Pendant que vous lisez cet article, certains de vos collaborateurs envoient probablement des données confidentielles vers des serveurs que vous ne contrôlez pas. Pas par négligence. Par efficacité. C’est ce qu’on appelle le Shadow AI, et les chiffres de 2026 sont sans appel.
Ce que vos équipes font en ce moment, à votre insu
Le Shadow AI désigne l’utilisation d’outils d’intelligence artificielle par les salariés en dehors de tout cadre officiel, sans validation du service informatique, sans accord de traitement des données, sans que la direction en soit informée.
Ce n’est plus un phénomène marginal.
61%
des utilisateurs d’IA en entreprise passent par leurs comptes personnels au moins une fois par semaine.
Microsoft France / YouGov, jan. 2026
68%
des employés utilisent des outils d’IA non autorisés au travail, contre 41% en 2023.
Gartner, 2025
37%
des employés français utilisent l’IA sans en informer leur hiérarchie.
INRIA x Datacraft, juin 2025
Concrètement, que transmettent vos collaborateurs ?
Voici les scénarios les plus fréquents observés dans les entreprises de la région Centre-Val-de-Loire lors des audits de Shadow AI.
- Un commercial copie-colle sa base clients dans ChatGPT pour obtenir une segmentation ou un argumentaire personnalisé.
- Un responsable RH envoie des CV et des évaluations de collaborateurs dans un outil grand public pour gagner du temps.
- Un manager fait synthétiser un compte-rendu de CODIR par une IA depuis son compte personnel.
- Un juriste soumet des clauses contractuelles confidentielles pour demander une reformulation.
Dans tous ces cas, les données quittent le périmètre de l’entreprise et résident sur des serveurs externes sans aucun accord de traitement documenté.
Le coût réel du Shadow AI
Les entreprises avec un niveau élevé de Shadow AI voient leurs coûts liés aux violations de données augmenter de 670 000 dollars par rapport à celles qui en ont peu ou pas. (IBM Cost of a Data Breach 2025)
L’entreprise moyenne enregistre 223 incidents de sécurité liés à l’IA chaque mois, soit plus de sept par jour ouvré. (Gartner, 2025)
20% des violations de données mondiales impliquent désormais des systèmes de Shadow AI. (IBM 2025)
La moitié des organisations n’ont toujours aucune politique de protection des données spécifique à l’IA générative. (Netskope Cloud and Threat Report 2026)
Le risque juridique que personne ne voit venir
Au-delà des fuites de données, le Shadow AI crée une exposition juridique directe que la plupart des dirigeants n’ont pas encore intégrée.
L’article 28 du RGPD exige un accord de traitement des données documenté avec tout sous-traitant manipulant des données personnelles. Quand un recruteur colle un CV dans un chatbot grand public, cet accord n’existe pas. La base légale du traitement non plus. Le droit à l’effacement prévu par l’article 17 du RGPD devient impossible à exercer si vous ne savez pas que les données ont été transmises. (Source : RGPD, Règlement UE 2016/679)
Les amendes RGPD pour les entreprises qui ne maîtrisent pas leurs flux de données atteignent 4% du chiffre d’affaires mondial. Depuis février 2025, l’AI Act ajoute des exigences supplémentaires sur la gouvernance et la transparence des usages IA. (Source : AI Act, Règlement UE 2024/1689)
Rendre l’usage clandestin ne protège pas l’entreprise. Cela l’aveugle davantage.
Pourquoi les interdictions ne fonctionnent pas
La réaction instinctive de beaucoup de dirigeants face au Shadow AI est d’interdire. Bloquer ChatGPT, restreindre les accès, lancer une note de service. Cette approche est documentée comme inefficace.
Les collaborateurs contournent les restrictions via leurs appareils personnels ou les réseaux domestiques. Le nombre d’outils IA accessibles gratuitement dépasse aujourd’hui 1 550 applications selon Netskope, ce qui rend un blocage complet techniquement impossible. Et surtout, l’interdiction ne supprime pas le besoin de productivité qui génère le Shadow AI. Elle le rend simplement invisible.
Ce que les dirigeants doivent faire à la place
1. Cartographier l’exposition réelle
Savoir précisément quels outils IA sont utilisés dans l’organisation, par qui, sur quelles données. Ce n’est pas un audit informatique classique. C’est une investigation terrain qui révèle des pratiques que ni la DSI ni la direction ne soupçonnent.
2. Fixer des règles du jeu claires
Une Charte d’Usage de l’IA Générative co-construite avec le DPO et le service juridique, qui définit ce qui est autorisé, ce qui est interdit, et les responsabilités de chacun. Sans ce document, toute la responsabilité repose sur la direction en cas d’incident.
3. Remplacer l’usage sauvage par une méthode gouvernée
Donner aux équipes un cadre structuré pour utiliser l’IA sur leurs vrais dossiers, avec des règles de validation, une traçabilité des décisions et un contrôle des données sortantes. C’est ce qui transforme le Shadow AI de risque subi en levier maîtrisé.
La question à poser en CODIR cette semaine
Savez-vous exactement quelles données de votre entreprise ont quitté votre périmètre via des outils IA non validés au cours des 30 derniers jours ?
Si la réponse est non, vous avez votre réponse sur votre niveau d’exposition.
CadrIA intervient auprès des dirigeants, DRH et DPO de PME et ETI à Bourges, Orléans, Vierzon et dans toute la région Centre-Val-de-Loire.
