{"id":12267,"date":"2026-04-07T08:25:00","date_gmt":"2026-04-07T06:25:00","guid":{"rendered":"https:\/\/cadria.fr\/?p=12267"},"modified":"2026-03-24T23:34:29","modified_gmt":"2026-03-24T22:34:29","slug":"shadow-ai-votre-codir-est-aveugle-et-voici-comment-le-prouver","status":"publish","type":"post","link":"https:\/\/cadria.fr\/shadow-ai-votre-codir-est-aveugle-et-voici-comment-le-prouver\/","title":{"rendered":"Shadow AI : votre CODIR est aveugle et voici comment le prouver"},"content":{"rendered":"\n
<\/div>\n\n\n\n

Pendant que vous lisez cet article, certains de vos collaborateurs envoient probablement des donn\u00e9es confidentielles vers des serveurs que vous ne contr\u00f4lez pas. Pas par n\u00e9gligence. Par efficacit\u00e9. C’est ce qu’on appelle le Shadow AI, et les chiffres de 2026 sont sans appel.<\/p>\n\n\n\n

<\/div>\n\n\n\n
\n\n\n\n
<\/div>\n\n\n\n

Ce que vos \u00e9quipes font en ce moment, \u00e0 votre insu<\/h2>\n\n\n\n
<\/div>\n\n\n\n

Le Shadow AI d\u00e9signe l’utilisation d’outils d’intelligence artificielle par les salari\u00e9s en dehors de tout cadre officiel, sans validation du service informatique, sans accord de traitement des donn\u00e9es, sans que la direction en soit inform\u00e9e.<\/p>\n\n\n\n

Ce n’est plus un ph\u00e9nom\u00e8ne marginal.<\/p>\n\n\n\n

<\/div>\n\n\n\n
\n
\n

61%<\/p><\/p>\n\n\n\n

des utilisateurs d’IA en entreprise passent par leurs comptes personnels au moins une fois par semaine.
Microsoft France \/ YouGov, jan. 2026<\/em><\/p>\n<\/div>\n\n\n\n

\n

68%<\/p><\/p>\n\n\n\n

des employ\u00e9s utilisent des outils d’IA non autoris\u00e9s au travail, contre 41% en 2023.
Gartner, 2025<\/em><\/p>\n<\/div>\n\n\n\n

\n

37%<\/p><\/p>\n\n\n\n

des employ\u00e9s fran\u00e7ais utilisent l’IA sans en informer leur hi\u00e9rarchie.
INRIA x Datacraft, juin 2025<\/em><\/p>\n<\/div>\n<\/div>\n\n\n\n

<\/div>\n\n\n\n

Concr\u00e8tement, que transmettent vos collaborateurs ?<\/h2>\n\n\n\n
<\/div>\n\n\n\n

Voici les sc\u00e9narios les plus fr\u00e9quents observ\u00e9s dans les entreprises de la r\u00e9gion Centre-Val-de-Loire lors des audits de Shadow AI.<\/p>\n\n\n\n

    \n
  • Un commercial copie-colle sa base clients dans ChatGPT pour obtenir une segmentation ou un argumentaire personnalis\u00e9.<\/li>\n\n\n\n
  • Un responsable RH envoie des CV et des \u00e9valuations de collaborateurs dans un outil grand public pour gagner du temps.<\/li>\n\n\n\n
  • Un manager fait synth\u00e9tiser un compte-rendu de CODIR par une IA depuis son compte personnel.<\/li>\n\n\n\n
  • Un juriste soumet des clauses contractuelles confidentielles pour demander une reformulation.<\/li>\n<\/ul>\n\n\n\n

    Dans tous ces cas, les donn\u00e9es quittent le p\u00e9rim\u00e8tre de l’entreprise et r\u00e9sident sur des serveurs externes sans aucun accord de traitement document\u00e9.<\/p>\n\n\n\n

