Nancy · 03 72 61 04 67 WhatsApp
Gouvernance IA

Shadow AI en PME : pourquoi vos équipes exposent l'entreprise sans le savoir

·Par Yohan Parent
Mains tenant plusieurs smartphones avec chatbots IA — Shadow AI répandu dans la PME

Mardi, 14 h. Votre commercial finit un rendez-vous client important. De retour à son bureau, il doit rédiger un mail de synthèse pour l’équipe. Il ouvre ChatGPT sur son compte Gmail personnel, copie ses notes du rendez-vous, la liste des décideurs présents et les chiffres budgétaires évoqués. Demande à l’IA de structurer tout ça. Trois minutes plus tard, c’est envoyé. Productivité gagnée. Sauf que ces informations viennent de quitter votre entreprise sans que personne le sache.

C’est ça, le Shadow AI : l’usage d’outils d’IA générative par vos collaborateurs, sans cadre, sans supervision, sans visibilité. Le phénomène touche déjà toutes les PME, y compris la vôtre. On vous décrit ce qui se passe en coulisses. Ce que ça vous coûte. Et comment reprendre la main, sans transformer votre entreprise en commissariat. Notre approche complète sur notre page gouvernance IA.

Shadow AI : ce que vos équipes font déjà sans vous le dire

Une définition simple, sans jargon

Le Shadow AI, c’est le pendant moderne du “Shadow IT” qu’on connaît depuis quinze ans. Vos collaborateurs utilisent des outils d’intelligence artificielle qui ne sont pas validés par votre entreprise, sur des comptes personnels, pour des tâches professionnelles. Personne ne leur a dit oui. Personne ne leur a dit non. Personne ne sait que ça se passe.

D’après une étude Microsoft 2025, 71 % des salariés utilisent l’IA sans validation officielle de leur entreprise. Pas par mauvaise volonté : par pragmatisme. Honnêtement, qui peut leur en vouloir ? ChatGPT est gratuit, rapide, accessible depuis n’importe quel téléphone. Quand votre commerciale doit rédiger 15 emails de relance en une après-midi, elle prend l’outil le plus efficace.

Les 3 portes d’entrée du Shadow AI dans une PME

Le Shadow AI ne passe pas que par ChatGPT. Trois canaux principaux :

  1. L’usage direct d’outils IA grand public : ChatGPT, Claude, Gemini, DeepL, Perplexity. Vos équipes y collent des données métier pour gagner du temps.
  2. Les SaaS qui intègrent de l’IA sans le dire vraiment : votre CRM, votre outil de tickets, votre solution de visioconférence ajoutent des fonctions IA dans leurs mises à jour. Vos données passent dedans sans que vous validiez quoi que ce soit.
  3. Les plugins navigateur et extensions : récapitulatif de réunions, traducteur, correcteur. Ils lisent ce qui est à l’écran et l’envoient à un LLM tiers.

Qu’est-ce que le Shadow AI exactement ?

Tout usage d’un outil d’IA non validé, sans encadrement, qui traite vos données ou produit du contenu pour le compte de votre entreprise. La frontière n’est pas l’outil utilisé. C’est l’absence de cadre.

Les chiffres qui devraient faire réagir un dirigeant

Les chiffres sur le Shadow AI ont une particularité : ils convergent. Toutes les études récentes pointent dans la même direction, et la direction n’est pas confortable.

68 % des salariés français utilisent l’IA sans en informer leur direction

L’étude INRIA-Datacraft publiée en juillet 2025, sur un panel incluant Airbus, L’Oréal et le Crédit Agricole, donne un chiffre net : 68 % des salariés français qui utilisent l’IA générative au travail ne préviennent pas leur hiérarchie. L’étude Salesforce, sur un panel différent, donne 58 % qui le font hors de tout cadre défini. Selon que vous comptiez “sans cadre” ou “sans information”, c’est entre 6 et 7 personnes sur 10 dans votre PME.

