La Shadow AI, ou l’IA sans autorisation, mais avec conviction
La Shadow AI, c’est l’intelligence artificielle utilisée en entreprise hors du cadre officiel, à l’insu du service informatique. Un terme calqué sur la « Shadow IT » des années 2010, quand les salariés installaient Slack ou Dropbox sans attendre le feu vert du DSI. Sauf qu’ici, il ne s’agit plus de partager des fichiers, mais d’automatiser la pensée, de synthétiser des documents internes, de générer du code, de produire du contenu.
En clair : des collaborateurs qui copient-collent des données sensibles dans des interfaces publiques comme ChatGPT, Perplexity ou Claude, souvent hébergées à l’étranger, sans aucune garantie de sécurité ni de confidentialité.
Face à ce phénomène, la réaction des entreprises reste ambivalente. On interdit officiellement, tout en sachant que les équipes contournent via un VPN, un téléphone perso ou un navigateur alternatif. On ferme les yeux, mais on continue de bénéficier des gains de productivité.
Le vrai danger, c’est que la donnée s’évapore. Elle quitte l’écosystème sécurisé de l’entreprise pour aller s’entraîner ailleurs. Sans journalisation. Sans audit. Sans savoir ce qui en sera fait demain. À cela s’ajoutent des risques de résultats biaisés, erronés ou manipulables. Car une IA générative mal comprise reste un outil fragile.
Ne pas interdire, mais encadrer intelligemment
Des entreprises plus lucides prennent les devants. Salesforce, Amazon, BNP Paribas… Toutes ont entamé une stratégie de réponse structurée :
- création de plateformes d’IA générative internes hébergées en local,
- restriction du traitement de certaines catégories de données,
- outils de prévention des pertes d’information (DLP) en temps réel,
- formation massive des équipes à l’usage responsable de l’IA.
Leur pari : rendre l’usage possible, mais maîtrisé. Créer une alternative crédible plutôt que d’espérer faire disparaître le problème par la censure.
L’IA n’est pas une menace en soi. Ce qui l’est, c’est l’absence de gouvernance. Ce vide stratégique dans lequel les collaborateurs s’engouffrent faute de mieux. Ce manque d’outils internes adaptés, de lignes directrices claires, de réflexes partagés.
Refuser l’IA, c’est refuser une transformation déjà à l’œuvre. Ce n’est pas interdire qui protège, c’est reprendre la main sur les usages. Encadrer, former, sécuriser, intégrer.
Il est temps que les entreprises françaises se dotent d’une vraie stratégie de gouvernance de l’IA, à la hauteur des enjeux de souveraineté numérique, de productivité et de confiance. Tant qu’elles ne le feront pas, la Shadow AI continuera de prospérer. Non pas dans l’ombre, mais dans l’indifférence.
Antoine GARCIA
