Une comptable colle un tableau de relances clients dans ChatGPT. Noms, montants dus, coordonnées. Le tout parti sur un serveur que son patron ne contrôle pas. C'est ça, le Shadow AI : l'usage d'outils IA par tes collaborateurs sans cadre. Interdire ne marche pas : ça déplace le risque hors de ton champ de vision. La solution : voir, offrir un chemin officiel au moins aussi rapide, et éduquer en continu.
Hier, une comptable a collé un tableau de relances clients dans ChatGPT pour gagner vingt minutes. Noms, montants dus, coordonnées. Le tout parti sur un serveur que son patron ne contrôle pas.
Elle n'a rien fait de mal. Elle a fait son travail vite, avec l'outil le plus pratique sous la main.
C'est ça, le Shadow AI. L'intelligence artificielle qui tourne déjà dans ton entreprise, sans que personne n'ait décidé qu'elle tournerait. Et la plupart des dirigeants de PME wallonnes que je rencontre ne savent pas à quel point c'est répandu chez eux.
Voici ce qu'il faut comprendre, et surtout ce qu'il faut faire.
C'est quoi exactement le Shadow AI ?
Le Shadow AI, c'est l'usage d'outils d'intelligence artificielle par tes collaborateurs, sans validation ni cadre de l'entreprise. ChatGPT, Copilot, Gemini, un traducteur en ligne, un générateur de comptes-rendus : tout ce qui traite de l'information avec de l'IA, en dehors de ton périmètre de contrôle.
Le terme n'est pas nouveau dans sa logique. On a connu le Shadow IT il y a quinze ans : les employés qui installaient leurs propres logiciels parce que l'informatique officielle ne suivait pas. Puis le Shadow BI, quand les équipes sortaient leurs propres tableaux Excel parce que les rapports officiels ne répondaient pas à leurs questions.
Le Shadow AI est la troisième vague de la même mécanique. À chaque fois, le schéma est identique : un besoin réel que l'outil officiel ne couvre pas, et un collaborateur qui trouve une solution par lui-même.
Avec un logiciel installé en douce, le risque restait souvent dans l'entreprise. Avec l'IA générative, la donnée part à l'extérieur dès la première requête.
Pourquoi mes collaborateurs utilisent ChatGPT sans me le dire ?
Pas par défi. Par efficacité.
Un collaborateur qui colle un document dans ChatGPT le fait parce que ça lui fait gagner du temps sur une tâche pénible. Trier une liste, reformuler un mail difficile, résumer un compte-rendu de trois pages, traduire une offre. Ce sont des gains immédiats et concrets.
Le problème, c'est que personne ne lui a donné mieux. Quand l'entreprise n'offre pas d'outil officiel, l'équipe en trouve un. Gratuit, public, accessible en trois secondes depuis n'importe quel navigateur.
La plupart des collaborateurs ne réalisent pas qu'ils exposent des données sensibles. Pour eux, coller un tableau dans une zone de texte, c'est comme l'envoyer à un assistant. Ils ne visualisent pas le serveur à l'autre bout, ni ce qu'il advient de l'information une fois envoyée.
C'est pour ça que le Shadow AI ne se règle pas avec une remontrance. Le besoin est légitime. C'est le cadre qui manque.
Quels sont les vrais risques pour une PME ?
Trois risques concrets, qui n'ont rien de théorique.
La fuite de données clients
Dès qu'un collaborateur colle des informations nominatives dans un outil public, ces données quittent ton contrôle. Coordonnées, situations financières, dossiers médicaux pour une pharmacie, données salariales pour un service RH. Une fois parties, elles ne reviennent pas.
Le risque RGPD
Tu es responsable du traitement des données que tu détiens. Si un employé envoie des données personnelles vers un service hors UE, sans base légale, c'est ta responsabilité. Le fait que tu n'étais pas au courant ne te protège pas. Ça t'expose même davantage, parce que ça prouve l'absence de cadre.
Quand des process entiers reposent sur des outils que personne n'a validés, tu construis une organisation dont tu ne maîtrises plus les rouages. Le jour où l'outil change ses conditions, augmente ses prix ou tombe en panne, tu découvres une dépendance que tu n'avais jamais choisie.
