Vos collaborateurs utilisent ChatGPT, Claude ou Gemini depuis leurs comptes personnels, probablement en ce moment. Ce n'est pas une hypothèse : c'est ce que mesurent toutes les études récentes. Et sans cadre, sans formation, chaque prompt peut être une fuite de données. --- ## Qu'est-ce que le Shadow AI exactement ? Le Shadow AI désigne l'utilisation d'outils d'intelligence artificielle générative par des salariés **sans autorisation ni supervision** de la direction ou de la DSI. Le terme reprend le concept de "Shadow IT" (les applications non référencées utilisées en parallèle des systèmes officiels), mais avec une différence majeure : là où le Shadow IT demandait des compétences techniques pour s'installer, le Shadow AI est accessible à n'importe qui en 30 secondes. Un compte gratuit sur ChatGPT, une connexion internet, et voilà votre directeur commercial en train de coller sa base clients dans un LLM (Large Language Model, c'est-à-dire un modèle de langage comme GPT-4 ou Claude) hébergé sur des serveurs externes sans accord de traitement RGPD. Le phénomène est documenté et massif. Selon une étude Reco (2025), **71 % des employés** utilisent des outils IA non autorisés au travail. Une étude Salesforce (2024) estime ce chiffre à **68 % des salariés français**. Et Microsoft France relevait en janvier 2026 que **61 % des utilisateurs d'IA en entreprise** passent par leurs comptes personnels au moins une fois par semaine. > "Pendant que vous lisez ces lignes, vos données confidentielles circulent probablement sur les serveurs de ChatGPT ou Claude, avec des risques juridiques, réputationnels et économiques importants." — dfm.fr, septembre 2025 --- ## Pourquoi le Shadow AI est-il plus dangereux que le Shadow IT ? Le Shadow IT classique (un Trello non validé, un Google Drive personnel) expose les données à des fuites potentielles. Le Shadow AI va plus loin pour trois raisons concrètes. **La barrière d'entrée est nulle.** N'importe quel collaborateur, sans la moindre compétence technique, peut commencer à "alimenter" un chatbot public avec des informations sensibles en croyant simplement gagner du temps. Un responsable RH qui fait analyser des données salariales, un comptable qui traite un bilan prévisionnel, un ingénieur qui partage du code propriétaire pour débugger : le cas Samsung en 2023 en est l'exemple le plus cité. Trois ingénieurs ont collé du code source confidentiel dans ChatGPT en moins d'un mois. Le code propriétaire s'est retrouvé sur les serveurs d'OpenAI, impossible à récupérer. **Les modèles gratuits stockent vos données.** Les versions grand public de ChatGPT et Gemini peuvent utiliser les conversations pour entraîner leurs modèles. Une information saisie dans un prompt peut théoriquement être réutilisée dans les réponses faites à d'autres utilisateurs. Selon une étude Netskope, **8,5 % des prompts envoyés dans des LLMs non autorisés contiennent des données sensibles**, dont près de la moitié sont des informations clients. **La responsabilité juridique reste entière.** Si un collaborateur génère un document erroné avec une IA non validée, ou si des données personnelles quittent le périmètre de contrôle de l'entreprise, c'est l'employeur qui est en infraction vis-à-vis du RGPD, pas le salarié. L'AI Act européen (en vigueur depuis 2024) impose en plus une documentation et une gouvernance des systèmes IA utilisés, impossible à respecter quand les outils sont non référencés. ### Chiffres clés du Shadow AI en entreprise (2025-2026) | Indicateur | Chiffre | Source | |-----------|---------|--------| | Salariés utilisant des IA non autorisées | 71 % | Reco, 2025 | | Salariés français adeptes du Shadow AI | 68 % | Salesforce, 2024 | | Cadres français sans formation IA | >70 % | Microsoft France, 2026 | | Prompts contenant des données sensibles | 8,5 % | Netskope | | Surcoût par violation pour les entreprises à haut niveau de Shadow AI | +670 000 $ | IBM Cost of Data Breach, 2025 | | Incidents sécurité liés à l'IA par mois (entreprise moyenne) | 223 | Gartner, 2025 | | Amende maximale RGPD | 4 % du CA mondial | CNIL / RGPD | --- ## Comment répondre au Shadow AI ? ### Ce qui ne fonctionne pas : l'interdiction Samsung a tenté d'interdire ChatGPT à ses employés après les fuites de 2023. Résultat : les collaborateurs ont continué à l'utiliser depuis leurs téléphones personnels, hors de tout périmètre de contrôle. L'interdiction pousse le Shadow AI encore plus dans l'ombre. Elle signale également aux talents tech que l'entreprise ne maîtrise pas sa stratégie IA, ce qui nuit au recrutement. ### Ce qui fonctionne : l'intégration encadrée La seule réponse viable combine trois leviers. **Levier 1 : des outils validés comme alternative crédible.