    <\/div>\n\n\n\n
    \n

    Le co\u00fbt r\u00e9el du Shadow AI<\/h2>\n\n\n\n
    <\/div>\n\n\n\n

    Les entreprises avec un niveau \u00e9lev\u00e9 de Shadow AI voient leurs co\u00fbts li\u00e9s aux violations de donn\u00e9es augmenter de 670 000 dollars<\/strong> par rapport \u00e0 celles qui en ont peu ou pas. (IBM Cost of a Data Breach 2025)<\/em><\/p>\n\n\n\n

    <\/div>\n\n\n\n

    L’entreprise moyenne enregistre 223 incidents de s\u00e9curit\u00e9 li\u00e9s \u00e0 l’IA chaque mois<\/strong>, soit plus de sept par jour ouvr\u00e9. (Gartner, 2025)<\/em><\/p>\n\n\n\n

    <\/div>\n\n\n\n

    20% des violations de donn\u00e9es mondiales<\/strong> impliquent d\u00e9sormais des syst\u00e8mes de Shadow AI. (IBM 2025)<\/em><\/p>\n\n\n\n

    <\/div>\n\n\n\n

    La moiti\u00e9 des organisations<\/strong> n’ont toujours aucune politique de protection des donn\u00e9es sp\u00e9cifique \u00e0 l’IA g\u00e9n\u00e9rative. (Netskope Cloud and Threat Report 2026)<\/em><\/p>\n<\/div>\n\n\n\n

    <\/div>\n\n\n\n

    Le risque juridique que personne ne voit venir<\/h2>\n\n\n\n
    <\/div>\n\n\n\n

    Au-del\u00e0 des fuites de donn\u00e9es, le Shadow AI cr\u00e9e une exposition juridique directe que la plupart des dirigeants n’ont pas encore int\u00e9gr\u00e9e.<\/p>\n\n\n\n

    L’article 28 du RGPD exige un accord de traitement des donn\u00e9es document\u00e9 avec tout sous-traitant manipulant des donn\u00e9es personnelles. Quand un recruteur colle un CV dans un chatbot grand public, cet accord n’existe pas. La base l\u00e9gale du traitement non plus. Le droit \u00e0 l’effacement pr\u00e9vu par l’article 17 du RGPD devient impossible \u00e0 exercer si vous ne savez pas que les donn\u00e9es ont \u00e9t\u00e9 transmises. (Source : RGPD, R\u00e8glement UE 2016\/679)<\/em><\/p>\n\n\n\n

    Les amendes RGPD pour les entreprises qui ne ma\u00eetrisent pas leurs flux de donn\u00e9es atteignent 4% du chiffre d’affaires mondial. Depuis f\u00e9vrier 2025, l’AI Act ajoute des exigences suppl\u00e9mentaires sur la gouvernance et la transparence des usages IA. (Source : AI Act, R\u00e8glement UE 2024\/1689)<\/em><\/p>\n\n\n\n

    <\/div>\n\n\n\n
    \n

    Rendre l’usage clandestin ne prot\u00e8ge pas l’entreprise. Cela l’aveugle davantage.<\/p>\n<\/blockquote>\n\n\n\n

    <\/div>\n\n\n\n

    Pourquoi les interdictions ne fonctionnent pas<\/h2>\n\n\n\n
    <\/div>\n\n\n\n

    La r\u00e9action instinctive de beaucoup de dirigeants face au Shadow AI est d’interdire. Bloquer ChatGPT, restreindre les acc\u00e8s, lancer une note de service. Cette approche est document\u00e9e comme inefficace.<\/p>\n\n\n\n

    Les collaborateurs contournent les restrictions via leurs appareils personnels ou les r\u00e9seaux domestiques. Le nombre d’outils IA accessibles gratuitement d\u00e9passe aujourd’hui 1 550 applications selon Netskope, ce qui rend un blocage complet techniquement impossible. Et surtout, l’interdiction ne supprime pas le besoin de productivit\u00e9 qui g\u00e9n\u00e8re le Shadow AI. Elle le rend simplement invisible.<\/p>\n\n\n\n

