En bref
Non, Microsoft ne sauvegarde pas vos données Microsoft 365. C’est l’une des idées reçues les plus dangereuses en informatique d’entreprise. Microsoft fonctionne selon un « modèle de responsabilité partagée » : il garantit la disponibilité de la plateforme, mais la protection de vos données vous incombe. Les corbeilles et politiques de rétention natives (14 à 93 jours selon les services) ne sont pas des sauvegardes : elles sont temporaires, limitées et peuvent être vidées par un ransomware ou un employé malveillant.
- Microsoft l’écrit noir sur blanc dans son contrat de service : sauvegardez vos données avec des applications tierces.
- La corbeille Exchange conserve les éléments 14 à 30 jours ; celle de SharePoint et OneDrive, 93 jours. Ensuite, la donnée est supprimée définitivement.
- La redondance géographique protège contre une panne de datacenter, pas contre une suppression ou un chiffrement.
- L’erreur humaine est la première cause de perte de données ; le ransomware, qui vide les corbeilles en premier, est la seconde.
- La bonne réponse : une sauvegarde tierce indépendante, immuable et hors plateforme, avec restauration à un instant T.
L’idée reçue qui coûte cher : « c’est dans le cloud, donc c’est sauvegardé »
La plupart des entreprises qui utilisent Microsoft 365 partent du principe que leurs données sont entièrement protégées par Microsoft. C’est l’un des malentendus les plus répandus — et les plus risqués — de l’informatique en cloud.
La réalité : Microsoft opère selon un modèle de responsabilité partagée, et la protection de vos données réelles relève de votre responsabilité, pas de la sienne. Si un collaborateur supprime définitivement une bibliothèque SharePoint critique, si un ransomware chiffre vos boîtes Exchange, ou si un employé sur le départ efface son OneDrive, Microsoft n’a aucune obligation de récupérer ces données pour vous.
Ce n’est pas un manque de fiabilité de la plateforme. C’est simplement que disponibilité et récupérabilité sont deux choses fondamentalement différentes. Microsoft garantit la première ; la seconde vous appartient.
Qu’est-ce que le modèle de responsabilité partagée ?
Le modèle de responsabilité partagée signifie que Microsoft gère l’infrastructure et la disponibilité de la plateforme, tandis que le client est responsable de la protection de ses données à l’intérieur de celle-ci. Concrètement, la frontière se répartit ainsi :
| Microsoft est responsable de… | Vous êtes responsable de… |
|---|---|
| L’infrastructure physique et logique | La sauvegarde et la restauration de vos données |
| La disponibilité du service (uptime) | La gestion des identités et des accès (MFA, accès conditionnel) |
| La redondance entre datacenters | La configuration de la conformité et de la rétention |
| Les certifications de la plateforme | La gouvernance du partage externe et la sécurité des terminaux |
Cette répartition couvre les cinq charges de travail de Microsoft 365 : Exchange (email), SharePoint (sites et documents), OneDrive (fichiers personnels), Teams (conversations et fichiers) et Entra ID (identités). Teams et Entra ID sont d’ailleurs les plus souvent oubliés dans les stratégies de protection.
Le plus révélateur : Microsoft le recommande lui-même. Le contrat de service Microsoft indique explicitement de sauvegarder régulièrement votre contenu à l’aide d’applications et services tiers.
Ce que Microsoft conserve vraiment (et combien de temps)
Microsoft 365 inclut des fonctions de rétention natives, mais elles sont limitées en portée et en durée. Voici les fenêtres réelles avant suppression définitive :
Durée de rétention native avant suppression définitive
Nombre de jours de conservation dans la corbeille, par service
Au-delà de ces fenêtres, la donnée est purgée définitivement — y compris pour le support Microsoft.
La corbeille est un filet de sécurité à court terme pour les « oups, j’ai supprimé par erreur » récents. Ce n’est pas une sauvegarde. Lors du départ d’un collaborateur, les données de boîte mail sont supprimées après 30 jours, et les données OneDrive conservées 30 jours par défaut pour l’administrateur.
Pourquoi la rétention native n’est PAS une sauvegarde
1. La rétention est temporaire ; la sauvegarde est durable
Après expiration de la fenêtre (14 à 93 jours), Microsoft efface le contenu de ses systèmes. Une sauvegarde crée des copies indépendantes, conservables sur des années, restaurables à un instant précis.
2. La réplication n’est pas une sauvegarde
La redondance géographique de Microsoft protège contre la défaillance d’un datacenter. Mais une donnée supprimée ou corrompue est répliquée comme supprimée ou corrompue dans toutes les copies, en quelques minutes. La redondance ne vous protège ni de l’erreur humaine, ni du ransomware, ni d’une mauvaise configuration.
