Shadow AI : vos collaborateurs utilisent des outils non sécurisés

Chiffre clé : En janvier 2026, une étude Microsoft France révèle que 61 % des utilisateurs d'IA en entreprise passent par leurs comptes personnels au moins une fois par semaine pour utiliser des outils d'IA générative hors de tout cadre de sécurité. (Source : Microsoft France / YouGov, janvier 2026)

Qu'est-ce que le Shadow AI ?

Le Shadow AI désigne l'utilisation d'outils d'intelligence artificielle par des collaborateurs sans validation, ni supervision des équipes informatiques, juridiques ou de sécurité de l'entreprise. ChatGPT, Gemini, Midjourney… ces applications sont accessibles en quelques clics, gratuites pour la plupart, et massivement adoptées dans les usages professionnels du quotidien.

Le phénomène s'inscrit dans la continuité du Shadow IT, l'utilisation d'applications non approuvées par le service informatique mais avec des risques considérablement amplifiés. Le risque Shadow AI touche directement à la protection des données de l'entreprise : contrats clients, informations financières, données RH, code source, stratégie commerciale.

Dans la majorité des cas, ces usages ne sont ni malveillants ni clandestins. Ils sont motivés par un besoin réel de productivité. Mais les conséquences, elles, sont bien réelles.

Pourquoi le Shadow AI explose en entreprise

La montée en puissance de l’IA générative a créé un décalage. Les collaborateurs l’adoptent vite. Les organisations peinent à encadrer ces usages.

À l'échelle mondiale, 68% des employés utilisent des intelligences artificielles non autorisés au travail, contre 41 % en 2023. En France, les chiffres sont tout aussi préoccupants : entre 18 et 50 % des collaborateurs auraient recours au Shadow AI selon les études disponibles.

Plus de 70% des cadres français n'ont reçu aucune formation à l'utilisation de l'IA, pas de politique d'usage, pas de charte, pas d'outil validé. Face à un besoin de productivité bien réel et une offre d'outils pléthorique, les collaborateurs n'attendent pas. Ils se servent eux-mêmes.

Les risques concrets pour votre entreprise

Fuites de données et perte de confidentialité

C'est le risque le plus immédiat. Lorsqu'un collaborateur colle un contrat client, un reporting financier ou des données RH dans un outil d'IA grand public, ces informations transitent sur des serveurs externes que l'entreprise ne contrôle pas. Les prompts, dialogues et documents échangés avec ces solutions peuvent être réutilisés pour poursuivre l'entraînement des modèles d'IA.

Selon le rapport Netwrix 2026 sur les risques de sécurité. 54% des outils Shadow AI détectés avaient ingéré des données sensibles : code source, fichiers clients, documents internes réglementés.

Le cas DeepSeek est particulièrement éclairant. Les données saisies sur cette plateforme sont traitées sur des serveurs en Chine. Elles sont également soumises aux lois chinoises sur la confidentialité avec zéro garantie pour les entreprises européennes.

Non-respect du RGPD et de l’AI Act

L’article 28 du RGPD impose la mise en place d’un contrat de sous-traitance des données, formalisé et documenté, avec tout prestataire amené à traiter des données personnelles. Or, lorsqu’un recruteur copie-colle un CV dans un chatbot grand public, aucun accord de ce type n’est en place. La base juridique encadrant ce traitement fait également défaut.

Depuis février 2025, l’AI Act européen ajoute des obligations supplémentaires en matière de transparence, de pilotage et de gouvernance des systèmes d’IA. Les sanctions RGPD, pour les organisations qui ne contrôlent pas leurs flux de données, peuvent grimper jusqu’à 4 % du chiffre d’affaires mondial.

Un coût financier qui se matérialise

Les conséquences ne sont plus théoriques. D’après le rapport IBM 2025 sur le coût des violations de données, les organisations exposées à un fort niveau de Shadow AI enregistrent des dépenses en hausse de 670 000 dollars par rapport à celles qui en ont peu, voire aucune. Plus préoccupant encore, 20 % des violations de données à l’échelle mondiale impliquent désormais des solutions de Shadow AI.

