Aujourd’hui, dans des milliers d’entreprises, un phénomène se développe en silence.

Un commercial copie un contrat dans chatGPT pour en extraire les informations clés.
Un développeur utilise une IA pour générer et améliorer le code d’un produit.
Un RH upload des CVs dans Claude pour sélectionner les meilleurs.

Aucun processus validé, aucun contrôle, aucune conformité ; bienvenue dans le shadow IT.

Le shadow IT désigne l’utilisation d’IA sans validation de l’entreprise, ou avec un cadre trop strict par rapport aux besoins. Le concept n’est pas nouveau, c’est un type de shadow IT, qui consiste à ce que les employés utilisent des outils informatiques non autorisés. Mais avec l’IA le phénomène prend une autre dimension.

Contrairement aux outils classiques, les solutions d’IA sont accessibles instantanément, sans installation, sans formation et donnent un impact immédiat sur la productivité. En quelques minutes, un collaborateur peut accomplir des tâches qui lui prenait plusieurs heures auparavant. Cette simplicité d’usage, combinée à des gains concrets, explique pourquoi l’adoption est aussi rapide et aussi dure à encadrer.

Avant l’IA, le shadow IT répondait principalement à des besoins de confort ou d’habitude. Les collaborateurs utilisaient des solutions alternatives pour partager des fichiers, communiquer plus facilement, ou s’organiser différemment. Il s’agissait d’optimiser ou d’adapter des processus existants.

Avec le shadow AI, la logique change.

Les outils ne se contentent plus d'accompagner le travail, ils participent directement à la réalisation. Ils permettent de rédiger, analyser, coder, et structurer des réflexions poussées. Son impact est donc beaucoup plus stratégique car il touche jusqu’au cœur même de la production et de la valeur de l’entreprise. 

Un facteur clé, souvent sous-estimé, explique la vitesse de propagation du shadow AI : l’usage personnel. En effet, une grande partie des collaborateurs utilisent déjà ces outils au quotidien. Que ce soit pour rédiger un mail, organiser un projet personnel, faire des recherches ou résoudre un problème, l’IA est devenue un réflexe. 

Cette adoption rapide et non encadrée n’est pas sans risques.

Le premier risque concerne la fuite de données. Lorsqu’un collaborateur partage des informations sensibles avec une IA externe, il perd le contrôle sur leur utilisation. Ces données peuvent être stockées, analysées, voire utilisées pour entraîner les futurs modèles d’IA. On peut facilement imaginer les problèmes dans le cas où une IA grand public serait entraînée sur des documents confidentiels ou du code propriétaire par exemple.
Les enjeux juridiques sont également importants. L’utilisation non maîtrisée de ces solutions peut entraîner des violations du RGPD, en particulier lorsque des données personnelles et clients sont traitées sans garanties suffisantes. Une non conformité pourrait être relevée par la CNIL dans le cas où une plainte serait déposée.

Au-delà de ces aspects, lorsque les usages de l’IA se développent en dehors de tout cadre, l’entreprise perd la maîtrise de ses processus. Les décisions, analyses et productions, sont basées sur des outils externes, différents pour chacun et non intégrés. Cette dépendance peut fragiliser et nuire à l'entreprise sur le long terme.

Face à ces risques, certaines entreprises ont tenté d’interdire l’usage de l’IA sans proposer d’alternative. Dans la pratique, les collaborateurs continuent d’utiliser ces outils, souvent via des appareils personnels ou des comptes privés. L’interdiction ne supprime pas l’usage mais le rend invisible et incontrôlable. De plus, interdire complètement l’usage des IAs en entreprise reviendrait, pour une entreprise, à perdre en performance face aux concurrents et à sortir de la compétition.

Les entreprises conscientes ont déjà changé de posture. Plutôt que de lutter contre l’utilisation de l'IA, elles cherchent à l’encadrer. Cela passe par la mise à disposition d’outils sécurisés et dédiés à un usage professionnel, la validation de l’outil mais également par la formation des utilisateurs. L’objectif est de maîtriser l’usage de ces technologies qui restent encore assez floues pour la plupart.

Le shadow IA n’est pas une dérive, c’est le signal que les collaborateurs, et l’entreprise, font face à un besoin qui n’est pas rempli.

Si vous n’avez pas encore intégré l’IA dans votre organisation, vos collaborateurs l’ont fait sans vous.