https://cdn.prod.website-files.com/693e99a520afb5d98ca43432/698dac22f109ae72487d92ee_shadow%20ia%20Moon.jpg
  1. Blog
  2. L'IA « clandestine » : le risque invisible qui coûte cher aux entreprises françaises
Veille

L'IA « clandestine » : le risque invisible qui coûte cher aux entreprises françaises

Summarize this article with:

Vos collaborateurs utilisent probablement déjà l’intelligence artificielle au quotidien. La question, c'est de savoir si vous êtes au courant, et si vous mesurez l’ampleur du risque couru par votre entreprise. Décryptage…

Shadow AI : de quoi parle-t-on, au juste ?

Le Shadow AI, littéralement « IA fantôme », désigne l'utilisation d'outils IA par les salariés d'une entreprise en dehors de tout cadre validé par la direction ou la DSI. Il s’agit, en d’autres termes, de collaborateurs qui ouvrent un compte gratuit ou payant sur ChatGPT, Claude ou Gemini avec leur adresse personnelle et qui s'en servent pour traiter des tâches professionnelles sans que l'entreprise n’en soit informée.

Le Shadow AI est le prolongement du Shadow IT, qui consiste à utiliser des logiciels non approuvés par la direction ou la DSI dans son poste de travail… mais avec deux particularités qui rendent le phénomène plus problématique dans le contexte de l’IA : 

  • La facilité d'accès : la création d'un compte ChatGPT prend 30 secondes, là où l'installation d'un logiciel non autorisé demandait un minimum de compétences techniques. 
  • La nature des données échangées : pour obtenir une réponse utile d'un chatbot, les collaborateurs doivent le « nourrir » avec des informations internes, parfois confidentielles (données clients ou financières, contrats, etc.).

Dans les PME et les ETI, le Shadow AI s’exprime généralement par des cas très opérationnels : 

  • Un commercial qui colle sa liste de prospects dans ChatGPT pour générer des emails de relance personnalisés ;
  • Un comptable qui soumet des factures fournisseurs à un outil IA pour accélérer la catégorisation et la saisie comptable ;
  • Un responsable RH qui fait passer les CV de ses candidats dans un chatbot pour trier les profils et rédiger des synthèses ;
  • Un dirigeant qui partage les comptes rendus de son comité de direction avec un assistant IA pour en extraire un plan d'action.

Chacun de ces usages part d'une bonne intention : gagner du temps et améliorer la qualité du travail… mais à quel prix ?

Le cas Samsung : quand le Shadow AI dérape…

En mars 2023, Samsung a autorisé les ingénieurs de sa division semi-conducteurs à utiliser ChatGPT pour corriger des erreurs de code. En 20 jours, le géant a enregistré trois incidents majeurs : deux bases de données confidentielles et un compte rendu de réunion ont été partagés sur ChatGPT par des utilisateurs imprudents. Ces informations ont été transmises à un service tiers, avec un risque de conservation ou d’exploitation ultérieure non maîtrisé. Samsung a d'abord restreint l'accès à ChatGPT, puis l'a tout simplement interdit, avant d'annoncer le développement de son propre outil IA réservé à un usage interne.

L’état des lieux du Shadow AI en France

Selon le baromètre IFOP 2025 pour Talan, 72 % des utilisateurs français d'IA générative misent sur ChatGPT, mais seules 39 % des entreprises le proposent à leurs équipes via des comptes professionnels. 

Ce décalage entre l'offre de l'entreprise et les habitudes de ses salariés est le principal carburant du Shadow AI : faute d'outil proposé ou validé en interne, les collaborateurs comblent eux-mêmes le vide avec leurs comptes personnels.

Dans les PME et les ETI, le phénomène est amplifié par l'absence de DSI dédiée et de budget consacré au digital et à l’IA. Ainsi : 

  • 47 % des utilisateurs d'IA générative en PME (dans le monde) y accèdent encore via des comptes personnels non supervisés ;
  • 63 % des entreprises n’ont toujours pas de politique de gouvernance pour encadrer l’usage de l’IA en interne. 

Quels sont les risques du Shadow AI pour votre entreprise ?

Fuite de données, non-conformité réglementaire, erreurs non détectées dans les livrables clients : le Shadow AI expose les PME et les ETI à de vrais risques opérationnels, juridiques et financiers.

1. Fuite de données confidentielles

Le commercial qui colle son fichier prospects, le juriste qui soumet un contrat, le développeur qui partage du code source : tous transmettent des informations potentiellement sensibles à des fournisseurs tiers (OpenAI, Google, etc.) sans Data Processing Agreement ni garantie sur le traitement de ces données.

