Shadow AI : quand l’IA non sanctionnée devient un risque de conformité

ChatGPT, Copilot, Gemini… les collaborateurs utilisent des outils IA sans validation officielle. Ce shadow AI est devenu l’angle mort de la gouvernance des données — et une source de risque directe sous EU AI Act et RGPD.

Définir le shadow AI dans votre organisation

Le shadow AI désigne tout système d’intelligence artificielle utilisé par des employés sans validation par la DSI ou la direction juridique. Contrairement au shadow IT classique, le shadow AI traite souvent des données sensibles — documents clients, données RH, informations financières — et les envoie vers des serveurs tiers hors maîtrise.

L’enquête IBM 2024 indique que 63% des employés qui utilisent des outils IA génératifs le font sans politique d’entreprise définie. Ce chiffre monte à 78% dans les PME européennes où la gouvernance IA est encore embryonnaire.

Les risques réglementaires concrets

Sous le RGPD, tout transfert de données personnelles vers un système tiers non encadré constitue une violation potentielle. Sous EU AI Act, si un système utilisé en shadow touche aux décisions RH ou à la notation des clients, il entre en catégorie à risque élevé — sans les garde-fous requis.

Les conséquences pratiques : impossibilité de répondre à un droit d’accès RGPD sur des données traitées par un LLM tiers, absence de traçabilité des décisions automatisées, et risque de violation sécurité lors d’un audit DORA ou NIS2.

Construire une politique IA d’entreprise

La réponse n’est pas l’interdiction — elle est inapplicable et contre-productive. La bonne approche : cartographier les usages existants, classifier les outils selon le type de données traitées, définir des zones d’usage autorisé et déployer une politique IA documentée opposable.

Cette politique doit préciser : quels outils sont autorisés, pour quels types de données, avec quelles mesures de protection. Elle doit être formée, signée et révisée annuellement — c’est le socle documentaire exigé par l’EU AI Act pour les opérateurs.