** Proposer aux équipes des accès à des versions enterprise (ChatGPT Team, Copilot pour Microsoft 365, Claude for Work) avec des accords de traitement des données RGPD en bonne et due forme. Quand un outil officiel répond aussi bien que l'outil personnel, le Shadow AI s'effondre mécaniquement. **Levier 2 : une politique d'usage claire.** Une charte d'utilisation de l'IA qui précise quelles données peuvent ou non être saisies dans quels outils. Sans formation associée, une charte reste lettre morte : selon PwC, **80 % des collaborateurs formés à la sécurité numérique** adaptent effectivement leurs comportements, contre une minorité pour ceux qui ont juste signé un document. **Levier 3 : la formation opérationnelle des équipes.** C'est le levier le plus efficace sur le long terme. Un collaborateur qui comprend comment fonctionne un LLM, ce que ça stocke, ce que ça peut halluciner, et qui dispose d'un outil validé à portée de main, n'a plus aucune raison d'aller chercher une alternative non référencée. La formation sert ici à deux choses simultanément : réduire le Shadow AI et augmenter la productivité réelle. La formation [Automatiser ses workflows et créer des agents IA](https://www.travelearn.fr/formation/automatiser-ses-workflows-et-crer-des-agents-ia) de TraveLearn couvre exactement ce double objectif : les équipes apprennent à utiliser les outils IA dans un cadre structuré, sur des cas d'usage métier réels, avec les bonnes pratiques de confidentialité intégrées dès le départ. --- ## Plan d'action en 5 étapes pour les entreprises **Étape 1 — Diagnostiquer l'existant** Auditez les outils IA effectivement utilisés dans vos équipes, pas seulement ceux que vous avez validés. Des outils comme Netskope ou une simple enquête anonyme auprès des managers donnent déjà une image réaliste. **Étape 2 — Fournir une alternative officielle** Prophez un outil enterprise validé RGPD avant de restreindre quoi que ce soit. La séquence "interdiction d'abord" échoue systématiquement. **Étape 3 — Rédiger une politique d'usage IA** Deux pages maximum, langage clair, co-construite avec les managers. Elle doit répondre à une question concrète : "puis-je utiliser Claude pour rédiger ce compte-rendu client ?" Oui ou non, avec les conditions associées. **Étape 4 — Former les équipes** Pas un webinaire de 45 minutes sur les "enjeux éthiques de l'IA". Une formation pratique, sur des cas d'usage réels de chaque département, avec les bonnes pratiques de confidentialité intégrées. Prévoyez au minimum une demi-journée par équipe métier. **Étape 5 — Mettre en place une gouvernance continue** L'IA évolue vite. Une politique rédigée en 2024 est déjà partiellement obsolète. Désignez un responsable IA interne (ou "champion IA") chargé de mettre à jour la politique et de faire remonter les nouveaux usages des équipes. --- ## FAQ ### Mon entreprise est une PME de 20 personnes. Le Shadow AI me concerne vraiment ? Oui, et peut-être plus qu'une grande entreprise. Les PME ont moins de ressources IT pour détecter les usages non référencés, moins de juristes pour gérer une violation RGPD, et moins de marge pour absorber une amende ou un incident réputationnel. Les praticiens qui accompagnent des PME rapportent observer du Shadow AI dans la quasi-totalité des structures, souvent sans que la direction en soit consciente. ### Suis-je responsable si un salarié utilise ChatGPT à titre personnel pendant ses heures de travail ? Cela dépend du contexte. Si les données traitées sont professionnelles (données clients, informations RH, propriété intellectuelle), l'entreprise est en infraction RGPD indépendamment du fait que l'outil soit "personnel". L'absence de politique claire sur les outils IA autorisés ne vous protège pas. ### L'AI Act impose-t-il des obligations spécifiques sur le Shadow AI ? L'AI Act (en vigueur depuis août 2024 pour les premiers volets) impose aux entreprises de documenter et de gouverner les systèmes IA qu'elles utilisent. Le Shadow AI rend cette documentation structurellement impossible. La Commission européenne a précisé en mai 2025 qu'un programme de formation adapté est nécessaire pour se conformer aux exigences de literacy IA imposées par le règlement. --- ## Pour aller plus loin - [Former ses équipes à l'IA : le guide complet pour les décideurs](/blog/guide-former-equipe-ia-entreprise) - [Formation Automatiser ses workflows et créer des agents IA](https://www.travelearn.fr/formation/automatiser-ses-workflows-et-crer-des-agents-ia) - [Contactez TraveLearn pour un diagnostic formation IA](/contact)