Quels sont les outils IA les plus utilisés en shadow AI ?

Les outils les plus fréquemment utilisés en shadow AI sont les chatbots comme ChatGPT et Gemini, les assistants de rédaction, et les solutions de génération de code comme GitHub Copilot. Ces outils sont populaires en raison de leur accessibilité et de leur efficacité perçue pour des tâches courantes.

Comment détecter les usages shadow AI dans mon entreprise ?

Pour détecter les usages shadow AI, combinez plusieurs méthodes : enquête anonyme auprès des collaborateurs, analyse des dépenses IT pour identifier des abonnements à des outils IA, scan des logs réseau pour repérer des connexions à des API externes, et entretiens avec les métiers pour comprendre leurs besoins et usages.

Quels sont les risques juridiques du shadow AI sous l'AI Act ?

Le shadow AI expose l'entreprise à plusieurs risques juridiques sous l'AI Act. Un outil non déclaré ne peut pas être documenté, audité ou supervisé, ce qui viole les obligations de transparence et de registre. De plus, l'utilisation d'outils IA grand public peut entraîner des fuites de données sensibles, en violation du RGPD.

Comment sensibiliser les collaborateurs aux risques du shadow AI ?

Pour sensibiliser les collaborateurs, organisez des formations sur les risques du shadow AI et les bonnes pratiques. Expliquez les obligations de l'AI Act, comme la nécessité de déclarer les outils utilisés. Proposez des alternatives officielles et sécurisées, et mettez en place un canal de déclaration simple et confidentiel.

Qu'est-ce qu'une Acceptable Use Policy pour l'IA ?

Une Acceptable Use Policy pour l'IA est un document qui définit les règles d'utilisation des outils IA dans l'entreprise. Elle précise quels outils sont autorisés ou interdits, quels types de données peuvent être traités, et les procédures de déclaration et d'approbation. Cette politique s'accompagne souvent d'une formation à la littératie IA.

Comment créer un catalogue d'outils IA approuvés ?

Pour créer un catalogue d'outils IA approuvés, identifiez d'abord les besoins métiers via des entretiens ou des enquêtes. Évaluez ensuite les outils disponibles sur le marché en fonction de critères de conformité, de sécurité et d'efficacité. Sélectionnez des solutions comme Microsoft 365 Copilot ou GitHub Copilot Enterprise, qui offrent des garanties de conformité. Communiquez clairement sur ce catalogue et formez les collaborateurs à son utilisation.

Quelles sont les alternatives aux outils IA grand public ?

Les alternatives aux outils IA grand public incluent des solutions professionnelles comme Microsoft 365 Copilot, GitHub Copilot Enterprise, ou des outils spécialisés pour des métiers spécifiques. Ces solutions offrent des garanties de conformité, de sécurité et de confidentialité, tout en répondant aux besoins des collaborateurs.

Shadow AI : comment inventorier ses outils IA

01 - Définition

Qu'est-ce que le shadow AI ?

Le shadow AI désigne l'utilisation d'outils d'intelligence artificielle par les collaborateurs sans validation ni supervision de la DSI ou du DPO.

Ces outils incluent des chatbots comme ChatGPT, des assistants de rédaction, des générateurs d'images ou des solutions de code comme GitHub Copilot. Ils sont accessibles en quelques clics, via des comptes personnels ou des versions freemium. Selon plusieurs études, entre 41 % et 78 % des entreprises sont concernées, avec une prévalence plus élevée dans les grandes organisations.

Le shadow AI n'est pas un phénomène marginal. Il reflète une tendance plus large : l'adoption rapide de technologies par les métiers, en dehors des canaux IT traditionnels. Cette pratique pose des défis majeurs pour la gouvernance des données et la conformité réglementaire.

02 - Causes

Pourquoi le shadow AI prolifère en entreprise

Les outils IA grand public sont conçus pour une adoption immédiate. Une simple adresse email suffit pour créer un compte et commencer à utiliser des services comme ChatGPT ou Gemini. Les versions freemium, sans engagement financier, réduisent encore les barrières à l'entrée.

La pression de productivité pousse les collaborateurs à chercher des solutions rapides. L'IA apparaît comme un levier pour gagner du temps, que ce soit pour rédiger un email, analyser des données ou générer du code. Les métiers, souvent en avance sur les services IT, adoptent ces outils sans attendre les validations internes.

Enfin, le manque de solutions alternatives officielles encourage le shadow AI. Si l'entreprise ne propose pas d'outils IA approuvés et faciles à utiliser, les collaborateurs se tournent vers des solutions externes. Ce phénomène est particulièrement marqué dans les secteurs où les besoins en IA sont émergents, comme le juridique ou la communication.