L'entreprise moyenne enregistre 223 incidents de sécurité liés à l'IA chaque mois soit plus de sept par jour ouvré.

Risque réputationnel et perte d'avantage concurrentiel

En partageant des données avec des outils d'IA non autorisés, les collaborateurs risquent de fournir involontairement des informations précieuses aux organisations concurrentes. Une erreur dans un rapport généré par une IA non validée, un texte biaisé publié en externe, une information stratégique exposée : le dommage réputationnel peut s'avérer bien plus coûteux que la sanction financière.

Shadow AI vs Shadow IT : quelle différence ?

Le Shadow IT concerne l'utilisation d'applications non approuvées — messagerie personnelle, outils de stockage cloud, logiciels non référencés. C'est un phénomène connu, documenté, partiellement maîtrisé dans de nombreuses entreprises.

Le Shadow AI va plus loin. Les collaborateurs n'utilisent pas seulement un outil non validé : ils injectent activement des données sensibles dans des systèmes dont les conditions générales d'utilisation autorisent souvent le réentraînement des modèles à partir des données saisies. L'exposition n'est pas passive — elle est directe, massive et souvent irréversible.

Comment réduire l'exposition au Shadow AI

1. Cartographier les usages existants

La première étape pour voir les usages des IA dans une entreprise est de déployez des outils de Cloud Access Security Broker (CASB) ou de Data Loss Prevention (DLP) pour identifier quels outils d'IA sont utilisés.

2. Mettre en place une politique d'usage de l'IA

Rédigez une charte d'utilisation de l'IA claire, accessible et signée par tous les collaborateurs. Elle doit préciser quels outils sont autorisés, quelles données peuvent y être saisies, et les procédures à suivre pour proposer un nouvel outil.

3. Proposer des alternatives validées

La meilleure parade au Shadow AI n'est pas l'interdiction c'est l'alternative. L'objectif est de rendre les outils IA approuvés faciles d'accès et simples à utiliser, tout en garantissant la sécurité des données. Créez des environnements sandbox sécurisés où les équipes peuvent expérimenter sans risque.

4. Former les collaborateurs

L'obligation de formation à l'IA prévue par l'article 4 de l'AI Act est en vigueur depuis février 2025, mais reste largement ignorée. Une simple note de service ne suffit pas : la formation doit couvrir les risques concrets, les bons réflexes et les procédures internes.

5. Instaurer une gouvernance IA transverse

Mettez en place un comité IA réunissant les équipes IT, juridiques et métiers pour piloter les usages, valider les outils et faire évoluer la politique en fonction des besoins réels des collaborateurs. D'après Gartner, d'ici 2026, 70 % des entreprises mettront en place des solutions d'audit et de monitoring IA pour réduire les risques liés aux usages clandestins.

6. Sensibiliser régulièrement

Le Shadow AI évolue vite de nouveaux outils apparaissent chaque semaine. La sensibilisation ne peut pas être un événement ponctuel. Intégrez des rappels réguliers, des cas concrets et des retours d'expérience dans votre dispositif de formation à la cybersécurité.

Conclusion :

Le Shadow AI est le symptôme d'un besoin réel non couvert : des collaborateurs qui cherchent à gagner en efficacité avec les outils à leur disposition. L'ignorer ou l'interdire sans alternative ne fera qu'aggraver le phénomène.

La réponse efficace est une réponse équilibrée : cartographier, encadrer, former et proposer des solutions approuvées. Dans un contexte réglementaire de plus en plus exigeant, les entreprises qui n'agissent pas aujourd'hui s'exposent à des risques financiers, juridiques et réputationnels croissants.

La question n'est plus de savoir si vos collaborateurs utilisent l'IA. La question est de savoir dans quelles conditions. Donnez de bonne habitude en mettant en place une plateforme de sensibilisation, si vous souhaitez un aperçu ou une démonstration cliquer sur Sencybeo