Shadow AI · cadre d'usage

Tes équipes utilisent déjà l'IA. Sans toi.

75 % des salariés se servent de l'IA au travail, 39 % seulement ont été formés. Le reste improvise, souvent avec tes données clients. Interdire ne marche pas, laisser faire non plus. Voici comment reprendre la main.

Reprendre la main →
Salariés utilisant des outils d'IA sans cadre défini par l'entreprise

Ça commence souvent par un détail. Un compte-rendu trop bien tourné pour son auteur habituel. Une réponse client partie en dix minutes au lieu de deux heures. Puis tu découvres que la moitié du service passe par un compte ChatGPT personnel, avec des données clients dedans. Personne n'a fraudé : tes équipes ont pris de l'avance, sans cadre, parce que tu n'en avais pas donné.

Ce qui se passe vraiment dans tes équipes

Les chiffres sont têtus : 75 % des salariés français utilisent l'IA au travail, mais 54 % déclarent ne jamais l'avoir fait au bureau. L'écart entre les deux, c'est du Shadow AI : un usage réel, massif et invisible. Et 86 % des entreprises françaises envoient des données sensibles à des fournisseurs IA américains soumis au Cloud Act, le plus souvent via des comptes gratuits personnels. On a détaillé le phénomène dans notre analyse du Shadow AI en entreprise.

Pourquoi l'interdiction aggrave le problème

Bloquer ChatGPT sur le réseau ne supprime pas l'usage, il le déplace sur les téléphones personnels. Tu perds la visibilité qu'il te restait, tu gardes tous les risques, et tu renonces aux gains de productivité que tes concurrents encaissent. Sans compter le signal envoyé aux meilleurs éléments : ceux qui avaient pris de l'avance iront la prendre ailleurs.

Le cadre qui règle le problème en 30 jours

Reprendre la main tient en quatre mouvements : un cadre d'usage d'une page (autorisé, interdit, règles sur les données), des outils fournis par l'entreprise pour remplacer les comptes personnels, une formation par population pour que les règles soient comprises plutôt que contournées, et la documentation de l'ensemble. Ce dernier point n'est pas du zèle : l'article 4 de l'AI Act impose des mesures de formation IA, et le Shadow AI non traité est exactement ce qu'un contrôle ou un appel d'offres fera remonter. On a détaillé l'obligation sur la page formation IA obligatoire et AI Act.

Par où commencer

Par le haut. Un cadre imposé par la DSI se contourne, un cadre porté par la direction s'applique. C'est le rôle de la formation IA CODIR en une demi-journée : aligner le comité et faire signer le cadre au bon niveau. Ensuite, le programme d'adoption forme les équipes sur leurs vrais cas d'usage, avec les outils que tu fournis. C'est le déroulé qu'on applique depuis 2025, plus de 300 dirigeants formés, notamment chez McDonald's, Danone et Nestlé Waters.

Tu veux savoir où en sont vraiment tes équipes ? Un échange de 20 minutes suffit pour cadrer un diagnostic des usages.

Prendre contact →

Questions fréquentes

Je dois interdire ChatGPT à mes équipes ?
Non, et les entreprises qui l'ont fait l'ont regretté : l'usage continue sur les téléphones personnels, sans aucune visibilité, et les gains de productivité partent avec. La bonne réponse est un cadre : ce qui est autorisé, ce qui est interdit, avec quelles données, sur quels outils.
Comment savoir si mes équipes utilisent l'IA en douce ?
Pars du principe que oui : 75 % des salariés français utilisent l'IA au travail, alors que 54 % déclarent ne jamais l'avoir fait au bureau. L'écart entre les deux, c'est le Shadow AI. Un diagnostic anonyme des usages, sans sanction à la clé, suffit en général à faire remonter la réalité en quelques jours.
Quels sont les vrais risques du Shadow AI ?
La fuite de données d'abord : 86 % des entreprises françaises envoient des données sensibles à des fournisseurs IA américains soumis au Cloud Act, souvent via des comptes personnels gratuits. S'y ajoutent le RGPD, la perte de maîtrise sur la qualité de ce qui sort, et l'obligation de formation de l'article 4 de l'AI Act que personne ne documente.
Un cadre d'usage IA, ça ressemble à quoi ?
Une page, pas une charte de 40 pages : les usages autorisés, les usages interdits, les règles sur les données clients et internes, et les outils fournis par l'entreprise. Signé par la direction, pas imposé par la DSI, et accompagné d'une formation pour que les règles soient comprises plutôt que contournées.

Reprends la main avant l'incident.

Réserve un échange de 20 minutes pour cadrer le diagnostic des usages de tes équipes.

Prendre contact →