Le shadow IT existe depuis que les collaborateurs ont découvert qu’il était plus simple de créer un Google Sheet que de demander un outil au DSI. Mais en 2026, le phénomène a changé de nature. L’IA générative — ChatGPT, Claude, Gemini, Midjourney — est accessible à tous, instantanément, sans validation. Résultat : des milliers de collaborateurs utilisent des outils d’IA non référencés, avec des données d’entreprise, sans que personne ne le sache.
C’est le shadow AI. Et contrairement au shadow IT classique (un Trello non autorisé, un Dropbox personnel), les conséquences peuvent être immédiates et irréversibles : fuite de données confidentielles, non-conformité réglementaire, décisions basées sur des hallucinations non vérifiées.
À retenir
- Le shadow AI touche 65 % des entreprises, souvent à l'insu de la DSI
- Les données envoyées à un LLM externe ne peuvent pas être récupérées — la fuite est définitive
- L'AI Act rend les entreprises responsables de tous les usages IA, y compris non autorisés
- Trois leviers d'action : détecter, encadrer, former — dans cet ordre
Du shadow IT au shadow AI : ce qui a changé
Le shadow IT traditionnel posait des problèmes de sécurité et de gouvernance, mais les risques étaient contenus. Un fichier sur un Google Drive personnel reste un fichier — on peut le retrouver, le supprimer, le transférer.
Le shadow AI est fondamentalement différent pour trois raisons.
Les données quittent l’organisation de manière irréversible. Quand un collaborateur colle un contrat client dans ChatGPT pour en faire un résumé, ces données sont transmises aux serveurs d’OpenAI. Selon les conditions d’utilisation de la version gratuite, elles peuvent être utilisées pour l’entraînement du modèle. Même avec la version payante, le contrôle est limité. Samsung l’a appris à ses dépens en 2023 : trois fuites de code source en un mois via ChatGPT, suivies d’une interdiction totale de l’outil.
Le volume d’utilisation est massif. Selon une étude Gartner publiée en janvier 2026, 65 % des employés utilisant l’IA au travail le font avec des outils non approuvés par leur entreprise. Ce n’est pas un phénomène marginal — c’est la norme.
Les conséquences réglementaires sont nouvelles. L’AI Act européen rend les entreprises responsables de l’utilisation des systèmes d’IA par leurs collaborateurs, y compris les usages non autorisés. L’article 4 impose une obligation de formation pour tous ceux qui interagissent avec l’IA. Ignorer le shadow AI ne vous protège pas — cela vous expose.
65%
des employés utilisent l'IA au travail avec des outils non approuvés par leur entreprise
Source : Gartner Digital Worker Survey, janvier 2026
Les 4 risques concrets du shadow AI
1. Fuite de données confidentielles
C’est le risque le plus immédiat. Chaque interaction avec un LLM externe est un transfert de données potentiel. Les collaborateurs ne mesurent pas toujours ce qu’ils partagent : briefs clients, données financières, code propriétaire, informations RH. Une étude de Cyberhaven (2025) a montré que 11 % des données collées dans ChatGPT par des collaborateurs contenaient des informations confidentielles.
2. Non-conformité RGPD et AI Act
Envoyer des données personnelles à un LLM sans base légale est une violation du RGPD. L’entreprise est responsable, pas le collaborateur individuel. Et avec l’AI Act, l’absence de cartographie des usages IA constitue en soi un manquement documentable.
3. Décisions basées sur des informations fausses
Les LLM hallucinent dans 3 à 10 % des cas. Sans cadre d’utilisation, sans formation aux limites de l’IA, vos collaborateurs prennent des décisions sur la base d’informations potentiellement inventées. Un chiffre de marché fabriqué dans une proposition commerciale, une clause juridique inexistante dans un contrat — les exemples se multiplient.
4. Perte de contrôle stratégique
Quand 65 % de vos collaborateurs utilisent l’IA sans cadre, vous perdez la visibilité sur un pan entier de votre activité. Vous ne savez pas quels processus ont été modifiés, quelles décisions sont influencées par l’IA, ni quelle est votre exposition réelle aux risques.