80 % des organisations n’ont aucune visibilité sur les usages IA

Côté employeur, le constat est aussi clair : 80 % des organisations n’ont pas de vision claire de ce que leurs équipes font avec l’IA, selon l’Usine Digitale. Vous ignorez quels outils sont utilisés, par qui et sur quelles données. Si demain votre assureur, votre commissaire aux comptes ou un gros client vous demande comment vous encadrez ça, vous n’aurez pas de réponse.

670 000 $, le surcoût annuel d’une organisation Shadow AI

Le rapport IBM Cost of a Data Breach 2025 chiffre l’impact financier : les entreprises avec un niveau élevé de Shadow AI subissent en moyenne 670 000 dollars de surcoût annuel par rapport à celles qui en ont peu. C’est plus que le salaire chargé annuel de la moitié de votre équipe.

Ce que vos équipes mettent vraiment dans ChatGPT

Données clients, contrats, chiffres confidentiels : les cas typiques

Concrètement, qu’est-ce qui passe dans ChatGPT chez vous ? Quelques exemples observés en diagnostic :

  • Un comptable colle un compte de résultat complet pour demander une analyse de tendance.
  • Une responsable RH copie un CV reçu avec photo, adresse, numéro de téléphone, pour générer une grille de questions d’entretien.
  • Un commercial colle un brief client confidentiel pour formuler une proposition.
  • Un dirigeant colle un email de plainte client pour préparer une réponse “diplomate”.

Aucune n’a une intention malveillante. Elles veulent juste finir leur journée à l’heure.

Le cas Samsung, avril 2023

L’exemple emblématique concerne une entreprise qu’on n’imaginerait pas naïve. En avril 2023, Samsung a découvert que plusieurs de ses ingénieurs avaient collé du code source confidentiel dans ChatGPT pour le déboguer. Résultat : interdiction immédiate de l’outil sur tout le périmètre Samsung. Le mal était déjà fait.

Mes données ChatGPT sont-elles utilisées pour entraîner l’IA ?

Tout dépend de la version utilisée. La nuance compte beaucoup et la plupart de vos équipes l’ignorent.

Les 3 zones de risque qui vont vous coûter cher

Risque 1 : la fuite de données clients

Le RGPD ne s’est pas suspendu pour l’IA. Si votre collaborateur colle un fichier client dans ChatGPT, vous venez de transférer des données personnelles vers un sous-traitant non déclaré, situé hors UE, sans base légale. Une plainte CNIL et un contrôle, c’est de 0,5 % à 4 % du CA mondial en amende. Pour une PME de 5 M€ de CA, ça monte vite à 200 000 €. Sans compter la perte de confiance si la fuite remonte au client en question. La cybersécurité dépasse maintenant largement les antivirus.

Risque 2 : la non-conformité AI Act

Le règlement européen sur l’IA s’applique par étapes jusqu’en 2027. Pour les systèmes d’IA classés à haut risque, les sanctions montent à 35 millions d’euros ou 7 % du CA mondial. Vous me direz : “On n’est pas concernés, on est petits.” Si vous utilisez l’IA pour le recrutement, l’évaluation des collaborateurs ou la notation client, vous l’êtes. Pour comprendre ce qui s’applique chez vous, voir notre article AI Act et PME.

Risque 3 : la perte de propriété intellectuelle

Vos process, votre savoir-faire, votre tarification : tout peut être aspiré sans contrepartie. L’IA générative apprend de ce qu’on lui donne. Vos collaborateurs lui donnent beaucoup, gratuitement.

Reprendre la main sans interdire l’IA

Pourquoi l’interdiction ne marche pas

Tenter d’interdire ChatGPT à vos équipes, c’est leur demander de ralentir volontairement. Ils ne le feront pas. Ils contournent en deux minutes sur leur téléphone personnel. L’interdiction crée du Shadow AI massif, plus difficile à détecter qu’avant. Samsung l’a appris : six mois après l’interdiction, des audits internes ont montré que l’usage continuait, juste plus discrètement.

