-traitant en dessous.

• Le propriétaire du formulaire — le compte qui a créé le formulaire voit chaque réponse en clair, comme attendu
• Les co-auteurs et personnes avec qui le formulaire est partagé — partager un formulaire pour collaborer ou partager un classeur de réponses accorde à ces personnes un accès en lecture aux données
• Les formulaires de groupe — un formulaire détenu par un groupe Microsoft 365 est accessible à chaque membre de ce groupe, ce qui peut être un ensemble de personnes plus large et plus fluide que ce que le créateur prévoyait
• Les administrateurs de tenant et globaux — les administrateurs Microsoft 365 peuvent gérer les données Forms et, via les outils d'administration et de conformité, y accéder à l'échelle de l'organisation
• Microsoft comme sous-traitant — les services de Microsoft traitent les réponses en clair pour les afficher, les stocker et faire tourner les fonctionnalités, et Microsoft peut être contraint de produire des données déchiffrables sous une injonction valide

Point crucial : cette accessibilité est intentionnelle. Microsoft 365 est livré avec des outils d'eDiscovery, d'audit et de conformité (Microsoft Purview) précisément pour qu'une organisation puisse rechercher, conserver et produire du contenu — y compris les réponses Forms — à des fins juridiques et de gouvernance. Une plateforme construite pour permettre à votre équipe conformité de découvrir le contenu est, par définition, une plateforme où ce contenu est découvrable. Pour des sondages internes, c'est souhaitable. Pour une ligne de lanceur d'alerte, c'est l'inverse de ce dont vous avez besoin.

Où Microsoft Forms stocke-t-il les données ?

Microsoft Forms stocke les données de réponse dans les datacentres Microsoft 365, dans une région qui suit la configuration de votre tenant. Pour les clients européens, la frontière des données de l'UE (EU Data Boundary) maintient la plupart des données de service Microsoft 365 dans les régions UE/AELE. Le Forms grand public gratuit (un compte Microsoft personnel) est régi différemment du Forms professionnel ou scolaire sur un tenant géré.

Microsoft a beaucoup investi dans la résidence régionale des données, et la frontière des données de l'UE est une véritable amélioration — la résidence au niveau disque en Europe est réelle et significative. Mais la résidence des données concerne où se trouvent les octets, pas à quel système juridique le fournisseur répond. Microsoft Corporation est une entreprise dont le siège est aux États-Unis, et le droit américain — y compris le CLOUD Act — peut atteindre des données détenues par des fournisseurs américains quel que soit l'emplacement physique des serveurs. Microsoft a résisté à des requêtes excessives devant les tribunaux et publie des rapports de transparence détaillés, c'est donc un point calme et factuel plutôt qu'une accusation : un fournisseur américain exploitant un datacentre européen est dans une position juridique structurellement différente d'un fournisseur suisse opérant uniquement sous le droit suisse.

Microsoft Forms est-il conforme au RGPD ?

Microsoft Forms peut être utilisé de manière conforme au RGPD : via l'accord de traitement des données (DPA) Microsoft 365, les clauses contractuelles types et le large programme de conformité de Microsoft (certifications ISO et SOC, engagements RGPD documentés), l'outil prend en charge un traitement licite. « Conforme au RGPD » n'est pourtant pas une propriété qu'un outil de formulaire possède à lui seul — c'est quelque chose que vous obtenez par la façon dont vous le déployez, et vos devoirs de responsable de traitement restent entièrement les vôtres.

Le programme de conformité de Microsoft est solide et doit être reconnu clairement : un DPA robuste, des CCT pour les transferts, des certifications reconnues et une documentation claire du traitement des données. Pour énormément d'activités de traitement, c'est largement suffisant. La critique honnête de Microsoft Forms n'est pas que Microsoft serait négligent — c'est l'architecture d'accès. Parce que Microsoft et vos administrateurs peuvent lire les réponses, les données personnelles qu'elles contiennent sont traitées par un sous-traitant de juridiction américaine capable d'y accéder techniquement. Cela ne viole pas le RGPD, mais cela façonne vos obligations.