03 - Risques

Risques concrets pour la conformité sous l'AI Act

L'AI Act impose des obligations strictes en matière de transparence, de documentation et de supervision. Un outil non déclaré ne peut pas être évalué, documenté ou audité. L'article 26 du règlement exige un registre et des logs pour les systèmes haut risque - impossible à satisfaire si le système n'est pas identifié en amont.

Les risques opérationnels sont tout aussi préoccupants. Les outils IA grand public ne sont pas conçus pour un usage professionnel. Ils peuvent traiter des données sensibles - informations clients, secrets industriels - sans garantie de confidentialité. Les prompts envoyés à des API externes peuvent contenir des données personnelles, exposant l'entreprise à des violations du RGPD.

Un prompt contenant des données clients envoyé à une API hors UE peut constituer un transfert illicite de données personnelles, même si l'outil est utilisé de bonne foi et à des fins internes.

Le shadow AI introduit aussi des biais non documentés dans les processus métiers. Un outil de génération de texte ou d'analyse peut produire des résultats biaisés, sans que l'entreprise en ait conscience. Ces biais peuvent avoir des conséquences juridiques dans des domaines comme le recrutement ou l'évaluation des risques.

04 - Méthode

Méthode d'inventaire en 5 étapes

Identifier les outils IA non déclarés nécessite une approche structurée, combinant enquête collaborative et analyse technique. Aucune de ces étapes seule ne suffit : leur combinaison garantit un inventaire complet.

Enquête auprès des collaborateurs : envoyer un questionnaire anonyme pour identifier les outils utilisés. Questions types : "Quels outils IA utilisez-vous dans votre travail ?", "Pour quelles tâches ?", "Avez-vous créé un compte personnel pour y accéder ?".
Analyse des dépenses IT : examiner les relevés de cartes professionnelles et les factures pour identifier des abonnements à des outils IA. Les versions payantes de ChatGPT, Midjourney ou d'autres services sont souvent achetées directement par les métiers, hors circuit IT.
Scan du réseau et des logs : utiliser des outils de monitoring pour détecter les connexions à des API ou services IA. Les logs des pare-feux et des proxys peuvent révéler des usages non déclarés, notamment vers des endpoints comme api.openai.com ou generativelanguage.googleapis.com.
Entretiens avec les métiers : organiser des ateliers avec les équipes pour comprendre leurs besoins et leurs usages réels. Ces échanges permettent d'identifier des outils méconnus de la DSI et de recueillir des retours sur leur efficacité perçue.
Formulaire de déclaration volontaire : mettre en place un canal simple pour que les collaborateurs déclarent leurs usages IA. Ce formulaire doit être accessible, sans jugement, et accompagné d'une communication claire sur les objectifs.

05 - Outils

Modèle de formulaire de déclaration d'outil IA

Un formulaire simple et accessible encourage les collaborateurs à déclarer leurs usages IA sans crainte de sanction. Déployez-le via Google Forms, Microsoft Forms ou tout outil interne équivalent. L'important : la simplicité des champs et la neutralité du ton.

Voici les champs à inclure :

Nom de l'outil IA : champ texte libre (ex. ChatGPT, Copilot, Midjourney, Perplexity).
Usage principal : liste déroulante - rédaction, analyse de données, génération de code, génération d'images, autre.
Fréquence d'utilisation : quotidienne, hebdomadaire, occasionnelle.
Types de données traitées : aucune donnée sensible, données clients, données employés, données financières, autre.
Type de compte utilisé : compte professionnel de l'entreprise, compte personnel ou version freemium.
Commentaires libres : zone de texte pour tout élément complémentaire jugé utile.

Communiquez clairement sur l'objectif du formulaire : sécuriser les usages IA, et non sanctionner les collaborateurs. Le taux de réponse est directement lié au niveau de confiance perçu par les équipes.

06 - Stratégie

Bâton vs carotte : quelle approche adopter face au shadow AI ?

Interdire le shadow AI sans proposer d'alternatives est inefficace. Les besoins restent, les outils changent. Une stratégie durable combine sensibilisation, solutions officielles et cadre clair.

L'approche répressive : pourquoi elle échoue

Bloquer les accès aux outils IA grand public ou sanctionner les collaborateurs pris en faute ne résout pas le problème de fond. Les collaborateurs trouvent des contournements : accès via mobile, VPN personnels ou outils alternatifs non détectés. La répression génère de la méfiance et rend invisible ce qui était seulement discret. Le shadow AI ne disparaît pas, il se cache mieux.

