Pendant presque deux ans, le deal entre l’IA et ta boîte mail était simple : elle lisait, elle suggérait, et puis elle s’écartait. C’est toi qui cliquais sur « Envoyer ». Le dernier humain dans la boucle, à chaque fois, c’était toi.
Ça a changé discrètement le 7 juillet 2026. Le connecteur Microsoft 365 de Claude a récupéré ce qu’Anthropic appelle les write tools (les « outils d’écriture »). Et avec eux, Claude peut rédiger un email, l’envoyer, trier ta boîte de réception, poser ton absence du bureau, caler une réunion dans ton agenda et réécrire un fichier dans SharePoint. La même semaine, Claude Cowork est arrivé sur le web et sur mobile, et s’est mis à tourner en arrière-plan une fois ton ordi fermé.
Mets les deux bout à bout et tu obtiens un truc franchement nouveau : un logiciel qui bosse en ton nom pendant que tu regardes ailleurs.
Ça vaut le coup de comprendre avant d’activer quoi que ce soit.

Ce qui a vraiment changé le 7 juillet
Deux changements distincts sont tombés en même temps, et tout le monde les mélange.
Cowork est passé sur mobile. Cowork, c’est le mode « je te file une tâche entière et je me casse » de Claude. Jusqu’à cette semaine, il vivait sur ton bureau. Maintenant il tourne sur le web et dans les apps Claude pour iPhone et Android. Et surtout, les sessions continuent dans le cloud : la formule d’Anthropic, c’est « ferme le laptop et file à ta réunion, Claude continue ». Quand il tombe sur une décision qu’il ne peut pas prendre seul, la question arrive sur ton téléphone.
Le connecteur Microsoft 365 a appris à écrire. Avant, connecter Microsoft 365 permettait à Claude de chercher dans tes emails, tes fichiers, ton agenda et tes messages Teams. En lecture seule. Maintenant, si les write tools sont activés, il peut agir.
L’exemple de lancement d’Anthropic vaut qu’on s’y arrête :
« Programme la prépa client de lundi pour 6 h : Claude parcourt les fils d’emails, les transcriptions et l’actu récente, construit le doc de briefing, et laisse l’email de suivi rédigé mais non envoyé. »
Rédigé mais non envoyé. Garde ça en tête, on y revient.
Ce que Claude peut faire quand les write tools sont actifs
Le centre d’aide le dit noir sur blanc, et mieux vaut lire les mots exacts plutôt que les titres racoleurs.

En clair, ça fait quatre pouvoirs :
- Email : rédiger, envoyer et organiser tes messages. Ça inclut les catégories, les règles de tri et les réponses automatiques.
- Agenda : créer, modifier et supprimer des événements.
- Fichiers : créer et mettre à jour des documents dans OneDrive et SharePoint.
- Réglages de la boîte mail : la couche ménage que personne ne touche jamais.
Sous le capot, ça correspond à des permissions Microsoft Graph avec des noms comme Mail.Send, Calendars.ReadWrite et Files.ReadWrite.All. Tu ne taperas jamais ça. Mais le jour où tu demandes à ton service info « on a accepté quoi, exactement ? », ce sont les mots sur le formulaire.
Et ce qu’il ne peut pas faire
Quatre limites dures, toutes documentées :
- Aucune pièce jointe. Claude ne peut pas envoyer, transférer, ni même rédiger un email avec un fichier joint. C’est rejeté d’office.
- Aucun message Teams. Il lit tes messages Teams. Il ne peut pas en écrire un.
- Aucune liste blanche SharePoint. Tu ne peux pas le pointer uniquement vers les sites sûrs : il cherche partout où toi, personnellement, tu as accès.
- Aucun dépassement de tes propres droits. Claude se connecte en tant que toi. Si tu ne peux pas ouvrir le dossier finance, Claude non plus.
Ce dernier point est le fait le plus rassurant du lot, et il faut le dire clairement. Claude n’a pas son propre compte aux super-pouvoirs. Il emprunte le tien. La formule d’Anthropic : il « ne peut accéder qu’aux données que l’utilisateur a déjà le droit de voir ».
Tu ne peux sans doute pas l’activer toi-même
Ça en a surpris plus d’un, vu les questions qui s’accumulent sous les annonces.
Les write tools demandent deux choses, et aucune n’est un bouton que tu contrôles :
- Un administrateur Microsoft Entra (ton DSI, ton service info) doit consentir aux permissions élargies pour toute l’organisation.
- Ensuite, quelqu’un doit activer les write tools pour ton compte à toi, spécifiquement.
Si tu as connecté Microsoft 365 avant ce lancement, les write tools sont désactivés par défaut. Tu verras le connecteur marcher exactement comme avant, en lecture seule, et tu auras beau cliquer, rien ne bougera. La solution n’est pas dans tes réglages. C’est un mail à envoyer à l’info.
Pour un compte Microsoft personnel, toute cette section saute : c’est toi, l’admin.