• Les devoirs de responsable restent les vôtres : base légale, transparence envers les répondants, droits des personnes, conservation et minimisation relèvent de vous, pas de Microsoft
• L'analyse de transfert s'applique toujours : même avec la frontière des données de l'UE, la juridiction américaine du fournisseur fait partie d'une analyse d'impact de transfert honnête
• Les données de catégorie particulière (article 9 — santé, etc.) relèvent la barre, et un sous-traitant capable de lire les données est un facteur à peser
• Les comptes grand public vs pro/scolaire diffèrent : le Forms personnel gratuit n'est pas régi par les accords de tenant de votre organisation et ne devrait pas servir pour des données personnelles organisationnelles

Microsoft Forms vs un outil de formulaire chiffré de bout en bout

La façon la plus claire de voir la différence est de confronter les deux outils aux mêmes menaces. Le chiffrement transit-et-repos de Microsoft Forms défend bien contre certaines, et, par conception, pas du tout contre d'autres. Un outil chiffré de bout en bout — où les soumissions sont chiffrées dans le navigateur du répondant et où le fournisseur ne stocke jamais que du chiffré — déplace la ligne exactement sur les menaces qui impliquent le fournisseur et les personnes pouvant accéder au tenant.

Lisez attentivement les trois lignes du milieu — elles résument tout. Microsoft Forms est excellent contre l'attaquant réseau et raisonnable contre le vol occasionnel de disque. Il est, par conception, pleinement accessible au fournisseur, aux administrateurs et à la procédure légale contraignante. Un outil E2EE inverse ces trois lignes : le fournisseur ne détient aucune clé, donc le personnel, une violation, les admins et les injonctions se heurtent tous à du chiffré. Le compromis : les outils E2EE ne peuvent pas offrir de fonctionnalités côté fournisseur qui exigent de lire les données (recherche serveur dans les réponses, correction automatique côté serveur, analytics approfondie de classeur) — c'est exactement pourquoi les deux modèles existent.

Quand Microsoft Forms est le bon outil

Souvent. Pour une grande part des formulaires quotidiens, Microsoft Forms n'est pas seulement adéquat, c'est le choix intelligent — surtout si votre organisation tourne déjà sur Microsoft 365 et que les données ne sont tout simplement pas sensibles. Sortir la cryptographie à connaissance nulle ici serait disproportionné.

• Sondages internes, rétrospectives d'équipe et consultations générales où les réponses sont censées être visibles dans l'organisation
• Quiz et évaluations de formation, où la correction automatique de Microsoft est une fonctionnalité serveur réellement forte
• RSVP d'événements, feuilles d'inscription et enregistrements légers sans contenu sensible
• Retours et enquêtes de satisfaction peu sensibles de personnes dans votre tenant
• Flux qui bénéficient d'une intégration approfondie avec Excel, Teams, SharePoint et Power Automate
• Tout cas où vous acceptez que les administrateurs de tenant et Microsoft, comme sous-traitant, puissent lire les données

Si votre réponse honnête à « cela poserait-il problème qu'un administrateur ou Microsoft puisse lire ces réponses ? » est « non », alors le chiffrement de Microsoft Forms est exactement la bonne dose de chiffrement. La commodité, l'intégration et le coût marginal nul au sein de M365 sont de vrais avantages, et aucune bonne pratique de sécurité ne dit que vous devriez payer pour plus de protection que les données n'en justifient.

Quand vous avez besoin de plus

Le tableau change dès que le formulaire collecte des données où la mauvaise personne qui les lit cause un préjudice réel. Dans ces cas, la propriété même qui rend Microsoft Forms pratique — que les données sont lisibles au sein de votre organisation et par le fournisseur — est celle qui le disqualifie. « L'admin peut le lire » n'est pas un bug ici ; c'est un choix de conception qui anéantit le cas d'usage par nature.