    <\/div>\n\n\n\n

    Ce que les dirigeants doivent faire \u00e0 la place<\/h2>\n\n\n\n
    <\/div>\n\n\n\n
    \n

    1. Cartographier l’exposition r\u00e9elle<\/h3>\n\n\n\n

    Savoir pr\u00e9cis\u00e9ment quels outils IA sont utilis\u00e9s dans l’organisation, par qui, sur quelles donn\u00e9es. Ce n’est pas un audit informatique classique. C’est une investigation terrain qui r\u00e9v\u00e8le des pratiques que ni la DSI ni la direction ne soup\u00e7onnent.<\/p>\n<\/div>\n\n\n\n

    <\/div>\n\n\n\n
    \n

    2. Fixer des r\u00e8gles du jeu claires<\/h3>\n\n\n\n

    Une Charte d’Usage de l’IA G\u00e9n\u00e9rative co-construite avec le DPO et le service juridique, qui d\u00e9finit ce qui est autoris\u00e9, ce qui est interdit, et les responsabilit\u00e9s de chacun. Sans ce document, toute la responsabilit\u00e9 repose sur la direction en cas d’incident.<\/p>\n<\/div>\n\n\n\n

    <\/div>\n\n\n\n
    \n

    3. Remplacer l’usage sauvage par une m\u00e9thode gouvern\u00e9e<\/h3>\n\n\n\n

    Donner aux \u00e9quipes un cadre structur\u00e9 pour utiliser l’IA sur leurs vrais dossiers, avec des r\u00e8gles de validation, une tra\u00e7abilit\u00e9 des d\u00e9cisions et un contr\u00f4le des donn\u00e9es sortantes. C’est ce qui transforme le Shadow AI de risque subi en levier ma\u00eetris\u00e9.<\/p>\n<\/div>\n\n\n\n

    <\/div>\n\n\n\n
    \n

    La question \u00e0 poser en CODIR cette semaine<\/h2>\n\n\n\n
    <\/div>\n\n\n\n

    Savez-vous exactement quelles donn\u00e9es de votre entreprise ont quitt\u00e9 votre p\u00e9rim\u00e8tre via des outils IA non valid\u00e9s au cours des 30 derniers jours ?<\/p>\n\n\n\n

    <\/div>\n\n\n\n

    Si la r\u00e9ponse est non, vous avez votre r\u00e9ponse sur votre niveau d’exposition.<\/p>\n<\/div>\n\n\n\n

    <\/div>\n\n\n\n
    \n\n\n\n
    <\/div>\n\n\n\n

    CadrIA intervient aupr\u00e8s des dirigeants, DRH et DPO de PME et ETI \u00e0 Bourges, Orl\u00e9ans, Vierzon et dans toute la r\u00e9gion Centre-Val-de-Loire.<\/em><\/p>\n\n\n\n

    <\/div>\n","protected":false},"excerpt":{"rendered":"

    61% des collaborateurs utilisent l’IA via leurs comptes personnels chaque semaine. 223 incidents de s\u00e9curit\u00e9 li\u00e9s \u00e0 l’IA par mois en moyenne. Le Shadow AI n’est plus une hypoth\u00e8se : c’est ce qui se passe dans votre entreprise en ce moment, et votre direction n’en sait rien.<\/p>\n","protected":false},"author":1,"featured_media":12270,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[172,14],"tags":[],"class_list":["post-12267","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news-ia","category-etudes-de-cas-pour-les-chef-fes-dentreprises-createurs-et-intelligence-artificielle"],"_links":{"self":[{"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/posts\/12267","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/comments?post=12267"}],"version-history":[{"count":1,"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/posts\/12267\/revisions"}],"predecessor-version":[{"id":12782,"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/posts\/12267\/revisions\/12782"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/media\/12270"}],"wp:attachment":[{"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/media?parent=12267"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/categories?post=12267"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cadria.fr\/fodados\/wp\/v2\/tags?post=12267"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}