Shadow AI : vos salariés utilisent l’IA sans vous le dire ? Voici ce que vous risquez…

En France, une part importante des salariés qui utilisent l’IA le font en dehors de tout cadre formel, en cachette, avec des outils gratuits qui ne présentent pas toutes les garanties de confidentialité nécessaires. Ce phénomène porte un nom : le Shadow AI.

Pendant que vous lisez ces lignes, vos données confidentielles circulent probablement sur les serveurs de ChatGPT ou Claude, avec des risques juridiques, réputationnels et économiques importants. Décryptage…

Shadow AI : de quoi parle-t-on, exactement ?

Le Shadow AI, ou l’IA fantôme, désigne l'utilisation d'outils d'intelligence artificielle générative par les salariés en dehors de tout cadre officiel, et à l'insu du service informatique et/ou du management.

Il peut s’agir d’un employé qui reformule ses emails avec ChatGPT depuis son compte personnel, d’un manager qui analyse des données confidentielles sur Claude, d’un commercial qui génère des propositions via Perplexity, etc.

Ce phénomène s'inscrit dans la lignée du Shadow IT, pratique déjà bien connue des DSI, qui consiste à utiliser des logiciels non validés par l'entreprise pour exercer son travail, typiquement :

• Un Drive personnel gratuit pour le stockage des fichiers ;
• Une application de messagerie instantanée (WhatsApp personnel) ;
• Une solution de gestion de projet comme Trello ou Notion.

La nature a horreur du vide. Quand l’entreprise ne donne pas aux équipes le cadre et les outils nécessaires à leur activité, elles constituent leur propre stack technologique, avec les risques que nous verrons dans un instant.

Le Shadow AI est toutefois sensiblement plus problématique que le Shadow IT pour deux raisons :

• La facilité d’accès : n’importe qui peut créer un compte gratuit sur ChatGPT ;
• La facilité d’usage : l’utilisateur peut commencer à « alimenter » le chatbot en données confidentielles sans aucune compétence technique particulière.

💡 Le Shadow AI part d’une bonne intention

Les motivations des salariés restent pragmatiques, parfois légitimes. Ils cherchent à gagner du temps sur des tâches répétitives, à améliorer la qualité de leurs livrables et/ou à résoudre des problèmes complexes. Face à des processus de validation informatique jugés trop longs (lorsqu’ils existent), ils optent pour la solution de facilité : l'outil IA accessible en ligne, souvent gratuit, en toute discrétion.

L’état des lieux du Shadow AI dans les entreprises

Selon une étude du MIT réalisée en 2025, plus de 90 % des entreprises comptent des salariés qui utilisent régulièrement des outils IA personnels pour leur travail quotidien, avec ou sans l’aval de leur hiérarchie.

Mais il y a un paradoxe : 40 % des dirigeants affirment que leur entreprise met à disposition de leurs équipes des abonnements payants « officiels », en phase avec la politique IT en vigueur dans la structure. Cet écart de 50 points montre l’ampleur du décalage entre le top management et les salariés dans l’usage de l’IA.

Dans les entreprises qui interdisent formellement le recours à l’Intelligence Artificielle, 43 % des employés continuent de l'utiliser régulièrement, dont 6 % quotidiennement. Cette proportion est probablement beaucoup plus importante : on peut en effet imaginer que de nombreux salariés ont préféré prendre des précautions, malgré le caractère anonyme de l’étude.

Plus révélateur encore : parmi les « utilisateurs clandestins », 77 % se contentent d'outils gratuits aux capacités limitées et, surtout, sans garantie de confidentialité.

Dans le même sens, dans les entreprises qui n’ont pas de politique IA (26 % du total de l’échantillon), près de deux tiers des effectifs (64 %) utilisent des outils IA gratuits, dont un tiers de manière hebdomadaire (au moins).

En France, une étude de Salesforce (2024) estime que 68 % des salariés sont adeptes du Shadow AI. Un sondage Inria x Datacraft réalisé en juin 2025 auprès de 14 grandes entreprises et institutions françaises dont Airbus, L’Oréal, le Crédit Agricole et le Ministère des Armées, révèle « une appropriation informelle de l’IA par les collaborateurs motivés par la recherche d’efficacité, de créativité ou d’autonomie ».

💡 L’urgence d’encadrer un phénomène déjà bien réel

Un dirigeant témoigne dans l'étude Inria : « L'interdiction génère encore plus d'usages cachés de l'IA ». Un médecin hospitalier avoue utiliser ChatGPT « sur de vrais patients, avec de vraies données, sans aucun filet de sécurité ». Ces pratiques révèlent l'urgence pour les entreprises de sortir du déni et d'encadrer un phénomène déjà massivement installé.

Vos salariés utilisent l’IA sans vous le dire : quels sont les risques ?

#1 Fuites de données et perte de confidentialité

Chaque prompt envoyé à ChatGPT ou Claude depuis un compte personnel représente une transmission de données vers des serveurs externes, hors de tout contrôle de l'entreprise… et ça se passe probablement tous les jours, voire plusieurs fois par jour :

• Un commercial qui copie-colle sa base clients pour demander une segmentation ;
• Un RH qui soumet des CV pour une synthèse ;
• Un ingénieur qui partage du code propriétaire pour du debugging.

