6 min de lecture

78 pour cent des salariés utilisent des outils d’IA que leur service informatique n’a pas approuvés. Ce n’est pas une prévision, c’est le statu quo documenté dans les entreprises du monde entier. En 18 mois, le Shadow AI est passé d’un phénomène marginal à la plus grande adoption technologique incontrôlée de l’histoire des entreprises. La question n’est plus de savoir si les employés utilisent l’IA générative, mais comment les organisations gèrent le fait qu’ils le font déjà.

L’essentiel en bref

Ce qui distingue le Shadow AI du Shadow IT

Le Shadow IT était un problème d’infrastructure. Les employés installaient Dropbox, utilisaient des services cloud privés ou mettaient en place leurs propres outils de collaboration parce que le service informatique était trop lent. Le risque était calculable : logiciels non mis à jour, terminaux non sécurisés, sauvegardes manquantes. L’IT pouvait rattraper, proposer des alternatives et ramener la plupart des services fantômes dans le périmètre contrôlé.

Le Shadow AI est fondamentalement différent. Il ne s’agit pas d’installation de logiciels, mais de fuite de données en temps réel. Chaque saisie dans ChatGPT, Claude, Gemini ou Copilot est potentiellement une brèche de données. Projets de contrats, listes de clients, documents stratégiques, code source, données financières – tout atterrit sur des serveurs que l’entreprise ne contrôle ni ne peut auditer. Et contrairement à un fichier Dropbox, il n’y a pas de récupération possible.

La différence décisive : le Shadow IT concernait l’infrastructure. Le Shadow AI concerne la prise de décision. Quand un employé fait réviser un projet de contrat par un modèle d’IA, il délègue implicitement des évaluations juridiques à un système sans responsabilité et sans contexte. Quand un contrôleur de gestion fait passer des données financières par un modèle externe, des informations confidentielles quittent le périmètre contrôlé de manière irréversible.

À cela s’ajoute la vitesse d’adoption. La diffusion de Dropbox dans les entreprises a pris des années. ChatGPT a atteint 100 millions d’utilisateurs en deux mois. Les services informatiques n’ont eu aucune chance de développer des directives avant que l’utilisation ne soit déjà quotidienne.

Il existe aussi une dimension réglementaire que le Shadow IT n’a jamais eue. Sous le RGPD, tout traitement de données personnelles par des tiers nécessite une autorisation. NIS2 renforce les obligations pour les entités critiques et importantes. Le AI Act européen impose des exigences supplémentaires de documentation pour l’utilisation de l’IA dans les organisations. Ceux qui ignorent quels outils d’IA leurs employés utilisent ne peuvent remplir aucune de ces obligations. Le Shadow AI n’est donc pas seulement un risque de sécurité, mais un véritable risque de responsabilité.

L’ampleur du problème : 78 pour cent sans approbation

Plusieurs enquêtes indépendantes de 2025 dressent un tableau cohérent. Le WalkMe State of Digital Adoption Survey a interrogé plus de 3 500 travailleurs du savoir dans le monde. Le résultat : 78 pour cent admettent ouvertement utiliser des outils d’IA que leur employeur n’a pas approuvés. L’étude UpGuard de novembre 2025 arrive à un chiffre encore plus élevé : plus de 80 pour cent des répondants utilisent des outils d’IA non approuvés au quotidien.

Plus remarquable encore : l’utilisation est positivement corrélée au niveau hiérarchique. Selon UpGuard, les dirigeants utilisent des outils d’IA non autorisés plus fréquemment que leurs équipes. 69 pour cent des membres du comité de direction et 66 pour cent des vice-présidents seniors ne voient aucun problème à privilégier la rapidité sur la protection des données. Le message vers le bas est ainsi défini, même s’il n’est jamais prononcé.

Les départements à forte intensité de savoir sont particulièrement touchés. Les équipes marketing utilisent l’IA pour la rédaction et les idées de campagnes. Les services juridiques font résumer des contrats. Les équipes financières analysent des données. Les RH génèrent des offres d’emploi et des grilles d’évaluation. L’utilisation est large, profonde et dans la plupart des cas totalement invisible pour le service informatique et ses systèmes de surveillance.

Une étude BlackFog ajoute une dimension supplémentaire : 60 pour cent des employés déclarent être prêts à prendre des risques de sécurité pour respecter les délais. Les outils d’IA sont pour beaucoup l’instrument de choix pour rester productifs sous pression. Ce n’est pas un contournement malveillant. C’est de l’autoassistance rationnelle dans des organisations qui n’offrent aucune alternative.

Un schéma se dessine à travers les secteurs : plus l’industrie est réglementée, plus l’écart entre la politique officielle et l’utilisation réelle est grand. Les services financiers, les assureurs et les entreprises de santé ont souvent les interdictions les plus strictes et simultanément les taux d’utilisation les plus élevés par des voies détournées. Les gains de productivité sont immédiatement tangibles pour les employés, tandis que les risques restent abstraits et différés. Tant que cette asymétrie persiste, toute interdiction sera contournée.

Pourquoi les interdictions échouent

Software AG a livré dans une enquête de 2025 un point de données qui remet en question toute la stratégie d’interdiction : 46 pour cent des employés déclarent qu’ils continueraient à utiliser des outils d’IA non autorisés même si leur entreprise les interdit explicitement. Ce n’est ni de la rébellion ni du défi. C’est un comportement rationnel de personnes qui veulent faire leur travail plus efficacement et ne reçoivent aucune alternative approuvée.

