Selon une étude Salesforce, 68 % des salariés français utilisent des outils IA en dehors des outils officiellement autorisés par leur entreprise. Ce phénomène a un nom : le shadow AI. Et il crée un problème RGPD silencieux que la plupart des dirigeants n'ont pas encore traité.
Un commercial qui colle une liste de prospects dans ChatGPT pour préparer une campagne. Un RH qui charge des CV dans un outil IA pour les trier. Un comptable qui partage des données financières avec un assistant IA gratuit. Ces usages existent. Ils sont souvent utiles. Et dans 77 % des cas, ils se font sur des comptes personnels sans garantie de confidentialité.
Qu'est-ce que le shadow AI ?
Le shadow AI désigne l'utilisation d'outils d'intelligence artificielle par des collaborateurs, sans que l'entreprise ne l'ait validé, encadré ni sécurisé. C'est l'équivalent du shadow IT (l'usage de logiciels non autorisés) appliqué à l'IA générative. La différence avec le shadow IT classique : les outils IA traitent du texte, des documents, des données — et dans 68 % des cas, ces données contiennent des informations personnelles ou confidentielles.
Le risque RGPD concret
Quand un salarié envoie des données personnelles (noms de clients, emails, dossiers) dans un outil IA grand public, deux questions se posent. Le fournisseur utilise-t-il ces données pour entraîner ses modèles ? Où sont hébergées ces données ? Sans contrôle, la réponse est souvent inconnue. Et si ces données contiennent des informations personnelles sur vos clients ou vos salariés, l'entreprise engage sa responsabilité RGPD — même si c'est un collaborateur qui a agi sans instruction.
Notre article sur le RGPD et les outils IA détaille les points à vérifier pour chaque outil utilisé dans l'entreprise.
Exemple type : une assistante administrative d'une PME de 40 salariés utilise un outil IA gratuit pour rédiger ses emails et préparer ses comptes rendus. Elle y colle régulièrement les noms, coordonnées et sujets de discussion de clients. L'outil en question utilise ces données pour améliorer ses modèles. La PME n'en sait rien. En cas de contrôle CNIL ou d'incident, c'est l'entreprise qui est responsable.
Comment répondre sans tout interdire
L'interdiction totale ne fonctionne pas : 43 % des salariés qui travaillent dans une entreprise qui interdit l'IA continuent à l'utiliser quand même. La bonne réponse est une combinaison de trois actions. Documenter l'existant : quels outils sont utilisés, par qui, pour quoi. Rédiger une charte IA claire : ce qui est autorisé, ce qui ne l'est pas, quelles données ne doivent jamais être partagées avec un outil externe. Proposer des alternatives sécurisées : des outils validés, avec des DPA (contrats de traitement des données) en place, qui couvrent les usages légitimes sans exposer les données.
L'essentiel à retenir
68 % de vos salariés utilisent probablement l'IA en dehors de vos outils autorisés. Ce shadow AI crée un risque RGPD réel, souvent invisible jusqu'à ce qu'un incident ou un contrôle le révèle. La réponse n'est pas l'interdiction mais le cadrage : charte, alternatives sécurisées, sensibilisation.
Vous voulez cartographier les usages IA de vos équipes et mettre en place un cadre sécurisé ? En un échange, nous identifions vos risques et vous proposons une charte IA adaptée à votre contexte. Cadrons vos usages IA.