Qu'est-ce que le Shadow AI ?

Le Shadow AI désigne l'ensemble des usages d'intelligence artificielle qui se développent dans une organisation en dehors du cadre officiel : sans validation de la DSI, sans politique de sécurité appliquée, et souvent sans que le management en ait connaissance. Le terme est construit par analogie avec le Shadow IT — l'utilisation d'outils informatiques non approuvés — mais avec des risques spécifiques liés à la nature des outils d'IA générative.

Un phénomène massif

Depuis la mise à disposition publique de ChatGPT fin 2022, puis de ses concurrents (Claude, Gemini, Mistral, Copilot), des millions de collaborateurs utilisent quotidiennement des LLMs pour rédiger des emails, synthétiser des documents, analyser des données ou générer du code. Dans beaucoup d'organisations, ces usages se sont développés spontanément, avant que des politiques d'encadrement ne soient mises en place.

Plusieurs enquêtes menées en 2024 convergent sur un constat : entre 50 et 70 % des collaborateurs en entreprise utilisent des outils d'IA générative au travail, et une part significative le fait via des comptes personnels, sur des versions gratuites, sans passer par les outils mis à disposition par l'entreprise.

Les risques concrets

Fuite de données confidentielles. Quand un collaborateur colle un document confidentiel dans ChatGPT (version gratuite ou API sans accord d'entreprise), ces données transitent par les serveurs du fournisseur. Selon les conditions d'utilisation, elles peuvent être utilisées pour entraîner les modèles suivants. Des cas documentés incluent des employés de Samsung ayant soumis du code source propriétaire à ChatGPT en 2023, ce qui a conduit l'entreprise à interdire l'outil.

Non-conformité réglementaire. Le RGPD impose que le traitement de données personnelles soit encadré (base légale, registre des traitements, information des personnes). Un collaborateur qui soumet des données clients à un LLM via un compte personnel enfreint potentiellement ces obligations. L'AI Act ajoute des exigences supplémentaires pour les systèmes d'IA à haut risque, notamment en matière de traçabilité et de gestion des risques.

Résultats non fiables. Les LLMs produisent des hallucinations. Un collaborateur qui utilise ChatGPT pour rédiger une analyse financière, un avis juridique ou un rapport technique sans vérification risque de propager des erreurs dans les processus de l'entreprise. Sans guardrails ni grounding, les réponses générées ne sont pas ancrées dans des données vérifiées.

Absence de traçabilité. Quand les usages d'IA ne sont pas centralisés, l'organisation perd la visibilité sur qui utilise quoi, avec quelles données, et pour quels résultats. En cas d'incident (décision erronée fondée sur une sortie d'IA, fuite de données), il est difficile de remonter à la source.

Pourquoi le Shadow AI se développe

Le Shadow AI n'est pas un acte de malveillance — c'est une réponse pragmatique à un besoin non satisfait. Les collaborateurs utilisent ces outils parce qu'ils les trouvent utiles et que l'entreprise ne propose pas d'alternative. Les facteurs contributifs :

• Lenteur de mise à disposition. Les processus d'achat et de validation sécurité prennent des mois, pendant que les outils gratuits sont accessibles en 30 secondes.
• Offre interne inadaptée. L'outil validé par l'entreprise est parfois limité (modèle ancien, pas de possibilité d'upload de fichiers, quota restreint) comparé aux versions publiques.
• Absence de politique claire. Sans directive explicite, les collaborateurs considèrent que ce qui n'est pas interdit est autorisé.
• Pression de productivité. Les gains de productivité offerts par les LLMs sont tangibles et immédiats, créant une incitation forte à les utiliser.

Comment traiter le Shadow AI

Reconnaître le besoin. La première étape est d'admettre que les collaborateurs utilisent l'IA parce qu'elle leur est utile. Interdire purement et simplement ne fonctionne pas — l'usage se poursuit de manière encore plus clandestine.

Fournir une alternative officielle. Mettre à disposition des outils d'IA validés (avec accords de traitement de données, hébergement conforme, guardrails configurés) qui répondent aux besoins réels des équipes.

Établir une politique d'usage claire. Définir ce qui est autorisé et ce qui ne l'est pas, avec des exemples concrets : quelles données peuvent être soumises, quels outils sont approuvés, quelles vérifications sont requises sur les résultats.

Former les équipes. La data literacy étendue à l'IA : former les collaborateurs aux bonnes pratiques (ne pas soumettre de données personnelles, vérifier les résultats, comprendre les limites des LLMs) transforme le Shadow AI en usage responsable. Les programmes d'AI Champions permettent de diffuser ces pratiques au sein de chaque équipe.

Monitorer et itérer. Suivre les usages, collecter les retours, et améliorer continuellement l'offre interne pour rester au niveau des outils publics.

Shadow AI et data governance

Le Shadow AI met en lumière un enjeu plus large de data governance à l'ère de l'IA générative. Les politiques de gouvernance des données doivent intégrer les flux de données vers les LLMs : classification des données (quelles données sont autorisées en entrée des modèles), choix des fournisseurs (accords de traitement, localisation des données), et traçabilité des usages.