Shadow AI : vos collaborateurs utilisent l'IA sans vous le dire
Le Shadow AI désigne l'usage d'outils d'intelligence artificielle par des collaborateurs en dehors de tout cadre approuvé par leur organisation. C'est l'équivalent du Shadow IT des années 2010, mais avec un potentiel de fuite de données et de non-conformité RGPD beaucoup plus élevé. Selon des études récentes, 78 % des employés utilisent des outils IA non approuvés par leur employeur. Voici ce que vous devez faire.
Qu'est-ce que le Shadow AI et pourquoi c'est différent du Shadow IT classique
Le Shadow IT (usage d'outils informatiques non autorisés) existe depuis que les entreprises ont des politiques SI. Un collaborateur qui utilisait Dropbox personnel pour stocker des fichiers professionnels, c'était déjà du Shadow IT. Pourquoi l'IA rend ce phénomène particulièrement risqué ?
Parce que les outils d'IA générative ont une caractéristique unique : ils apprennent. Dans les versions grand public (ChatGPT gratuit, Claude.ai sans compte professionnel), les conversations peuvent être utilisées pour améliorer les modèles. Un collaborateur qui copie un contrat client dans ChatGPT pour qu'il le résume ne sait probablement pas que ce contrat peut alimenter les futurs modèles d'OpenAI.
Par ailleurs, les données envoyées à une IA générative sont transmises à des serveurs généralement hors UE, sans DPA signé, sans base légale claire. C'est potentiellement une violation grave du RGPD pour laquelle c'est l'entreprise, pas le collaborateur, qui est responsable.
Chiffre préoccupant : dans les entreprises qui ont audité leurs usages IA, 78 % des employés déclarent utiliser au moins un outil IA non approuvé. Parmi eux, 43 % l'utilisent régulièrement pour des tâches impliquant des données d'entreprise (source : étude Gartner 2025).
Les situations de Shadow AI les plus courantes en PME
Voici les usages que nous constatons régulièrement lors de nos audits clients, et qui passent généralement sous les radars :
- Le commercial qui copie les emails clients dans ChatGPT pour générer des réponses. Données clients, contexte commercial sensible, stratégie de négociation : tout y passe.
- La RH qui soumet des CV à Claude.ai pour réaliser une présélection. Données personnelles des candidats transmises sans consentement spécifique.
- Le comptable qui envoie un bilan ou un relevé à une IA pour l'aider à préparer sa déclaration. Données financières très sensibles, parfois soumises au secret professionnel.
- Le développeur qui soumet du code propriétaire à Copilot ou ChatGPT pour débug ou documentation. Propriété intellectuelle de l'entreprise exposée.
- L'assistante qui utilise un outil IA de prise de notes (Otter.ai, Fireflies) sur des réunions confidentielles. Contenu stratégique enregistré et transmis à des serveurs tiers.
Les risques concrets et leur probabilité
| Risque | Probabilité | Impact potentiel |
|---|---|---|
| Violation RGPD (données clients ou salariés) | Élevée (usages très répandus) | Amende CNIL, mise en demeure, image |
| Fuite de données confidentielles | Moyenne (dépend des outils) | Perte d'avantage concurrentiel, litiges |
| Non-conformité AI Act (RH notamment) | Moyenne (secteur RH) | Sanctions, interdiction d'usage |
| Fuite de code source ou de PI | Faible mais réel (dev) | Perte de protection brevet, copie |
| Réponse inexacte devenue officielle | Élevée | Litiges, erreurs stratégiques |
| Dépendance individuelle sans transfert | Élevée | Perte de savoir si le collaborateur part |
Comment détecter le Shadow AI dans votre organisation
Avant de réagir, il faut avoir une vision claire de ce qui se passe. Les méthodes de détection :
- Audit des extensions de navigateur : ChatGPT, Claude, Perplexity et d'autres outils IA s'installent souvent comme extensions Chrome ou Firefox. Une analyse du parc des extensions sur les postes professionnels révèle rapidement les usages.
- Analyse des flux DNS et HTTP : si votre infrastructure IT permet de voir les domaines contactés (openai.com, claude.ai, gemini.google.com), vous pouvez quantifier les usages. Attention : cela demande un cadre juridique (politique de surveillance des usages professionnels) et des précautions vis-à-vis du droit du travail.
- Questionnaire anonyme : souvent le moyen le plus simple et le plus efficace pour une PME. Un questionnaire en ligne garantissant l'anonymat permet aux collaborateurs de déclarer leurs usages sans peur de sanction. Les résultats sont presque toujours surprenants.
- Entretiens avec les managers : demander simplement aux responsables d'équipe si leurs collaborateurs utilisent des outils IA dans leur travail quotidien. Les managers ont généralement une bonne visibilité.
La solution : pas l'interdiction, mais l'encadrement
L'interdiction pure et simple du Shadow AI ne fonctionne pas. Les collaborateurs continueront d'utiliser les outils qu'ils trouvent utiles, en prenant soin de ne pas se faire remarquer. Ce que vous perdez : la visibilité. Ce que vous n'éliminez pas : le risque.
La bonne approche est en 3 étapes :
- Publier une politique d'utilisation de l'IA en entreprise. Ce document doit être court (1 page maximum) et pratique : quels outils sont autorisés, pour quels types de données, ce qui est interdit et pourquoi. Sans politique publiée, aucune sanction disciplinaire ne peut être prononcée.
- Proposer des alternatives officielles approuvées. Si vous interdisez ChatGPT sans offrir une alternative, vous perdez les gains de productivité sans éliminer les risques. Déployez un outil approuvé qui couvre les besoins des collaborateurs : Claude API avec DPA, Mistral Enterprise, ou un LLM local via Open WebUI.
- Former et expliquer, pas sanctionner. La grande majorité des collaborateurs font du Shadow AI par efficacité, pas par malveillance. Une session de formation de 30 minutes sur les risques réels et les bonnes pratiques fait plus qu'une note de service.
L'outil idéal pour éliminer le Shadow AI : un assistant IA interne déployé sur vos serveurs (Ollama et Open WebUI), accessible depuis le navigateur des collaborateurs, avec les modèles que vous avez sélectionnés et les données dont ils ont besoin en RAG. Les collaborateurs n'ont plus de raison d'aller sur ChatGPT si l'outil interne répond aussi bien.
L'interdiction vous fait perdre la visibilité sans éliminer le risque. L'encadrement vous rend les deux.
Ce que WorkFlow met en place pour adresser le Shadow AI
Pour les clients qui souhaitent adresser le problème du Shadow AI de manière durable, nous proposons une solution en deux temps : d'abord un audit des usages existants (questionnaire, analyse technique), puis le déploiement d'un assistant IA interne approuvé sur infrastructure souveraine.
Le résultat est un outil que les collaborateurs utilisent réellement, parce qu'il est performant et accessible, et qui est entièrement sous le contrôle de l'entreprise. Les usages sont tracés (sans surveillance individuelle), les données restent sur l'infrastructure interne, et la conformité RGPD est assurée.