L'émergence du Shadow AI, ou IA fantôme, constitue aujourd'hui l'un des dé s majeurs pour les entreprises, tiraillées entre l'impératif d'innovation rapide et les enjeux de sécurité et de conformité. Cette pratique, qui désigne l'utilisation non autorisée d'outils d'intelligence arti cielle par les salariés, soulève des questions critiques quant à la gestion des données, la souveraineté technologique et le rôle des ressources humaines dans la transformation numérique.
Qu'est-ce que le Shadow AI ?
L'émergence du Shadow AI, ou IA fantôme, constitue aujourd'hui l'un des dé s majeurs pour les entreprises, tiraillées entre l'impératif d'innovation rapide et les enjeux de sécurité et de conformité. Cette pratique, qui désigne l'utilisation non autorisée d'outils d'intelligence arti cielle par les salariés, soulève des questions critiques quant à la gestion des données, la souveraineté technologique et le rôle des ressources humaines dans la transformation numérique.
Chiffres clés de n 2024 : l'étendue insoupçonnée du phénomène
Selon une enquête McKinsey de n 2024, 9 salariés sur 10 utilisent déjà l'IA générative au travail, et 21 % en sont des utilisateurs intensifs (Relyea et al., 2024). Ce niveau d'usage dépasse largement les attentes des directions, renforçant le caractère invisible — mais omniprésent — du Shadow IA (McKinsey, 2025).
Risques pour l'entreprise : entre fuites, failles et réputation
Les risques sont multiples :
- Fuite de données : les modèles génératifs peuvent conserver ou exposer des informations confidentielles (Thales, 2025 ; IBM, 2024).
- Non-conformité réglementaire : l'usage non encadré peut violer des normes comme le RGPD, avec des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial (IBM, 2024).
- Altération de la qualité décisionnelle : les sorties biaisées ou erronées des modèles peuvent nuire aux prises de décision (IBM, 2024 ; ANSSI, 2025).
- Surface d'attaque étendue : les interconnexions entre systèmes d'IA et réseaux internes accroissent les risques d'attaques indirectes, comme l'injection de prompts malveillants (ANSSI, 2025).
Les RH à la manœuvre : sensibiliser, encadrer, accompagner
Face à cette prolifération, les directions des ressources humaines s'organisent. Certaines entreprises, comme BNP Paribas ou Veolia, ont interdit l'usage de ChatGPT avant de développer des alternatives internes (Rodier, 2025). D'autres, comme Safran, ont mis en place une formation massive au prompt engineering, ou ont déployé les outils en mode “laboratoire”, testés sur des petits groupes avant généralisation (Rodier, 2025).
Les bonnes pratiques émergentes comprennent :
- Développement de “GPT maison” intégrant les données internes et la culture d'entreprise.
- Accès réservé aux métiers via une analyse ne des besoins.
- Verrous techniques et hiérarchisation des droits d'accès (Rodier, 2025).
Ne pas brider l'innovation : un équilibre délicat
Si la prudence est indispensable, un excès de contrôle peut étouffer l'innovation. Des collaborateurs contournent déjà les blocages pour retrouver la qualité des outils publics plus avancés (Rodier, 2025). Cette tension entre contrôle et ef cacité pourrait à terme nuire à l'agilité des organisations.
Les experts de l'ANSSI préconisent une approche “par les risques” : cartographier les usages, évaluer la sensibilité des données et ajuster le niveau de supervision selon les contextes métiers (ANSSI, 2025). Il ne s'agit pas d'interdire, mais de sécuriser l'expérimentation.
Ouvrir la discussion : vers une gouvernance partagée de l'IA ?
Le Shadow AI n'est pas seulement un problème à résoudre : c'est un signal faible qui révèle l'écart entre les usages réels et les politiques internes. Il invite à repenser la gouvernance de l'IA dans les entreprises, en croisant les expertises IT, RH, cybersécurité, métiers.
Plutôt que d'imposer un contrôle strict, serait-il envisageable de co-construire une gouvernance plus transversale, fondée sur la confiance, l'éducation et la responsabilité partagée ?