Qu'est-ce que le Shadow AI ? Définition, exemples et risques
Définition du Shadow AI : l'usage d'outils d'intelligence artificielle par les collaborateurs en dehors de tout cadre validé par la DSI. Exemples concrets, chiffres 2026, risques (données, RGPD, AI Act) et premiers réflexes.
Le Shadow AI (ou « IA fantôme ») désigne l'utilisation d'outils d'intelligence artificielle par les collaborateurs d'une organisation en dehors de tout cadre validé par la DSI : comptes personnels ChatGPT, Claude ou Gemini utilisés au travail, outils IA souscrits sans validation, données d'entreprise traitées dans des services grand public.
C'est le prolongement du Shadow IT à l'ère de l'IA générative — avec une différence majeure : au-delà de l'outil non validé, ce sont les données qu'on y colle qui créent le risque.
Exemples concrets de Shadow AI
- Un commercial colle un contrat client dans ChatGPT (compte perso) pour le résumer
- Une RH fait trier des CV par un outil IA gratuit trouvé en ligne
- Un développeur envoie du code propriétaire à un assistant IA non validé
- Une équipe marketing paie un abonnement IA en note de frais, hors radar DSI
- Un manager fait transcrire ses réunions confidentielles par un outil grand public
Chacun de ces usages est productif — c'est précisément pourquoi il se généralise sans attendre l'autorisation.
L'ampleur du phénomène (chiffres)
- 67 % des salariés utilisent des outils IA au travail — seules 18 % des organisations ont une politique IA formalisée
- 27 % des salariés ont déjà saisi des données confidentielles dans un outil IA public
- Environ 3 comptes ChatGPT sur 4 utilisés au travail sont des comptes personnels, invisibles pour la DSI (études Cyberhaven/Netskope)
- IBM (2025) : un incident impliquant l'IA coûte en moyenne 6,5 M$ — 22 % de plus qu'une fuite classique
Les risques du Shadow AI
- Fuite de données : les informations saisies dans un outil grand public gratuit peuvent être stockées, voire réutilisées pour l'entraînement des modèles (précédent Samsung, 2023 — code source collé dans ChatGPT).
- Non-conformité RGPD : des données personnelles transmises à un sous-traitant non contractualisé.
- Exposition AI Act : un usage clandestin qui s'installe dans un processus (tri de CV, scoring) peut constituer un système à haut risque non déclaré — voir le calendrier AI Act.
- Perte de maîtrise : décisions influencées par des outils que personne ne supervise, sans traçabilité.
Que faire face au Shadow AI ?
Ni l'ignorer, ni l'interdire (l'interdiction rend l'usage invisible — pourquoi ça échoue). La méthode : détecter, évaluer, canaliser, gouverner — détaillée dans notre guide complet Shadow AI pour DSI, avec un kit gratuit (questionnaire employés, grille de scoring, charte IA).
FAQ
Shadow AI, c'est quoi en une phrase ? L'usage d'outils d'IA par les employés hors de tout cadre validé par l'entreprise — le plus souvent via des comptes personnels où sont collées des données professionnelles.
Le Shadow AI est-il illégal ? Non en soi — mais il peut créer des violations bien réelles : RGPD (données personnelles chez un sous-traitant non contractualisé), secret des affaires, obligations sectorielles, et demain AI Act.
Quelle différence entre Shadow IT et Shadow AI ? Le Shadow AI est le sous-ensemble IA du Shadow IT — plus risqué car il implique un flux de données sortant permanent. Le comparatif détaillé.
*Origin 137 — ESN IA française, partenaire officiel Anthropic. Nos Forward Deployed Engineers aident les DSI à cartographier le Shadow AI et à le transformer en usages gouvernés. Parler à un expert.*