Le Shadow IT existait depuis les années 2000. Le Shadow AI est son évolution accélérée. Vos équipes utilisent des outils d'IA generative sans validation IT, sans politique d'usage, sans évaluation des risques. C'est déjà dans votre organisation — la question est de savoir si vous le savez.
Qu'est-ce que le Shadow AI exactement ?
Le Shadow AI désigne l'utilisation d'outils d'intelligence artificielle au sein d'une organisation sans validation, supervision ou encadrement de la direction informatique ou de la direction générale. ChatGPT, Claude, Gemini, Copilot en dehors des licences d'entreprise, outils de génération de code, transcription automatique de réunions — la liste est longue.
Selon une étude Gartner de 2024, 41 % des salariés européens utilisent des outils IA generatifs dans leur travail quotidien. Parmi eux, moins de 30 % le font dans le cadre d'une politique d'usage validée par leur employeur.
Les risques concrets, pas théoriques
Fuite de données confidentielles
La version gratuite de ChatGPT utilise les conversations pour entraîner ses modèles par défaut. Un commercial qui colle un contrat client pour "améliorer la formulation", un développeur qui partage du code propriétaire pour "optimiser la fonction" — vos données stratégiques sont potentiellement exposées.
Non-conformité RGPD
Toute donnée personnelle transmise à un service IA tiers constitue un transfert de données au sens du RGPD. Si ce service est hébergé hors UE, vous avez potentiellement un transfert illicite de données. La CNIL a déjà sanctionné des organisations pour ce type de manquement.
EU AI Act — systèmes non évalués
L'EU AI Act, applicable depuis août 2024, classe les systèmes IA par niveau de risque. Les systèmes IA à usage général (GPAI) comme les grands modèles de langage sont soumis à des obligations de transparence. Une organisation qui déploie des outils IA sans évaluation préalable s'expose à des sanctions dès 2026.
Ce que les organisations doivent faire maintenant
Cartographier les usages existants
Avant de prohiber, cartographiez. Quels outils sont utilisés ? Par qui ? Pour quels usages ? Cette cartographie révèle les besoins réels de vos équipes et permet de proposer des alternatives sécurisées plutôt que d'interdire des pratiques qui continueront de toute façon.
Définir une politique d'usage claire
Pas un document de 50 pages. Une politique d'usage IA doit tenir en deux pages : ce qui est autorisé, ce qui ne l'est pas, ce qui est autorisé sous conditions (pas de données clients, pas de code propriétaire non anonymisé), les outils validés par l'IT.
Choisir des outils IA enterprise
Les versions enterprise des outils IA (ChatGPT Enterprise, Claude pour les entreprises, Copilot for Microsoft 365) offrent des garanties contractuelles sur la non-utilisation des données pour l'entraînement. Le surcoût est marginal face au risque juridique d'une fuite de données.
L'IA non gouvernée est une dette technique et juridique
L'adoption de l'IA sans gouvernance crée une dette — technique, juridique, et stratégique. Valtieri accompagne les organisations dans la mise en place de politiques d'usage IA et l'évaluation de leur conformité EU AI Act. Parlons-en.