Les modèles gratuits stockent et exploitent ces informations pour leur propre entraînement. Vos données sensibles deviennent du matériel d'apprentissage pour des IA qui seront ensuite utilisées par vos concurrents.

💡 Les chiffres à connaître

En juillet 2025, plus de 110 000 conversations ChatGPT ont fuité sur Google. Certaines sont encore accessibles au grand public aujourd’hui. Dans une étude britannique réalisée en 2024, une entreprise sur cinq a subi au moins une fuite de données liée à l’usage non encadré de l’IA générative (source).

#2 Non-conformité réglementaire et risques juridiques

Un salarié qui soumet des données personnelles à une IA générative met l’entreprise en violation du RGPD. L'absence de Data Processing Agreement avec ces outils gratuits vous place en effet en infraction immédiate avec la réglementation européenne. Les sanctions peuvent atteindre 4 % de votre chiffre d'affaires annuel mondial.

Entré en vigueur en 2024, l'AI Act européen ajoute une couche de complexité. Les entreprises doivent désormais documenter et contrôler leur usage de l'IA… une obligation impossible à respecter quand les salariés utilisent ces outils en cachette. Vous ne pouvez pas auditer ce que vous ne voyez pas.

Autre angle mort : la responsabilité juridique de l’entreprise reste entière en cas d'erreur commise par l’IA.

Si un collaborateur génère un rapport erroné avec ChatGPT, ou si un commercial envoie une proposition contractuelle « hallucinée » par l'IA, c’est l'entreprise qui endosse la responsabilité légale des dommages causés aux clients ou partenaires.

 #3 Perte de contrôle sur la qualité et l'image de marque

Quand vos salariés utilisent l'IA sans supervision, vous perdez toute maîtrise sur la qualité du discours marketing et de l’analyse de données (qui influence vos décisions).

Si l’IA invente des chiffres ou des informations sur un article, une campagne publicitaire, un emailing ou une brochure, vous devrez en subir les conséquences :

• Le célèbre magazine américain Sports Illustrated l'a appris à ses dépens, avec des articles IA truffés de fake news et d’études fictives qui ont miné sa crédibilité ;
• Air Canada a été condamnée après qu'un chatbot a inventé une politique de remboursement dans une discussion avec un client ;
• Le chatbot IA de service client d’un concessionnaire Chevrolet de Watsonville a été manipulé par un client pour accepter de vendre un Chevrolet Tahoe 2024 (valeur de 60 000 dollars) pour seulement 1 dollar, avec la mention « c'est une offre juridiquement contraignante ».

#4 Vulnérabilités cyber et portes d'entrée pour les attaquants

Les comptes personnels de vos salariés constituent autant de points d'entrée non sécurisés vers votre système d'information. Protégés par des mots de passe faibles, sans double authentification, ils deviennent des cibles privilégiées pour les cybercriminels.

Une fois le compte compromis, les attaquants analysent l'historique des conversations pour comprendre vos processus internes, votre jargon, vos projets en cours, etc. Ils lancent ensuite des attaques par ingénierie sociale (phishing) d'une précision et d’une crédibilité redoutables, se faisant notamment passer pour des collègues ou des prestataires légitimes.

#5 Creusement des inégalités et dégradation du climat social

Le Shadow AI crée une fracture silencieuse dans vos équipes. D'un côté, les salariés qui maîtrisent l'IA (et qui l’utilisent en secret) gagnent en productivité et en performance. De l'autre, ceux qui respectent les règles ou ne savent pas utiliser ces outils se retrouvent désavantagés.

Les utilisateurs clandestins vivent dans le stress permanent de se faire prendre. L'étude Inria souligne cette « ambivalence forte » : l'IA devient autant un levier d'efficacité qu'un facteur de déstabilisation psychologique, avec un impact RH non négligeable.

DFM vous accompagne dans la transformation IA de votre entreprise

Face au Shadow AI, vous n’avez que deux options :

• L'interdiction pure et simple du recours à l’IA, qui amplifie les usages cachés ;
• L’encadrement de l’IA pour l’exploiter sereinement au service de votre performance.

Expert de l’IA et de la Data, DFM vous accompagne dans cette deuxième voie avec une approche structurée et éprouvée :

1. Un audit IA de votre activité pour cartographier les usages existants, officiels comme officieux. Objectif : identifier les vrais besoins derrière le Shadow AI. Pourquoi vos salariés utilisent-ils ChatGPT en cachette ? Quels process pourraient être optimisés avec des outils sécurisés ? Cet audit est finançable par Bpifrance à hauteur de 42% ;
2. La formation IA, pour que vos collaborateurs deviennent des utilisateurs avertis et responsables de l'IA. Ils apprennent à exploiter ces outils tout en respectant les enjeux de confidentialité et de sécurité ;
3. Pour les cas d'usage identifiés comme prioritaires, DFM vous accompagne dans le choix des outils et l’implémentation sur le terrain ;
4. Pour les cas complexes, nos équipes peuvent développer des solutions IA sur mesure.

Le Shadow AI existe dans la grande majorité des entreprises françaises. Vos salariés utilisent probablement déjà l'IA. La question : comment en faire un levier de croissance maîtrisé plutôt qu'un risque subi au quotidien ? Parlons-en ⬇️