3. La corbeille peut être vidée
Elle peut l’être accidentellement… ou intentionnellement. Lors d’une attaque par ransomware, vider les corbeilles est l’une des premières actions des attaquants. Un employé malveillant qui « double-supprime » le contenu élimine tout recours natif.
Les 4 scénarios que Microsoft ne couvre pas
La suppression accidentelle
Le scénario le plus fréquent. Un utilisateur supprime une boîte, un site ou un dossier sans mesurer les conséquences. Tout ce qui sort de la fenêtre de rétention est perdu. L’erreur humaine reste le premier facteur des incidents de données.
Le ransomware
Il se propage via la synchronisation OneDrive et SharePoint et peut épuiser l’historique des versions. La rétention préserve alors la version chiffrée. Seule une sauvegarde permet de revenir à un point sain, non chiffré.
Le départ d’un employé
Retrait de licence, compte supprimé : les données disparaissent selon des fenêtres courtes. Sans processus d’offboarding rigoureux ni sauvegarde, le savoir de l’entreprise part avec le collaborateur.
La mauvaise configuration
Les politiques de rétention sont complexes. Un conflit de règles ou une purge involontaire peut effacer des données nécessaires à un audit de conformité — et ce sera votre problème, pas celui de Microsoft.
Ce que vous risquez concrètement
Un collaborateur perd une semaine d’emails supprimés et doit reconstruire ses échanges à la main.
Une bibliothèque de documents de projet est supprimée par erreur et découverte après la fenêtre de 93 jours — définitivement perdue.
Un ransomware chiffre les boîtes Exchange et les fichiers synchronisés, sans point de restauration propre. L’activité s’arrête, chaque minute d’indisponibilité coûte cher.
En Belgique, certaines obligations (RGPD, exigences sectorielles, NIS2) imposent des durées de conservation que les réglages Microsoft par défaut ne couvrent pas.
La solution : une vraie stratégie de sauvegarde
La bonne pratique de référence est la règle 3-2-1 : trois copies de vos données, sur deux types de supports différents, dont une copie hors site — dans le cas du cloud, sur un autre cloud que celui de vos données primaires.
Une solution de sauvegarde Microsoft 365 adaptée à une PME doit offrir :
- Une couverture complète des cinq charges de travail : Exchange, SharePoint, OneDrive, Teams et Entra ID.
- Un stockage indépendant et immuable (hors plateforme Microsoft), à l’abri d’un chiffrement par ransomware.
- Une restauration granulaire et à un instant T : d’un simple email jusqu’au tenant entier.
- Une rétention longue durée, configurable selon vos obligations réglementaires.
- Des tests de restauration réguliers : une sauvegarde ne vaut que par sa capacité à être restaurée.
Bon à savoir : Microsoft a lancé son propre produit « Microsoft 365 Backup ». En 2026, il ne couvre encore qu’une partie des charges de travail et présente des limites notables de rétention et de granularité par rapport aux solutions tierces spécialisées. Il ne remplit pas, à lui seul, votre part du modèle de responsabilité partagée.
Comment GVISION protège vos données Microsoft 365
Chez GVISION, nous déployons pour les PME bruxelloises et belges des solutions de sauvegarde Microsoft 365 indépendantes, couvrant l’ensemble de vos charges de travail, avec stockage immuable et restauration granulaire. Nous configurons, supervisons et testons régulièrement les restaurations — pour que le jour où vous en aurez besoin, ça fonctionne vraiment.
Au-delà de l’outil, nous vous aidons à définir la stratégie adaptée à votre taille, votre secteur et vos obligations de conformité : ce qu’il faut sauvegarder, combien de temps le conserver, et à quelle vitesse vous devez pouvoir restaurer.
Vos données Microsoft 365 sont-elles vraiment sauvegardées ?
Profitez de notre audit gratuit : nous vérifions votre exposition réelle et vous proposons une feuille de route claire, sans jargon et sans engagement.
Demander mon audit gratuit Nous contacterFAQ — Sauvegarde Microsoft 365
Microsoft sauvegarde-t-il mes données Microsoft 365 ?
La rétention Microsoft 365 est-elle la même chose qu’une sauvegarde ?
Combien de temps Microsoft conserve-t-il les emails et fichiers supprimés ?
La corbeille ou l’historique des versions protègent-ils du ransomware ?
Ai-je besoin d’une sauvegarde si j’ai déjà Microsoft 365 Backup de Microsoft ?
Quelle est la première cause de perte de données dans Microsoft 365 ?
Cet article a une vocation informative. Les fenêtres de rétention et fonctionnalités Microsoft 365 évoluent ; les informations reflètent l’état de la plateforme en 2026. Sources : documentation et contrat de service Microsoft, modèle de responsabilité partagée Microsoft 365. Pour une évaluation de votre situation, contactez nos experts.



