• Gouvernance
  • Sécurité

Shadow AI : vos salariés utilisent ChatGPT sans cadre. Et après ?

Shadow AI : vos salariés utilisent déjà ChatGPT sans cadre. Pourquoi c'est un signal d'appétence, et le plan 90 jours pour encadrer sans casser l'élan.

Shadow AI : vos salariés utilisent ChatGPT sans cadre. Et après ?

Faites le test : demandez anonymement à vos équipes qui utilise ChatGPT, Claude ou Gemini pour travailler. Dans la plupart des PME que nous rencontrons, la réponse tourne autour d’un tiers à la moitié des effectifs — alors qu’aucun outil n’a été officiellement déployé. C’est ce qu’on appelle le shadow AI : l’usage d’outils d’IA par les salariés, sans cadre, sans compte entreprise, souvent sans en parler à personne. La réaction réflexe est l’interdiction. C’est la pire des options.

Le shadow AI est un signal d’appétence, pas une faute

Renversons la lecture habituelle. Si vos collaborateurs utilisent ChatGPT en douce, c’est qu’ils ont trouvé, seuls, sans formation ni budget, un moyen de faire leur travail plus vite ou mieux. Ils ont identifié des cas d’usage, appris à prompter par tâtonnement, et jugé le gain suffisant pour prendre un risque personnel. Aucun plan de transformation ne rêve d’un meilleur point de départ : la motivation existe déjà, il ne reste qu’à la canaliser.

Interdire produit trois effets, tous mauvais : l’usage continue mais se cache mieux (comptes personnels, téléphone personnel, copier-coller par mail) ; les plus moteurs — souvent vos meilleurs éléments — se démotivent ; et vous perdez toute visibilité sur les données qui sortent. L’interdiction ne supprime pas le risque, elle supprime votre capacité à le voir.

Les vrais risques, hiérarchisés — sans panique

Cela ne veut pas dire qu’il n’y a pas de risques. Cela veut dire qu’ils ne se valent pas, et qu’un traitement uniforme est contre-productif. Nous recommandons une grille à trois niveaux :

Rouge : à traiter immédiatement

  • Données personnelles de clients ou de salariés collées dans un outil grand public (exposition RGPD directe).
  • Secrets d’affaires : chiffrage, code source propriétaire, éléments de négociation, données M&A.
  • Données de santé, bancaires ou relevant d’obligations sectorielles.

Orange : à encadrer sous 90 jours

  • Contenus internes non publics mais non critiques : comptes rendus, trames commerciales, documents de travail.
  • Production envoyée à des clients sans relecture humaine (risque d’erreur factuelle, d’« hallucination »).
  • Multiplication de comptes personnels non résiliables si le salarié part.

Vert : à laisser vivre, puis outiller

  • Reformulation, traduction, résumé de contenus publics.
  • Brainstorming, structuration d’idées, préparation de réunions.
  • Aide à la rédaction sur des sujets génériques.

Cette hiérarchie a une vertu : elle rend le discours crédible. Dire « tout est dangereux » revient à dire « rien ne l’est vraiment ». Dire « voilà les trois choses interdites, le reste est encouragé sous conditions » est audible et applicable. C’est aussi l’esprit de l’AI Act, qui impose depuis 2025 une « maîtrise de l’IA » proportionnée aux usages, y compris pour les outils que vos équipes utilisent déjà officieusement.

Le plan de transition : 90 jours du clandestin vers l’encadré

Voici le déroulé que nous appliquons, découpé en trois phases de 30 jours.

Jours 1-30 : amnistie et état des lieux

Tout commence par une amnistie interne explicite : un message de la direction annonçant qu’aucun usage passé de l’IA ne sera reproché, et qu’un cadre arrive. Sans cette amnistie, votre état des lieux sera faux — personne n’avoue un usage sanctionnable. Ensuite :

  • Sondage anonyme : qui utilise quoi, pour quelles tâches, à quelle fréquence.
  • Entretiens courts avec les utilisateurs les plus avancés — vos futurs référents.
  • Classement des usages recensés dans la grille rouge/orange/vert.