• Enquêtes RH et griefs — où la personne mise en cause pourrait être, ou gérer, un administrateur de tenant
• Signalements de lanceurs d'alerte et d'éthique — où la sécurité du déclarant dépend du fait qu'aucun initié ne puisse l'identifier
• Données de santé et de patients — données de catégorie particulière où la lisibilité par le sous-traitant est un risque substantiel
• Admission de clients juridiques et divulgations confidentielles — informations protégées qui ne devraient pas être découvrables au sein d'un service informatique
• KYC financier, numéros d'identification et coordonnées de compte — données à fort impact, attrayantes pour les menaces externes comme internes
• Affaires de conseil d'administration, de fusions-acquisitions et de stratégie confidentielle — où l'audience doit être étroitement bornée, pas tout le tenant
• Collecte confidentielle externe — patients, clients, sources et candidats qui ne sont pas dans votre tenant et ne devraient pas avoir à lui faire confiance

L'alternative à connaissance nulle

Schweizerform est construit précisément pour les formulaires qui se trouvent de l'autre côté de cette ligne. L'architecture part d'une seule décision : chaque soumission est chiffrée dans le navigateur du répondant avant même d'atteindre nos serveurs, et nous ne stockons jamais que du chiffré. Nous ne sommes pas un sous-traitant qui promet de ne pas regarder — nous sommes un sous-traitant qui ne peut pas regarder.

• Chiffrement de bout en bout à connaissance nulle : les soumissions, y compris les pièces jointes, sont chiffrées dans le navigateur avec AES-256-GCM ; la clé par soumission est enveloppée avec la clé publique RSA-OAEP-2048 du formulaire, et la chaîne de clés est protégée par le code d'accès du propriétaire (PBKDF2, 100 000 itérations)
• Le fournisseur ne peut pas lire les réponses : nos serveurs ne reçoivent que du chiffré, donc le personnel, une violation ou une injonction n'obtiennent rien de lisible — même sous citation à comparaître
• Hébergement suisse de bout en bout : serveurs, MySQL, stockage compatible S3 et e-mail tournent chez Infomaniak en Suisse, sans fournisseur américain ou européen dans le chemin des données
• Front-end propre : aucun JavaScript tiers, aucun traceur, analytics first-party uniquement — la page de soumission ne fuite de champs à personne
• Conçu pour le travail : 25 types de questions dont les téléversements de fichiers chiffrés (25 Mo par fichier), la protection par mot de passe, la planification, et des formulaires publics entièrement multilingues en EN, DE, FR et IT — avec une tarification en CHF et un plan gratuit doté du même chiffrement que chaque palier payant

Pour être précis sur la portée : Schweizerform est conçu autour du nLPD suisse et d'un traitement aligné sur le RGPD. Il n'est pas certifié HIPAA et nous n'offrons pas de BAA, donc les entités de santé américaines ayant cette exigence spécifique doivent en tenir compte. Et c'est un outil d'une forme différente de Microsoft Forms — il ne cherche pas à remplacer la correction automatique d'Excel ou les flux Power Automate, car ces fonctionnalités exigent que le serveur lise les données, ce qui est précisément la seule chose à laquelle nous avons délibérément renoncé.

Si vous voulez le face-à-face en pleine profondeur — fonctionnalités, juridiction, modèle tarifaire et étapes de migration — il existe sur ce site une comparaison dédiée Schweizerform vs Microsoft Forms qui va plus loin que cet article ne le peut. La version courte est celle autour de laquelle tout ce texte tourne : gardez Microsoft Forms pour ce en quoi il est réellement bon, et utilisez un outil à connaissance nulle pour les formulaires où la réponse à « qui peut lire ceci ? » doit être « moi seul ».

En résumé

Microsoft Forms est-il chiffré ? Oui — en transit et au repos, avec compétence, et cette base surpasse réellement l'alternative de données non protégées. Pour les sondages internes, les quiz, les RSVP et les données peu sensibles au sein d'une organisation M365, ce chiffrement est la bonne dose et Microsoft Forms est une réponse tout à fait valable.

La question qui compte vraiment pour les données sensibles n'est pas si les données sont chiffrées, mais qui détient les clés. Dans Microsoft Forms, Microsoft les détient et vos administrateurs peuvent lire les réponses — par conception, au service d'une gouvernance d'entreprise légitime. Quand cette lisibilité devient un risque plutôt qu'une fonctionnalité — RH, santé, juridique, lanceur d'alerte, finance, collecte confidentielle externe — il vous faut le chiffrement de bout en bout, où aucun fournisseur ni aucun admin ne peut lire ce que vos répondants soumettent. C'est toute la différence, dite clairement.