Selon le rapport « Cost of Data Breach » d’IBM (2025), les entreprises qui présentent un niveau élevé de Shadow AI subissent un surcoût moyen de 670 000 $ par incident de fuites de données à l’échelle mondiale. Et parmi celles qui ont subi une faille de sécurité liée à l'IA, 97 % n'avaient pas mis en place de contrôle d'accès aux outils IA utilisés par leurs collaborateurs.

Le scandale de la fuite des conversations ChatGPT

Fin juillet 2025, plus de 100 000 conversations ChatGPT se sont retrouvées librement accessibles sur Google et Bing : des contrats commerciaux, des données financières, des échanges personnels qui permettent d’identifier leurs auteurs, etc. OpenAI a retiré la fonctionnalité en la qualifiant d'« expérimentation de courte durée », mais le mal était fait : les données, déjà archivées par des tiers, ne pouvaient plus être supprimées.

2. Non-conformité au RGPD et à l’IA Act

Si un salarié soumet des données personnelles à un chatbot IA gratuit (CV de candidats, coordonnées clients, informations médicales...), l'entreprise s’expose au risque de non-conformité au RGPD. Aucun Data Processing Agreement ne lie l'entreprise au fournisseur de l'outil et aucune base légale ne justifie le transfert. Les sanctions peuvent atteindre 4 % du chiffre d'affaires annuel mondial.

L'IA Act ajoute une couche légale supplémentaire depuis le 2 février 2025 : l'article 4 du règlement impose à toute entreprise qui utilise un système d'IA de garantir un « niveau suffisant de maîtrise de l'IA » à son personnel, c'est-à-dire de former ses collaborateurs aux risques et aux limites des outils utilisés. Le Shadow AI ne permet pas, par définition, de se conformer à cette obligation.

3. Erreurs et hallucinations dans les livrables clients

Les collaborateurs qui utilisent l'IA sans formation ni supervision ont tendance à prendre les réponses des chatbots pour argent comptant. 

Or les modèles d'IA générative produisent régulièrement des « hallucinations », surtout s’il s’agit d’un modèle gratuit : des informations fausses, présentées avec l'aplomb d'un fait vérifié. Et la responsabilité juridique, en cas de préjudice, reviendra à l’entreprise. 

4. Surface d'attaque élargie

Les comptes personnels que les salariés utilisent pour accéder aux outils IA sont autant de points d'entrée non sécurisés vers l'entreprise. Ces comptes sont parfois protégés par des mots de passe faibles, sans double authentification ni supervision de la DSI. 

Si un cybercriminel compromet l'un de ces comptes, il accède à l'historique des conversations avec potentiellement les processus internes, les noms de clients, les projets en cours, les tarifs... autant d'informations qui lui permettent ensuite de lancer des attaques par ingénierie sociale (phishing ciblé, usurpation d'identité d'un collègue ou d'un prestataire).

Comment reprendre le contrôle sur le Shadow AI ?

Le Shadow AI prospère là où l'entreprise laisse un vide : pas d’outil validé en interne, pas de règles d’usage, pas de formation dispensée... Combler ce vide, c'est reprendre la main et flécher l’IA vers des usages utiles, conformes à la loi et rentables.

Dans la pratique, la démarche tient en 4 étapes :

  • Cartographier les usages existants : identifier quels collaborateurs utilisent quels outils IA, sur quelles tâches et avec quelles données ;
  • Proposer des outils validés : mettre à disposition des comptes professionnels sur des outils IA adaptés à l'activité, avec des règles de confidentialité configurées en amont ;
  • Rédiger une charte d'usage IA : formaliser ce qui est autorisé, ce qui est interdit et les bonnes pratiques à respecter (types de données à ne jamais soumettre, vérification systématique des outputs, etc.) ;
  • Former les équipes : sensibiliser aux risques, transmettre les bons réflexes et répondre à l'obligation de formation IA imposée par l'article 4 de l'IA Act.

L'IA simple, utile, rentable.

Au service de votre croissance.

Discutons de votre projet !

Publié le 12.02.2026

Mohamed BEKKARA

Nos autres articles

Découvrir toutes nos ressources
Gmail, Sheets, Meet : ce que l'IA de Google fait pour votre PME en 2026
Veille
Sam Foaren
18/03/2026
Gmail, Sheets, Meet : ce que l'IA de Google fait pour votre PME en 2026
L’état des lieux de Moon : les entreprises françaises récoltent les premiers bénéfices opérationnels de l’IA
Veille
Sam Foaren
18/03/2026
L’état des lieux de Moon : les entreprises françaises récoltent les premiers bénéfices opérationnels de l’IA
L’état des lieux de l’usage de l’IA dans les PME françaises : où se situe votre entreprise ?
Veille
Sam Foaren
18/03/2026
L’état des lieux de l’usage de l’IA dans les PME françaises : où se situe votre entreprise ?