La vraie question sécurité, celle que tout le monde se pose
Descends dans les réponses sous l’annonce d’Anthropic et une question revient, formulée de dix façons : est-ce qu’il peut envoyer un email sans me demander ?
Voici la réponse honnête, et elle est plus intéressante qu’un oui ou un non.
Il existe deux produits Claude-plus-Microsoft différents, et ils n’ont pas le même modèle de sécurité.
Mail.SendClaude pour Outlook (le module qui vit dans ta fenêtre Outlook) est explicite et rassurant. La doc dit : « Claude n’envoie jamais de mail ni d’invitation de lui-même ; chaque brouillon arrive non envoyé, pour que tu le relises. »
Les write tools du connecteur Microsoft 365 ne font aucune promesse de ce genre. La permission accordée s’appelle littéralement Mail.Send. Nulle part dans la doc il n’y a une étape garantie du type « tu es sûr ? » avant qu’un message quitte ta boîte.
L’exemple de lancement d’Anthropic laisse l’email de suivi rédigé mais non envoyé, ce qui te dit comment ils s’attendent à ce que tu t’en serves. Ça ne te dit pas que le logiciel t’arrêtera.
Donc ne pars pas du principe qu’il y a un filet que tu n’as pas testé toi-même. Si tu veux des brouillons uniquement, dis-le dans la tâche : rédige-le dans mes brouillons Outlook, ne l’envoie pas. Et va quand même vérifier le dossier « Envoyés », les premières fois.
Les garde-fous qui existent vraiment
Trois, et ils sont réels :
- Chaque email envoyé par Claude porte un en-tête d’attribution qui l’identifie comme initié par un agent. Ton destinataire peut voir qu’une machine l’a écrit. Tu ne peux pas le désactiver.
- Les pièces jointes sont bloquées, ce qui ferme au passage le moyen le plus simple pour une IA de faire fuiter un document hors de ta boîte.
- Des limites par utilisateur plafonnent le nombre d’écritures, d’envois et de destinataires possibles : une session piratée ne peut pas arroser tout ton carnet d’adresses.
Note ce qui n’est pas couvert. Les modifs de fichiers et d’agenda ne portent pas ce marqueur « initié par un agent ». Si Claude édite un document SharePoint, la modif a juste l’air de venir de toi.
Le risque que personne ne met dans la pub
Les chercheurs en sécurité ont un nom pour la situation que tu crées en donnant à une IA trois choses d’un coup : l’accès à des données privées, l’exposition à du contenu non fiable, et la capacité d’envoyer des trucs vers l’extérieur. Simon Willison appelle ça le triangle mortel (la « lethal trifecta »). Une IA avec ta boîte mail ouverte coche les trois cases en même temps, parce qu’un email entrant est un contenu non fiable : n’importe qui peut t’en envoyer un.
Et ce n’est pas théorique. En 2025, des chercheurs ont démontré EchoLeak (CVE-2025-32711, gravité 9,3 sur 10) contre Microsoft 365 Copilot : un attaquant a envoyé un email d’apparence banale avec des instructions cachées dedans, et Copilot les a suivies et a exfiltré des données. La victime n’a rien cliqué. Rien du tout.
En France, ce risque n’est pas resté un débat de labo. Le CERT-FR, le bras de l’ANSSI chargé de la réponse aux incidents, a publié le 13 avril 2026 un bulletin (référence CERTFR-2026-ACT-016) qui nomme explicitement Claude Cowork et OpenClaw. Le mot est fort :
« Les produits d’automatisation de tâches bureautiques par IA agentique n’étant pas encore éprouvés et pour la plupart en version beta, ils ne doivent en aucun cas être déployés en environnements de production. »
Traduction pour ta boîte : l’agence de cybersécurité de l’État te dit de garder ces outils hors de la prod, réservés à des environnements de test isolés sans données sensibles, et avec validation du DSI ou du RSSI. Parmi les six risques listés, celui de l’injection de prompt est décrit comme « le plus difficile à contrer ».
Et il y a la couche RGPD, que le CERT-FR n’a pas inventée. Un agent qui lit tes emails et ton agenda touche à des données personnelles : dès qu’il y a un traitement à risque élevé, la CNIL attend une analyse d’impact (AIPD) et des mesures de sécurité au sens de l’article 32. Bref, ce n’est pas « je teste un gadget », c’est « je mets un nouveau traitement de données perso en route ».
Je ne dis pas de ne pas l’utiliser. Je dis que le modèle mental « c’est juste une autocomplétion un peu plus maligne » cesse d’être vrai à la seconde où Mail.Send est activé.
Ce que ça veut dire pour toi
Si tu es un salarié de bureau sur un compte Microsoft 365 d’entreprise : tu ne pourras quasi sûrement pas activer ça aujourd’hui, et c’est très bien. Commence par le connecteur en lecture seule (« résume-moi ce fil », « on a décidé quoi à la réunion de mardi ? ») et vois à quel point il comprend ta boîte avant de militer pour le droit d’envoi.