L'approche collaborative : trois leviers

Une stratégie efficace repose sur trois leviers complémentaires :

Sensibilisation : former les collaborateurs aux risques concrets - fuite de données, violation du RGPD, responsabilité personnelle. Des formations courtes en e-learning sont plus efficaces que des chartes longues non lues. L'article 4 de l'AI Act impose d'ailleurs une obligation de maîtrise de l'IA à tous les opérateurs depuis le 2 février 2025.
Solutions officielles : proposer des alternatives approuvées et conformes. Un accès entreprise à des outils certifiés, avec des conditions contractuelles adaptées, réduit significativement le recours au shadow AI. Le marché propose aujourd'hui des versions professionnelles de la plupart des outils grand public.
Cadre clair : publier une politique d'utilisation de l'IA, simple et opérationnelle. Elle doit préciser quels outils sont autorisés, pour quels usages et avec quelles données. L'outil d'obligations d'aiacto.eu peut aider à structurer ce cadre selon votre secteur et votre taille.

L'objectif n'est pas d'éliminer l'usage de l'IA par les collaborateurs, mais de le canaliser. Un usage IA bien encadré est un atout concurrentiel. Un usage non documenté est un risque réglementaire que l'organisation porte seule.

07 - Références

Cadre juridique : les articles à connaître

AI Act . Art. 4

Obligation de maîtrise de l'IA pour tous les opérateurs, applicable depuis le 2 février 2025.

AI Act . Art. 26

Obligations des déployeurs de systèmes haut risque, dont la tenue d'un registre et de logs automatiques.

AI Act . Art. 50

Obligations de transparence pour les systèmes interagissant avec des personnes physiques, applicables en novembre 2026.

RGPD . Art. 25

Privacy by design : tout traitement de données personnelles doit être documenté et encadré dès la conception.

RGPD . Art. 44

Transfert de données hors UE : conditions strictes s'appliquant aux API d'outils IA non européens.

Vos outils IA sont-ils tous déclarés et conformes ?

En 3 minutes, le diagnostic aiacto.eu identifie vos obligations AI Act selon votre secteur, votre taille et les outils que vous déployez. Gratuit, sans inscription.

08 - FAQ

Questions fréquentes

Les réponses aux questions les plus posées sur le shadow AI et la conformité à l'AI Act.

Le shadow AI désigne l'utilisation d'outils IA par les collaborateurs sans validation de la DSI ou du DPO. Il inclut des chatbots, assistants de rédaction ou générateurs de code accessibles librement en ligne. Ce phénomène touche entre 41 % et 78 % des entreprises selon les études publiées entre 2024 et 2025.

L'AI Act n'interdit pas directement le shadow AI, mais il impose des obligations de documentation, de supervision et de traçabilité que l'usage non déclaré d'outils IA rend impossibles à respecter. Les systèmes classifiés haut risque nécessitent notamment un registre et des logs, qui ne peuvent être tenus sans inventaire préalable.

La détection repose sur plusieurs approches complémentaires : enquête anonyme auprès des collaborateurs, analyse des logs réseau, examen des dépenses IT et entretiens avec les équipes métiers. Aucune méthode seule n'est suffisante. La combinaison des cinq étapes décrites dans cet article permet un inventaire complet et fiable.

Toute donnée saisie dans un outil IA externe peut être transmise à des serveurs hors UE, sans garantie de confidentialité. Les données clients, les informations financières et les échanges internes sont particulièrement à risque. Chaque prompt contenant un nom, un email ou toute information identifiante constitue un traitement de données personnelles au sens du RGPD.

La transparence sur les objectifs est essentielle : la déclaration vise à sécuriser les usages, pas à sanctionner. Un formulaire anonyme, une communication sans jugement et la mise à disposition rapide d'alternatives officielles augmentent significativement le taux de réponse. Le message clé : déclarer, c'est protéger à la fois l'entreprise et le collaborateur.

Le shadow IT désigne l'ensemble des systèmes informatiques utilisés sans validation IT, dont le shadow AI est une sous-catégorie. Le shadow AI est aujourd'hui la forme la plus courante de shadow IT, en raison de l'accessibilité des outils IA grand public. Il présente des risques spécifiques liés aux traitements de données, aux biais algorithmiques et aux nouvelles obligations de l'AI Act.

La responsabilité se partage entre l'employeur et le collaborateur. L'entreprise reste responsable des traitements de données effectués en son nom, même à l'insu de la DSI. Le collaborateur peut être tenu pour responsable d'une violation de la politique interne. L'existence d'une politique IA publiée et accessible constitue un facteur protecteur pour l'organisation.

Jérémy Pierre

Fondateur aiacto.eu . Expert conformité AI Act

Accompagne fournisseurs et déployeurs d'IA dans leur mise en conformité réglementaire. Auteur de guides pratiques sur l'AI Act et le RGPD appliqué à l'IA générative.

Shadow AI en entreprise : inventorier ses outils IA non déclarés.