Dans la plupart des entreprises, la question n'est plus « faut-il adopter l'IA ? ». Elle est déjà adoptée — sur des comptes ChatGPT personnels, sans validation de la DSI, sans information du DPO, sans aucune trace.
On appelle ça la shadow AI, et c'est aujourd'hui le plus gros angle mort de conformité des entreprises françaises.
C'est quoi, la shadow AI ?
La shadow AI désigne l'utilisation d'outils d'intelligence artificielle par les collaborateurs en dehors de tout cadre validé par l'entreprise : compte ChatGPT personnel ouvert dans un onglet, extension navigateur qui « résume les PDF », application mobile de transcription utilisée en réunion client.
Le phénomène est massif et parfaitement rationnel. Un outil qui fait gagner deux heures par jour ne restera jamais inutilisé sous prétexte qu'il n'est pas homologué. Vos meilleurs éléments sont souvent les premiers concernés : ce sont eux qui cherchent à aller plus vite.
Le problème n'est pas l'usage de l'IA. Le problème est ce qui part avec chaque prompt.
Ce qui sort vraiment de votre entreprise
Chaque jour, dans une entreprise moyenne, des collaborateurs collent dans des outils grand public :
- des extraits de contrats clients (« reformule cette clause de responsabilité »),
- des données RH (« rédige un courrier de recadrage pour ce salarié, voici le contexte »),
- des chiffres non publiés (« fais un résumé de ce reporting pour le comité »),
- des comptes rendus de réunions confidentielles, transcrits par des applications tierces.
Ces données partent vers des serveurs opérés par des sociétés américaines, soumis au Cloud Act quel que soit le pays du datacenter. Sur les offres grand public, elles peuvent en plus servir à entraîner les modèles : votre savoir-faire alimente alors l'outil que vos concurrents utilisent aussi.
Et surtout : personne ne peut dire ce qui est parti. Pas de logs, pas de traçabilité, pas de périmètre. Le jour où un client, un auditeur ou la CNIL pose la question, la réponse honnête est « on ne sait pas ».
Les trois risques concrets
1. Le risque réglementaire. Le RGPD impose de savoir où sont traitées les données personnelles et par qui. Des données RH ou clients collées dans un compte personnel hors UE constituent un transfert non maîtrisé — le type de manquement que la CNIL sanctionne. Avec l'AI Act, l'exigence de traçabilité s'étend aux usages de l'IA eux-mêmes.
2. Le risque de confidentialité. L'exemple canonique reste Samsung : des données confidentielles fuitées trois fois en vingt jours via ChatGPT, suivi d'une interdiction générale. Secret professionnel des avocats, secret des affaires, dossiers M&A, données de santé : aucun de ces régimes ne survit à un copier-coller dans un outil grand public.
3. Le risque d'audit. De plus en plus d'appels d'offres et de questionnaires assureurs incluent une section IA. « Quels outils vos équipes utilisent-elles et où sont traitées les données ? » Répondre « nous avons une charte » alors que la moitié de l'effectif utilise ChatGPT en personnel, c'est une non-conformité documentée.
Pourquoi l'interdiction ne fonctionne pas
Le réflexe classique — bloquer chatgpt.com sur le réseau — échoue systématiquement, pour une raison simple : on ne gagne jamais contre un outil qui fait gagner deux heures par jour.
L'interdiction ne supprime pas l'usage, elle le déplace : vers le téléphone personnel, la 4G, le compte perso à la maison. Résultat paradoxal : l'entreprise qui interdit a moins de visibilité sur les usages que celle qui encadre. La shadow AI prospère précisément là où il n'existe pas d'alternative officielle.
C'est le même mécanisme que le shadow IT des années 2010 (Dropbox, WhatsApp) — mais avec une différence de taille : un fichier partagé sur Dropbox reste un fichier ; un prompt envoyé à un modèle peut être conservé, analysé, et servir à l'entraînement.
La seule réponse qui tienne : offrir mieux
Puisqu'on ne peut pas gagner contre l'outil, il faut le remplacer par un meilleur. La réponse à la shadow AI tient en trois chantiers, dans cet ordre :
1. Mesurer, sans punir
Commencez par un état des lieux honnête : quels outils sont utilisés, par quelles équipes, pour quels usages ? Un questionnaire anonyme donne des résultats étonnamment francs quand il est clair qu'il ne s'agit pas d'une chasse aux sorcières. Vous découvrirez en général que les usages sont plus nombreux — et plus utiles — que prévu.
2. Écrire une charte IA courte, et l'outiller
Une charte IA efficace tient en six décisions : quels outils sont autorisés, quelles données peuvent y entrer, qui valide les nouveaux usages, quelle traçabilité est exigée, qui forme les équipes, et quand la charte est révisée. Quarante pages finissent dans un dossier ; six décisions s'appliquent. C'est aussi la ligne de la CNIL, qui recommande officiellement de définir les usages autorisés et interdits, d'impliquer le DPO et le RSSI dès le départ, et de privilégier des systèmes locaux et sécurisés.
Le point clé : une charte qui ne vit que dans un PDF ne protège rien. Elle doit être appliquée dans l'outil — par des droits d'accès, des périmètres de données, des logs.
3. Déployer une alternative interne aussi confortable
C'est la condition de tout le reste : vos équipes n'abandonneront leur compte ChatGPT personnel que pour un outil au moins aussi fluide, validé par la DSI et le DPO, avec un avantage décisif — il connaît les documents de l'entreprise.
C'est exactement ce pour quoi nous avons construit Eridia : une plateforme d'IA complète (chat multi-modèles, analyse documentaire, réunions, agents) déployée sur vos serveurs ou sur un cloud français, où aucune donnée ne sort de votre périmètre. Le confort de ChatGPT, la conformité en plus — installée en une journée.
Par où commencer
Trois questions à poser cette semaine, avant tout projet :
- Savez-vous ce que vos équipes collent dans ChatGPT en ce moment ? Si la réponse est non, vous avez un chantier de visibilité avant d'avoir un chantier d'outillage.
- Votre charte IA est-elle appliquée quelque part ailleurs que dans un PDF ? Une règle sans outil est un vœu.
- Existe-t-il une alternative interne réellement utilisable ? Si non, chaque interdiction renforce la shadow AI au lieu de la réduire.
Si vous voulez un état des lieux structuré, nous proposons un diagnostic gratuit : usages réels, risques prioritaires, et plan de déploiement d'une IA interne souveraine — en général en une journée.
La shadow AI n'est pas un problème de discipline. C'est le symptôme d'une demande légitime à laquelle l'entreprise n'a pas encore répondu. Répondez-y avant qu'un audit ne le fasse à votre place.