Si tu es assistant(e) de direction ou au support ops, à vivre dans Outlook : c’est la version de l’IA qui colle enfin à ton vrai métier, qui n’a jamais été « écris-moi un paragraphe ». Demande les write tools à l’info, puis fais-le tourner en mode brouillon seul pendant une quinzaine de jours. Les outils d’agenda à eux seuls (créer, déplacer, annuler) te feront gagner plus de temps que l’email.
Si tu es consultant indépendant ou freelance avec un compte Microsoft perso : tu es la seule personne qui peut activer ça cet après-midi. Ce qui veut dire que tu es aussi la seule personne sans personne pour t’arrêter. Brouillon seul, tout relire, plus longtemps que tu ne le penses.
Si tu es le DSI à qui on demande de consentir : le modèle de permissions déléguées est franchement solide (Claude ne peut pas dépasser les droits d’un utilisateur, les envois sont attribués, les pièces jointes bloquées). Ce que tu acceptes réellement, c’est l’exposition à l’injection de prompt via les mails entrants. Active les write tools pour un petit groupe pilote d’abord, pas pour tout le tenant, et garde le bulletin du CERT-FR sous le coude quand tu documentes la décision.
Un dernier angle, très français : le droit à la déconnexion. Une IA qui prépare la prépa client à 6 h ou qui traite des tâches pendant que tu dors, ça pose une question que le droit du travail n’a pas encore vraiment tranchée. Tant que le salarié n’est pas sollicité hors de ses horaires, la déconnexion tient. Mais un agent qui produit du travail en ton nom la nuit, c’est un terrain nouveau, et ça mérite une ligne dans ta charte avant d’être une surprise.
Ce que ça ne réglera pas
- Ça ne comprendra pas ta politique interne. Claude peut rédiger l’email qui met fin à une relation client. Il n’a aucune idée qu’il ne devrait pas.
- Ça ne saura pas ce qui est confidentiel. Il a tes permissions, et une permission est un outil grossier. Avoir accès à un dossier, ce n’est pas avoir du bon sens sur ce dossier.
- Ça ne t’empêchera pas d’industrialiser une bourde. Un mauvais modèle envoyé une fois, c’est gênant. Programmé chaque lundi à 6 h, c’est une politique d’entreprise.
- Ça ne couvrira pas les pièces jointes. Le truc que tu veux le plus envoyer (le rapport, la facture, le deck) est précisément celui que les write tools refusent de toucher.
- Ça ne sera pas pareil sur ton téléphone. Le Cowork de bureau atteint tes fichiers locaux et ton navigateur. Les versions mobile et web, non. Même nom, moins de portée.
En résumé
Le truc intéressant du 7 juillet, ce n’est pas que Claude ait eu une app mobile. C’est que le dernier point de contrôle humain (toi, qui cliques sur Envoyer) est devenu optionnel dans l’une des deux façons dont Claude touche à Outlook, et est resté obligatoire dans l’autre. Presque personne n’a remarqué laquelle est laquelle.
Sur X, d’ailleurs, les retours francophones se divisent pile là-dessus : d’un côté l’enthousiasme des créateurs de contenu tech (« Claude continue quand l’ordi est éteint »), de l’autre la méfiance très nette des profils cybersécurité, qui pointent l’exposition OAuth et font écho, mot pour mot, à l’alerte de l’ANSSI.
Si tu ne retiens qu’une chose : découvre si ta config, c’est le module ou le connecteur, et ne pars jamais du principe que l’étape de relecture est là parce que la vidéo de démo la montrait.
Commence en lecture seule. Passe aux brouillons. Donne le droit d’envoi en dernier, si jamais.
Envie de la version guidée de tout ça (ce qu’est un agent IA, comment lui confier une tâche proprement) ? Notre cours Créer des Agents IA part de zéro. Le cours L’IA pour les Assistantes de Direction est le meilleur point de départ si ton métier, c’est justement l’agenda et la boîte mail, et IA et confidentialité t’aide à savoir ce qu’il ne faut jamais laisser un agent toucher.
À lire aussi : Claude pour Outlook : trier 200 emails en 10 minutes, Claude Cowork : le guide pour lui confier une tâche et C’est quoi, un agent IA ? si le mot « agent » fait encore beaucoup de travail non expliqué dans ta tête.
Sources
- Claude Cowork sur le web et le mobile — Anthropic
- Se connecter à Microsoft 365 — Centre d’aide Claude
- Configurer le connecteur Microsoft 365 — Centre d’aide Claude
- Utiliser Claude pour Outlook — Centre d’aide Claude
- CERTFR-2026-ACT-016 : risques des produits d’automatisation par IA agentique — CERT-FR / ANSSI
- CERT-FR : les agents IA autonomes sont-ils dangereux pour ton entreprise ? — Treelink
- DPO, DSI, directions juridiques : ce que la CNIL va demander en 2026 sur l’IA et le RGPD — L’Usine Digitale
- Anthropic amène Claude Cowork sur mobile et web — VentureBeat