Shadow AI en entreprise : comment inventorier ses outils IA non déclarés.
Des collaborateurs utilisent ChatGPT, Gemini ou d'autres outils IA sans le déclarer à la DSI ou au DPO. Ce phénomène, appelé shadow AI, compromet la conformité à l'AI Act et expose l'entreprise à des risques juridiques et opérationnels.
Qu'est-ce que le shadow AI ?
Le shadow AI désigne l'utilisation d'outils d'intelligence artificielle par les collaborateurs sans validation ni supervision de la DSI ou du DPO.
Ces outils incluent des chatbots comme ChatGPT, des assistants de rédaction, des générateurs d'images ou des solutions de code comme GitHub Copilot. Ils sont souvent accessibles en quelques clics, via des comptes personnels ou des versions freemium. Selon plusieurs études, entre 41% et 78% des entreprises sont concernées, avec une prévalence plus élevée dans les grandes organisations.
Le shadow AI n'est pas un phénomène marginal. Il reflète une tendance plus large : l'adoption rapide de technologies par les métiers, en dehors des canaux IT traditionnels. Cette pratique pose des défis majeurs pour la gouvernance des données et la conformité réglementaire.
Pourquoi le shadow AI prolifère-t-il ?
Trois facteurs expliquent la croissance du shadow AI : l'accessibilité des outils, la pression de productivité et le manque de solutions alternatives officielles.
Les outils IA grand public sont conçus pour une adoption immédiate. Une simple adresse email suffit pour créer un compte et commencer à utiliser des services comme ChatGPT ou Gemini. Les versions freemium, sans engagement financier, réduisent encore les barrières à l'entrée.
La pression de productivité pousse les collaborateurs à chercher des solutions rapides. Dans un contexte de charge de travail élevée, l'IA apparaît comme un levier pour gagner du temps, que ce soit pour rédiger un email, analyser des données ou générer du code. Les métiers, souvent en avance sur les services IT, adoptent ces outils sans attendre les validations internes.
Enfin, le manque de solutions alternatives officielles encourage le shadow AI. Si l'entreprise ne propose pas d'outils IA approuvés et faciles à utiliser, les collaborateurs se tournent vers des solutions externes. Ce phénomène est particulièrement marqué dans les secteurs où les besoins en IA sont émergents, comme le juridique ou la communication.
Risques concrets sous l'AI Act
Le shadow AI compromet la capacité de l'entreprise à se conformer à l'AI Act et expose à des risques juridiques, opérationnels et réputationnels.
L'AI Act impose des obligations strictes pour les systèmes d'IA, notamment en matière de transparence, de documentation et de supervision. Un outil non déclaré ne peut pas être évalué, documenté ou audité. Par exemple, l'article 26(6) exige un registre et des logs pour les systèmes haut risque. Impossible à satisfaire si le système n'est pas identifié.
Les risques opérationnels sont tout aussi préoccupants. Les outils IA grand public ne sont pas conçus pour un usage professionnel. Ils peuvent traiter des données sensibles, comme des informations clients ou des secrets industriels, sans garantie de confidentialité. Les prompts envoyés à des API externes peuvent contenir des données personnelles, exposant l'entreprise à des violations du RGPD.
Enfin, le shadow AI introduit des biais non documentés dans les processus métiers. Un outil de génération de texte ou d'analyse de données peut produire des résultats biaisés, sans que l'entreprise en ait conscience. Ces biais peuvent avoir des conséquences juridiques, notamment dans des domaines comme le recrutement ou l'évaluation des risques.
Méthode d'inventaire en 5 étapes
Identifier les outils IA non déclarés nécessite une approche structurée, combinant enquête collaborative et analyse technique.
Voici une méthode en 5 étapes pour réaliser un inventaire complet :
Enquête auprès des collaborateurs
Envoyer un questionnaire anonyme pour identifier les outils utilisés. Poser des questions simples : "Quels outils IA utilisez-vous dans votre travail ?", "Pour quelles tâches ?", "Avez-vous créé un compte personnel pour y accéder ?".
Analyse des dépenses IT
Examiner les relevés de cartes professionnelles et les factures pour identifier des abonnements à des outils IA. Les versions payantes de ChatGPT, Midjourney ou d'autres services sont souvent achetées directement par les métiers.
Scan du réseau et des logs
Utiliser des outils de monitoring pour détecter les connexions à des API ou des services IA. Les logs des pare-feux et des proxys peuvent révéler des usages non déclarés, notamment vers des endpoints comme api.openai.com.
Entretiens avec les métiers
Organiser des ateliers avec les équipes pour comprendre leurs besoins et leurs usages. Ces échanges permettent d'identifier des outils méconnus de la DSI et de recueillir des retours sur leur efficacité.
Formulaire de déclaration volontaire
Mettre en place un canal simple pour que les collaborateurs déclarent leurs usages IA. Ce formulaire doit être accessible, sans jugement, et accompagné d'une communication claire sur les objectifs.
Modèle de formulaire de déclaration d'outil IA
Un formulaire simple et accessible encourage les collaborateurs à déclarer leurs usages IA sans crainte.
Voici un modèle de formulaire que vous pouvez adapter et déployer dans votre entreprise :
Formulaire de déclaration d'outil IA
Objectif : Identifier les outils IA utilisés dans l'entreprise pour garantir leur conformité et sécuriser les données.
Instructions : Remplissez ce formulaire pour chaque outil IA que vous utilisez dans le cadre de votre travail. Vos réponses resteront confidentielles.
Ce formulaire peut être déployé via des outils comme Google Forms, Microsoft Forms ou des solutions internes. L'important est de le rendre accessible et de communiquer clairement sur son objectif : sécuriser les usages IA, et non sanctionner les collaborateurs.
Bâton vs carotte : quelle approche adopter ?
Interdire le shadow AI sans proposer d'alternatives est inefficace. Une approche équilibrée combine sensibilisation, solutions officielles et cadre clair.