Demandez à votre directeur commercial s'il utilise ChatGPT, Claude ou Mistral. Demandez à votre RH si elle laisse des CV transiter par une IA. Demandez à votre comptable s'il colle des extraits de bilan dans une fenêtre de chat. La réponse, dans la grande majorité des cas, est oui, mais pas vraiment, en fait juste un peu, et seulement pour des choses sans importance. Cette réponse est le symptôme du Shadow AI.

Le Shadow AI désigne l'usage généralisé d'outils d'intelligence artificielle par les collaborateurs sans cadrage, sans politique d'entreprise et sans traçabilité. Chaque cadre formule ses propres consignes, exporte des données sensibles dans des prompts privés, et ne partage rien avec le collectif. Pour un CODIR, c'est un angle mort stratégique majeur.

Le sujet n'est pas l'IA. Le sujet est la zone grise massive qui s'est installée dans la plupart des PME et ETI françaises depuis 2024. Et qui s'aggrave chaque trimestre.

L'ampleur du phénomène, chiffrée pour 2026.

CadrIA observe sur le terrain depuis 2022. Industrie PME, services B2B, formation, défense. Dans la plupart des entreprises rencontrées, trois questions simples suffisent à révéler le problème : combien de personnes utilisent une IA générative dans leur travail quotidien, combien d'entre elles ont reçu une consigne écrite de l'employeur, combien d'entre elles tracent leurs interactions IA dans un système partagé.

73%
des cadres utilisent une IA générative au moins une fois par semaine.
9%
ont reçu une politique d'entreprise écrite encadrant cet usage.
0%
tracent ces interactions dans un système partagé auditable.

Lisez ces trois lignes ensemble. Trois cadres sur quatre utilisent l'IA. Moins d'un sur dix a reçu un cadrage. Aucun ne trace. Cela signifie que la donnée stratégique de votre entreprise circule chaque semaine dans des fenêtres de chat IA, sans politique, sans journal, sans audit possible.

Le Shadow AI ne se produit pas malgré votre direction. Il se produit dans son angle mort, parce que la direction n'a jamais ouvert le sujet.

Pourquoi le CODIR n'a rien vu venir.

Trois raisons. Premièrement, les cadres dirigeants n'utilisent pas eux-mêmes l'IA quotidiennement. Ils délèguent. La plupart des CODIR français en 2026 sont composés de personnes nées entre 1965 et 1980, qui consultent l'IA pour des cas spectaculaires (synthèse de rapport, traduction urgente) mais ne l'intègrent pas dans leur flux quotidien. Donc ils sous-estiment systématiquement l'usage réel dans leurs équipes.

Deuxièmement, l'IA n'a pas de signal visible. Pas de fenêtre qui s'ouvre, pas d'icône partagée, pas de log dans le SI. Un cadre qui utilise ChatGPT sur son navigateur personnel ne laisse aucune trace exploitable dans les outils de la DSI. La direction ne voit donc rien.

Troisièmement, l'effet plateau ressenti. Les premiers utilisateurs IA dans l'entreprise ont ressenti un gain spectaculaire, puis se sont stabilisés à un usage discret. Le sujet est sorti du radar managérial parce qu'il n'y a plus de bruit autour. Mais l'usage est devenu structurel et permanent, sans qu'aucun cadrage ne soit posé.

Les quatre risques concrets pour le CODIR.

Le Shadow AI n'est pas un risque théorique. Voici les quatre zones où vous êtes exposés, dans cet ordre de gravité.

