Shadow AI : le risque cache de l AI Act pour votre entreprise

Vos collaborateurs utilisent ChatGPT, Claude ou Gemini sans que vous le sachiez. C est ce qu on appelle le shadow AI. Sans politique d encadrement et sans formation, vous etes en non-conformite avec l Article 4 de l AI Act. Voici comment reprendre le controle.

Qu est-ce que le shadow AI ?

Le shadow AI designe l usage non encadre, voire non connu, de systemes d IA par les collaborateurs d une entreprise. Comme le shadow IT en son temps, c est une realite massive : selon plusieurs etudes recentes, plus de 70 pourcent des employes utilisent l IA generative dans leur travail, dont la majorite sans validation explicite de leur employeur.

Le shadow AI prend plusieurs formes :

• Usage de ChatGPT, Claude ou Gemini en navigateur depuis le poste de travail.
• Installation de plugins ou extensions IA dans Chrome, Slack, Notion.
• Utilisation des fonctionnalites IA cachees dans Microsoft 365, Google Workspace, Adobe.
• Recours a l IA depuis un smartphone personnel pour des taches professionnelles.

Pourquoi est-ce un risque AI Act ?

Trois raisons principales :

1. Non-conformite Article 4 (AI Literacy)

L Article 4 vous oblige a former tous les collaborateurs qui utilisent un systeme d IA. Si vos employes utilisent ChatGPT en cachette et sans formation, vous etes en non-conformite avec une obligation deja en vigueur depuis fevrier 2025.

2. Fuite de donnees confidentielles

Les modeles d IA grand public (notamment dans leur version gratuite) peuvent reutiliser les donnees soumises pour entrainer leurs futurs modeles. Vos collaborateurs peuvent involontairement transmettre des donnees clients, des secrets d affaires, du code source, des informations RH a un systeme tiers.

3. Cumul avec le RGPD

Si les donnees envoyees contiennent des informations personnelles, vous etes egalement en non-conformite RGPD : transfert de donnees hors UE, absence de base legale, absence d analyse d impact.

Les chiffres alarmants

Plusieurs etudes 2024-2025 convergent : 60 a 75 pourcent des collaborateurs utilisent l IA generative au travail, et seulement 30 pourcent l ont declare officiellement a leur employeur. Pres de 30 pourcent des utilisateurs avouent avoir transmis des donnees confidentielles a un modele grand public au moins une fois.

Comment reprendre le controle ?

Etape 1 : Reconnaitre la realite

L approche prohibitive ne fonctionne pas. Interdire l IA generative est contre-productif : les collaborateurs continueront a l utiliser, mais en cachette. Mieux vaut encadrer que prohiber.

Etape 2 : Publier une politique d usage IA

Document court (2-3 pages) qui explique : ce qui est autorise, ce qui est interdit, quels outils utiliser, quelles donnees ne jamais soumettre, comment signaler un incident. La politique doit etre validee par la direction et communiquee a tous.

Etape 3 : Proposer des outils valides

Si vos collaborateurs ont un besoin reel d IA, fournissez-leur un outil entreprise (Microsoft Copilot, version Enterprise de ChatGPT, plateforme interne) qui garantit la confidentialite des donnees.

Etape 4 : Former les equipes (Article 4)

C est l obligation legale et la plus efficace pour reduire le risque. Une sensibilisation d une demi-journee suffit pour la plupart des collaborateurs. Voir nos formations AI Literacy.

Etape 5 : Surveiller sans espionner

Mettre en place des outils de gouvernance IA (CASB, DLP) qui detectent les usages risques sans surveiller individuellement les collaborateurs. L objectif est la prevention, pas la sanction.

Etape 6 : Documenter

Politique IA, sessions de formation, registre des outils valides : autant de preuves que vous avez pris vos responsabilites. C est ce qui distingue une entreprise diligente d une entreprise negligente en cas de controle.

Pour engager votre demarche, decouvrez nos formations AI Act et notre guide de mise en conformite. Voir aussi le guide complet AI Act.