Le shadow AI est un problème de direction générale, pas un problème IT. Les enjeux — conformité réglementaire, protection des données, fiabilité des décisions — dépassent largement le périmètre de la DSI.
Comment détecter le shadow AI dans votre organisation
La détection repose sur trois approches complémentaires.
L’analyse réseau. Les solutions de CASB (Cloud Access Security Broker) et de DLP (Data Loss Prevention) permettent d’identifier les connexions vers les domaines des LLM (api.openai.com, claude.ai, gemini.google.com, etc.). C’est la méthode la plus fiable pour quantifier l’ampleur du phénomène.
L’enquête terrain. Des questionnaires anonymisés auprès des équipes révèlent souvent bien plus que les outils techniques. Posez des questions simples : « Utilisez-vous ChatGPT ou un autre outil d’IA dans votre travail ? » Les résultats sont généralement surprenants — et très supérieurs aux estimations de la direction.
L’audit des flux de données. Analysez les logs de copier-coller, les extensions de navigateur installées, les applications mobiles connectées au réseau d’entreprise. Plusieurs solutions (Nightfall AI, Cyberhaven, Code42) proposent des outils spécifiques pour détecter les flux de données vers des LLM.
11%
des données collées dans ChatGPT par des collaborateurs contiennent des informations confidentielles
Source : Cyberhaven AI Data Risk Report 2025
Encadrer sans interdire : la bonne approche
L’interdiction pure ne fonctionne pas. Samsung, Apple, JPMorgan ont interdit ChatGPT — et les collaborateurs ont continué à l’utiliser sur leurs téléphones personnels. Bloquer sans alternative crée de la frustration et renforce le shadow AI.
La stratégie efficace repose sur trois piliers.
1. Proposer des alternatives approuvées
Déployez des outils d’IA validés par la DSI et la DPO : ChatGPT Enterprise, Copilot pour Microsoft 365, Claude for Work. Ces versions offrent des garanties contractuelles sur le traitement des données (pas d’entraînement sur vos données, hébergement européen possible, journalisation des usages).
2. Définir une charte IA claire
Votre charte d’utilisation de l’IA doit être courte, concrète et diffusée à tous. Elle précise : quels outils sont autorisés, quelles données peuvent être partagées (et lesquelles ne le peuvent absolument pas), quelles sont les obligations de vérification des résultats, et qui contacter en cas de doute.
3. Former plutôt que bloquer
C’est le levier le plus puissant. Un collaborateur formé aux risques et aux bonnes pratiques de l’IA est un collaborateur qui n’a plus besoin du shadow AI. Il sait quoi utiliser, comment l’utiliser, et quelles limites respecter. L’article 4 de l’AI Act rend cette formation obligatoire — autant en faire un avantage compétitif plutôt qu’une contrainte.
La meilleure façon de lutter contre le shadow AI n’est pas le contrôle — c’est l’offre. Donnez à vos équipes des outils IA meilleurs que ceux qu’ils utilisent en cachette, et le problème se résout de lui-même.
Mettre en place une gouvernance IA adaptée
Le shadow AI n’est qu’un symptôme. La cause profonde est l’absence de gouvernance IA. Sans cadre, chaque collaborateur improvise. Avec un cadre clair, vous transformez un risque en opportunité.
Les entreprises qui réussissent cette transition suivent un schéma commun :
- Cartographier — identifier tous les usages IA (autorisés et non autorisés)
- Encadrer — charte, outils approuvés, règles claires sur les données
- Former — montée en compétences de tous les collaborateurs, pas seulement les early adopters
- Auditer — vérification régulière de la conformité et des usages
- Itérer — mise à jour du cadre au rythme de l’évolution technologique et réglementaire
Ce processus n’est pas un projet à 6 mois. C’est un cycle continu. L’IA évolue trop vite pour qu’un cadre figé reste pertinent.
Passez du shadow AI à une stratégie IA maîtrisée
Brain est la plateforme de formation et de montée en compétences IA qui transforme le shadow AI en usage maîtrisé. Des parcours adaptés à chaque métier, une montée en compétences progressive, et un suivi documenté pour votre conformité AI Act.
Ne laissez pas le shadow AI devenir votre prochaine crise. Commencez par former vos équipes aux bonnes pratiques.