  1. Fuite de données sensibles. Plans stratégiques, données clients, devis en cours, dossiers RH, projections financières : tout ce qui est collé dans un prompt public part dans les serveurs du fournisseur d'IA, parfois utilisé pour entraîner les modèles selon les CGU. Pour une PME industrielle qui a des contrats signés avec une clause de confidentialité, c'est une violation directe.
  2. Non-conformité RGPD et EU AI Act. Depuis août 2026, l'AI Act exige une traçabilité documentée des usages d'IA pour les systèmes à haut risque. Les usages RH (sélection de CV) et financiers (scoring crédit) sont concernés. Le Shadow AI rend toute mise en conformité impossible : on ne documente pas ce qu'on ne voit pas.
  3. Qualité ingérable. Chaque collaborateur écrit ses propres consignes IA, sans relecture collective. La sortie est intégrée au livrable sans qualification. Le client reçoit des documents partiellement IA-générés sans que personne dans l'entreprise ne puisse en garantir la qualité, ni l'origine, ni la conformité au cahier des charges.
  4. Effet plateau et perte de productivité collective. L'IA fait gagner dix minutes à chaque cadre individuellement, puis les gains s'arrêtent. Le collectif ne progresse pas, parce que les bonnes pratiques restent enfermées dans les postes individuels. Les usages les plus pertinents ne sont jamais documentés ni transmis.

L'audit Shadow AI en 90 minutes.

Le Cockpit CadrIA propose un format d'audit Shadow AI qui tient en 90 minutes, sans aucun outil de surveillance technique, sans aucune intrusion dans les outils des collaborateurs. Le principe est inverse : on demande directement aux cadres ce qu'ils font, dans un cadre collectif et anonyme.

Étape 1, enquête anonyme de 5 minutes

Avant la session, un formulaire en ligne est envoyé à tous les cadres. Trois questions simples sur leur usage IA. Aucun nom, aucun département identifiable. La direction reçoit les statistiques agrégées le matin de la session.

Étape 2, session collective Cockpit, 70 minutes

Le CODIR se réunit autour de la mallette Cockpit. Les sept fonctions sont attribuées. Le sujet de la séance : "cartographier l'usage IA réel dans notre organisation, sans jugement, et identifier les trois actions prioritaires". Le Pilote IA construit la consigne pendant la séance. Le Protecteur valide la confidentialité. Le livrable sort signé en fin de session.

Étape 3, plan en trois mouvements, 15 minutes

Le rapport d'audit produit en séance contient toujours trois éléments : une cartographie chiffrée des usages constatés, une politique IA d'urgence à diffuser dans les sept jours, et un plan de gouvernance à six mois aligné sur l'EU AI Act et l'ISO 42001.

À retenir

L'audit Shadow AI ne cherche pas à punir.

Il cherche à cartographier honnêtement l'usage IA actuel pour le transformer en gouvernance dès le lendemain. Aucun cadre n'est nommé, aucun usage n'est sanctionné. Le sujet devient un sujet collectif, partagé, pilotable.

Le mouvement à enclencher cette semaine.

Si vous lisez cet article et que vous reconnaissez votre organisation dans le diagnostic, voici ce que je vous recommande de faire dans les sept jours qui viennent. Pas dans trois mois après une étude. Cette semaine.

  1. Posez la question en CODIR. "Combien d'entre nous utilisent une IA générative au moins une fois par semaine ?" Les mains levées vous donneront une première mesure.
  2. Demandez le journal d'usage à votre DSI. Si la DSI n'a pas de visibilité sur l'usage IA dans l'entreprise, vous avez votre réponse : votre Shadow AI est massif.
  3. Programmez un audit en 90 minutes. Avec ou sans nous, peu importe. L'important est d'ouvrir le sujet officiellement, et de produire un rapport partagé.

Le pire scénario n'est pas d'avoir du Shadow AI dans votre organisation. Le pire scénario est de le découvrir le jour où un client, un auditeur ou un journaliste vous le révèle. Vous avez encore le temps d'ouvrir le sujet de votre propre initiative. Ce temps se réduit chaque trimestre.

Audit Shadow AI

Programmer un audit Shadow AI en 90 minutes.

Une matinée d'expérience Cockpit dédiée. 1 200 € HT, mallette fournie. Vous repartez avec la cartographie de votre Shadow AI, votre politique IA d'urgence, et votre plan de gouvernance.

Réserver l'audit
Shadow AI Audit IA Gouvernance CODIR EU AI Act
M

Stéphane Maufras

Fondateur · CadrIA · Berry, France
Vingt années de terrain dans l'animation de comités de direction et l'audit de systèmes qualité. Concepteur de la méthode M.A.U.F.R.A.S. et du protocole Cockpit CadrIA. Publie régulièrement sur la gouvernance IA en équipe.