Ajoute à ça l'EU AI Act, dont les premières obligations s'appliquent dès août 2026 : transparence sur l'usage de l'IA, littératie des équipes, interdiction de certaines pratiques. Une entreprise qui ne sait même pas quels outils d'IA tournent en interne part avec un handicap de départ pour s'y conformer.
Pourquoi interdire ChatGPT ne fonctionne pas ?
Parce que l'interdiction ne supprime pas le besoin. Elle le déplace.
Le réflexe du dirigeant qui découvre l'ampleur du Shadow AI, c'est la note interne : « L'usage de ChatGPT est interdit. » Ça paraît responsable. En réalité, ça ne fait que rendre l'usage invisible.
Le collaborateur qui gagnait vingt minutes par jour ne va pas renoncer à ces vingt minutes. Il va simplement basculer sur son téléphone personnel, sa session privée, son compte perso. Tu n'as pas supprimé le risque. Tu l'as juste sorti de ton champ de vision, et tu as perdu le peu de contrôle qui te restait.
Avec l'IA désormais intégrée dans les smartphones, les navigateurs et la suite bureautique elle-même, le blocage technique devient quasi impossible à tenir. Tu ne peux pas mettre un pare-feu sur le téléphone personnel de ton équipe.
L'interdiction part d'une bonne intention. Mais elle traite le symptôme et ignore la cause. La cause, c'est qu'il y a un vrai besoin et aucun chemin officiel pour le satisfaire.
Alors on fait quoi ? Cadrer plutôt qu'interdire
La sortie n'est pas entre « tout interdire » et « laisser faire ». C'est de donner un cadre clair. Trois leviers, dans cet ordre.
Voir ce qui se passe réellement
Avant de décider quoi que ce soit, il faut savoir. Quels outils sont utilisés, par qui, pour quelles tâches, avec quelles données. Pas pour sanctionner : pour comprendre. La plupart du temps, le dirigeant découvre que les usages sont concentrés sur cinq ou six tâches récurrentes. C'est beaucoup plus gérable qu'il ne le craignait.
Offrir un chemin officiel au moins aussi rapide
C'est le point que la majorité des entreprises ratent. On ne remplace pas un outil pratique par une procédure lourde. Si le chemin officiel coûte vingt minutes de friction de plus que ChatGPT, personne ne le prendra. L'outil validé doit être aussi rapide que l'outil sauvage. Concrètement : un outil qui anonymise les données sensibles avant envoi, ou qui garde la donnée en interne.
Éduquer, en continu
Une formation unique ne suffit pas. Les équipes doivent comprendre pourquoi certaines données ne doivent jamais sortir, et comment utiliser le chemin officiel. L'éducation explique le pourquoi. L'outil rend le bon réflexe plus simple que le mauvais. Les deux ensemble, pas l'un sans l'autre.
Un CIO me disait récemment que même avec toute l'éducation du monde, on ne fait que réduire le risque, jamais le supprimer. Il a raison. Mais entre une entreprise qui réduit activement son risque et une qui l'ignore en croyant l'avoir interdit, l'écart est énorme.
Comment savoir si mon entreprise est concernée ?
Pose-toi trois questions.
Si la réponse est non, le Shadow AI tourne déjà chez toi, que tu le voies ou pas.
Si tu ne peux pas répondre, c'est exactement le signal d'alerte.
Si oui, l'usage continue probablement, mais hors de ta vue.
La vraie question
La bonne nouvelle, c'est que le Shadow AI n'est pas une fatalité. C'est un symptôme. Le symptôme d'un besoin réel et d'un cadre absent.
Le besoin, tu ne le supprimeras pas, et tu n'as pas intérêt à le faire : tes équipes veulent travailler mieux et plus vite. Le cadre, en revanche, tu peux le construire.
Ils l'utilisent déjà. La question, c'est de savoir où passent tes données pendant qu'ils l'utilisent.
Le Shadow AI tourne-t-il déjà chez vous ?
Notre diagnostic de 45 minutes identifie les usages IA non officiels dans votre entreprise, cartographie les flux de données à risque, et met en place le cadre (outil validé + formation équipes) qui protège vos données sans tuer la productivité. Sans engagement, basé en Wallonie.
Réserver un diagnostic 45 minSans engagement. Basé en Wallonie.