Les 4 actions à mettre en place dans les 30 prochains jours

  1. Cartographier l’existant. Quels outils IA sont utilisés dans votre entreprise, par qui et pour quels usages. Un questionnaire anonyme à vos équipes vous donne 80 % de la réponse en une semaine.
  2. Rédiger une charte d’usage IA. Une page. Pas trois cents. Quelles données sont interdites (clients, RH, financier, contrats), quels outils sont autorisés, qui contacter en cas de doute. Voir notre modèle de charte d’usage IA en une page.
  3. Choisir une plateforme professionnelle unique. ChatGPT Team, Microsoft Copilot, ou une plateforme de gouvernance IA dédiée. Vos équipes ont besoin d’un outil officiel, sinon elles utilisent le leur.
  4. Former vos équipes aux usages. Vingt minutes par personne suffisent à éviter 90 % des fuites. Et la formation à l’IA est exigée par l’AI Act.

Diagnostic Shadow AI : ce qu’on regarde concrètement

Notre diagnostic Shadow AI prend une heure dans vos locaux. On cartographie vos usages actuels, on identifie les zones de risque, on chiffre le coût d’une fuite probable et on vous remet un plan d’action priorisé. C’est offert, sans engagement.

Le Shadow AI est déjà chez vous

Le Shadow AI n’est pas un risque futur. Il est déjà dans les ordinateurs de vos équipes. Sur leurs téléphones. Sur leurs comptes personnels. La bonne nouvelle, c’est qu’on sait quoi faire. Une charte d’usage en une page. Un outil professionnel commun. Vingt minutes de formation par personne. La situation bascule en quelques semaines. Vos équipes gagnent en productivité avec un cadre clair, et vous récupérez la visibilité que vous n’avez pas aujourd’hui.

À Nancy et dans tout le Grand Est, on accompagne les PME comme la vôtre dans cette bascule. Le diagnostic Shadow AI est offert et il prend une heure. Réservez votre créneau, on s’occupe du reste.

FAQ

Questions fréquentes

Une autre question ? On répond en moins de 4 h en heures ouvrées.

Mes salariés ont-ils le droit d'utiliser ChatGPT au travail sans me prévenir ?
Légalement, ils sont tenus à un devoir de loyauté et à la confidentialité prévue par leur contrat. Coller des données client dans un outil tiers sans cadre constitue un manquement, qui peut être sanctionné disciplinairement. Mais la responsabilité de mettre en place ce cadre est la vôtre, pas la leur. Vous ne pouvez pas sanctionner ce que vous n'avez jamais formalisé.
Qui est responsable en cas de fuite via ChatGPT : le salarié ou l'entreprise ?
L'entreprise, dans la majorité des cas. La CNIL et le RGPD considèrent le dirigeant comme responsable de traitement, même si la fuite vient d'un salarié. Le seul cas où la responsabilité bascule sur le salarié, c'est quand il a agi en violation manifeste d'une charte connue et signée. Sans charte écrite, vous n'avez pas de défense possible.
ChatGPT Enterprise suffit-il à régler le problème ?
Non. ChatGPT Enterprise règle la question des données (elles ne sortent pas, pas d'entraînement). Mais il ne règle pas la formation des équipes, ni la charte d'usage, ni le suivi des usages, ni la conformité AI Act. C'est un bon outil dans un dispositif plus large. Tout seul, c'est une licence sous-utilisée.
Par où commencer si on est une PME de 15 personnes ?
Par le diagnostic. Une heure de discussion vous donne plus qu'un mois de réflexion en interne. Vous saurez où vous en êtes, ce que ça vous coûte aujourd'hui, et ce qui est prioritaire. Le reste s'enchaîne en quelques semaines.