Jours 31-60 : la charte d’une page et les bons outils

Rédigez une charte d’une seule page, 8 à 10 règles, pas davantage. Une charte de quinze pages n’est lue par personne ; une page affichable est citée en réunion. Le socle typique :

  1. L’usage de l’IA est encouragé sur les tâches vertes.
  2. Jamais de données personnelles clients ou salariés dans un outil non validé.
  3. Jamais de secrets d’affaires (liste explicite, propre à votre activité).
  4. Tout contenu généré est relu par un humain avant envoi externe.
  5. Les comptes utilisés sont les comptes entreprise fournis, pas les comptes personnels.
  6. Les erreurs de l’IA sont signalées, pas cachées.
  7. Les bons prompts sont partagés dans la bibliothèque commune.
  8. En cas de doute sur une donnée : on demande avant de coller.

En parallèle, basculez vers des offres entreprise (ChatGPT Team/Enterprise, Claude for Work, Copilot 365, selon votre environnement). Le point de contrôle contractuel décisif : la clause de non-entraînement — vos données ne servent pas à entraîner les modèles — plus la gestion centralisée des comptes et l’authentification d’entreprise. C’est cette bascule qui transforme le risque orange en usage maîtrisé, pour un coût par utilisateur généralement inférieur à une heure de travail mensuelle.

Jours 61-90 : former et installer les rituels

Un cadre sans compétence produit de la conformité de façade. La dernière phase est une formation par métier : structurer ses prompts, connaître les limites des modèles, appliquer la charte dans les cas concrets de sa fonction. C’est l’approche que nous avons déployée auprès de plus de 20 entreprises, dont Boursorama, l’INA et Orange. Nommez des référents (un pour 8 à 12 personnes), installez un rituel hebdomadaire de partage de cas d’usage, et mesurez : sans rituels, l’usage encadré décroche dès les semaines 3 à 6, et le shadow AI revient — en pire, car il aura appris à se cacher.

Trois erreurs qui font échouer la transition

Nous voyons régulièrement des plans d’encadrement bien intentionnés échouer sur les mêmes écueils. Autant les nommer.

Première erreur : sauter l’amnistie. Lancer le sondage d’état des lieux sans garantie explicite d’impunité produit des chiffres flatteurs et faux. Les 15 % d’usage déclarés cachent les 40 % réels, et vous calibrez tout le plan sur une fiction. L’amnistie doit venir de la direction, par écrit, avant toute collecte.

Deuxième erreur : acheter les licences avant de former. Déployer ChatGPT Enterprise ou Copilot sur 100 postes sans accompagnement donne des taux d’usage décevants au bout de deux mois — et la conclusion erronée que « l’IA ne prend pas chez nous ». L’outil suit la compétence, jamais l’inverse. Une masterclass de lancement au moment de la bascule change radicalement la courbe d’activation.

Troisième erreur : la charte punitive. Une charte écrite comme un règlement disciplinaire — dix interdictions, zéro encouragement — recrée exactement le climat qui avait produit le shadow AI. La proportion cible est inverse : une charte qui dit d’abord ce qui est permis et encouragé, puis délimite précisément les trois zones rouges. Le ton du document conditionne son application.

Ce que vous y gagnez

À l’issue des 90 jours, la situation s’est inversée : vous savez qui utilise quoi, les données sensibles passent par des outils sous contrat, les usages verts se diffusent au lieu de se cacher, et vos utilisateurs clandestins d’hier sont devenus vos référents. Les gains de productivité observés après formation — de l’ordre de 2 à 8 heures par semaine et par collaborateur selon les fonctions, à considérer comme des ordres de grandeur — cessent d’être invisibles et deviennent pilotables.

Le shadow AI n’est pas un problème de discipline. C’est un problème de cadre manquant — et une opportunité déguisée en infraction.

Passer à l’action

Pour cadrer le volet juridique et rédiger votre charte, téléchargez le kit gratuit IA, RGPD et AI Act. Et si vous voulez d’abord objectiver l’ampleur du shadow AI chez vous — qui utilise quoi, avec quels risques réels — le diagnostic flash vous en donne une photographie en quelques jours, sans jargon ni catastrophisme.

Vous avez un projet IA concret ?

En 30 minutes, on audite votre cas d'usage, on identifie les vrais leviers et on vous dit honnêtement si l'IA est la bonne solution.