Le parallèle avec le Shadow IT des années 2010 est instructif. À l’époque, les services informatiques tentaient de bloquer les services cloud. Le résultat : les employés se sont tournés vers des appareils personnels et des comptes privés. Le problème n’a pas été résolu, il a été rendu invisible. C’est exactement ce qui se passe maintenant avec l’IA. Selon l’enquête WalkMe, 58 pour cent des salariés accèdent déjà aux outils d’IA via des appareils personnels ou des comptes privés.

Une interdiction aggrave même le risque. Ceux qui n’ont officiellement pas le droit ne demandent pas non plus si certaines données peuvent être saisies. Il n’y a pas d’interlocuteur, pas de directive, pas de procédure d’escalade. L’utilisation continue malgré tout, mais sans aucun contrôle, sans journalisation et sans possibilité de retracer ce qui s’est passé en cas d’incident.

La prohibition ne crée pas la conformité. Elle crée l’opacité. Et l’opacité est l’opposé de ce dont les organisations ont besoin quand 78 pour cent de leurs effectifs interagissent quotidiennement avec des systèmes d’IA externes.

Il y a encore un autre effet souvent négligé dans le débat : les interdictions nuisent à la compétitivité. Les entreprises qui interdisent globalement l’utilisation de l’IA perdent sur deux tableaux. Elles renoncent à des gains de productivité que leurs concurrents réalisent déjà. Et elles signalent aux candidats et aux employés que l’organisation est technologiquement rétrograde. Sur un marché du travail où la compétence en IA est de plus en plus considérée comme une qualification de base, c’est un désavantage qui se manifeste à court terme par du turnover et à long terme par un retard d’innovation.

L’écart de gouvernance en trois chiffres

Ces trois chiffres décrivent le problème central dans toute sa gravité. 70 pour cent des organisations savent que leurs employés utilisent l’IA générative. Mais seulement 15 pour cent ont réagi avec des politiques mises en oeuvre. Parallèlement, 38 pour cent des employés partagent des données confidentielles d’entreprise avec des plateformes d’IA externes selon une enquête conjointe de CybSafe et de la National Cybersecurity Alliance – sans aucune autorisation.

La dimension financière est considérable. Gartner prévoit que 40 pour cent des entreprises seront touchées par des incidents de sécurité directement attribuables au Shadow AI d’ici 2027. Le surcoût moyen d’un tel incident s’élève à environ 670 000 dollars US par rapport aux incidents de sécurité conventionnels.

Mais les coûts financiers ne sont que la partie visible. Le véritable préjudice réside dans l’érosion de la souveraineté des données. Les données saisies dans un modèle externe ne peuvent être rappelées. Les cycles d’entraînement, les mécanismes de cache et les logs serveur des fournisseurs échappent à tout contrôle de l’entreprise. Ce qui apparaît aujourd’hui comme une aide à la productivité inoffensive peut devenir demain une violation de conformité au titre du RGPD ou de NIS2. Pour les secteurs réglementés comme les services financiers ou la santé, le problème est aggravé : au-delà des amendes, des interdictions professionnelles et une responsabilité personnelle sont en jeu.

Ce qui fonctionne : la gouvernance plutôt que la prohibition

Les entreprises qui endiguent avec succès le Shadow AI ne misent pas sur la technologie seule. Elles combinent trois leviers qui agissent de concert. Aucun des trois ne suffit isolément, mais ensemble ils changent fondamentalement la dynamique.

Premièrement : fournir des alternatives approuvées avant d’interdire. Interdire ChatGPT sans proposer une alternative interne est une stratégie perdante. Les versions entreprise des outils d’IA avec authentification unique, prévention des fuites de données et journalisation complète constituent le standard minimum. L’expérience utilisateur doit être au moins équivalente. Les employés ne se tournent pas vers des outils privés par principe, mais parce que l’outil d’entreprise est plus lent, plus restrictif ou tout simplement inexistant.

Deuxièmement : des politiques d’utilisation plutôt que des interdictions. Une politique de gouvernance IA fonctionnelle ne définit pas ce qui est interdit, mais comment les outils d’IA peuvent être utilisés en toute sécurité. Quelles classifications de données peuvent être saisies dans quels outils ? Qui vérifie les résultats générés par l’IA avant une décision critique ? Où se situe la responsabilité en cas de résultats erronés ? Seuls 32 pour cent des employés ont reçu une formation formelle en IA selon WalkMe. Ce déficit peut être comblé plus rapidement que n’importe quel système de contrôle technique.

Troisièmement : établir la visibilité. Les outils de découverte du Shadow AI et les plateformes de gestion SaaS identifient quels services d’IA sont utilisés dans le réseau de l’entreprise. Non pas pour punir, mais pour permettre des décisions éclairées. Ceux qui savent que l’équipe marketing saisit quotidiennement des données clients dans un outil non autorisé peuvent réagir de manière ciblée. Ceux qui l’ignorent ne l’apprennent qu’à l’occasion d’un incident de sécurité ou du prochain audit RGPD.

La séquence est déterminante : d’abord la visibilité, puis les politiques, puis les alternatives sécurisées. Commencer par l’interdiction, c’est avoir déjà perdu, car on ne fait que repousser le problème dans l’invisibilité.

Le gain stratégique d’une gouvernance IA fonctionnelle va au-delà de la réduction des risques. Les organisations qui fournissent à leurs employés des outils d’IA sécurisés et performants captent simultanément des données d’utilisation montrant où l’IA apporte le plus grand levier. Ces données constituent la base d’investissements ciblés, de décisions d’automatisation et de la prochaine génération d’outils de productivité. Ceux qui canalisent le Shadow AI dans des voies ordonnées ne réduisent pas seulement le risque. Ils construisent un savoir que la concurrence ne possède pas.

Questions fréquentes

Image de titre : Pexels / Sora Shimazaki (px:5935787)