Blog/Stratégie
Stratégie

Shadow IT vs Shadow AI : quelle différence (et pourquoi le second est plus dangereux)

Le Shadow AI est l'héritier du Shadow IT — mais en plus rapide, plus diffus et plus risqué : ce ne sont plus seulement des outils non validés, ce sont vos données qui sortent en continu. Comparatif et implications pour la DSI.

12 juillet 20265 min

Le Shadow IT désigne l'usage d'outils informatiques non validés par la DSI (SaaS, clés USB, Dropbox personnel…) ; le Shadow AI en est le sous-ensemble spécifique à l'intelligence artificielle — l'usage d'outils IA (ChatGPT, Claude, Gemini…) hors de tout cadre. La filiation est directe, mais le Shadow AI est structurellement plus rapide, plus diffus et plus dangereux. Voici pourquoi.

Le comparatif

Shadow IT (classique)

Shadow AI

Nature du risque

Un outil non validé stocke des données

Un flux continu de données sort vers des modèles tiers

Vitesse d'adoption

Progressive (installer, configurer)

Immédiate — un compte gratuit, zéro installation

Qui l'utilise

Plutôt les profils tech

Tout le monde — RH, juridique, commercial, direction

Visibilité DSI

Partielle (logs, installations)

Quasi nulle — ~3 comptes sur 4 sont personnels

Devenir des données

Stockées chez le tiers

Potentiellement réutilisées pour l'entraînement (offres gratuites)

Exposition réglementaire

RGPD (sous-traitance)

RGPD + AI Act (systèmes non déclarés)

Réversibilité

On peut migrer/supprimer

Une donnée absorbée par un modèle est irrécupérable

Les 3 différences qui changent tout

1. Ce ne sont plus des outils, ce sont des données

Le Shadow IT classique posait la question « où sont stockés nos fichiers ? ». Le Shadow AI pose une question plus grave : « qu'avons-nous enseigné à des modèles que nous ne contrôlons pas ? ». 27 % des salariés ont déjà collé des données confidentielles dans un outil IA public — et contrairement à un fichier sur un Dropbox, une donnée absorbée dans un entraînement ne se supprime pas.

2. La barrière d'entrée a disparu

Installer un SaaS clandestin demandait un minimum d'intention. Coller un texte dans ChatGPT prend cinq secondes, sur n'importe quel appareil. Résultat : là où le Shadow IT touchait des poches d'utilisateurs, le Shadow AI concerne 67 % des salariés — juristes et RH compris, sur les données les plus sensibles de l'entreprise.

3. Le régulateur regarde

Le Shadow IT était un sujet interne. Le Shadow AI croise deux réglementations : le RGPD (données personnelles chez des sous-traitants non contractualisés) et l'[AI Act](/blog/ai-act-2027-calendrier-preparation-ingenierie) — un usage clandestin installé dans un processus (tri de CV, scoring) peut constituer un système à haut risque non déclaré, avec les sanctions afférentes.

Ce que la DSI doit en conclure

Les recettes anti-Shadow IT (bloquer, lister les interdits) ne suffisent plus : la vitesse et la diffusion du Shadow AI les rendent inopérantes — l'interdiction échoue systématiquement. La réponse adaptée : cartographier les usages, scorer l'exposition, canaliser vers des outils validés et gouverner en continu. La méthode complète est dans notre guide Shadow AI, avec un kit gratuit (questionnaire, grille de scoring, charte).

FAQ

Le Shadow AI fait-il partie du Shadow IT ? Oui, techniquement — mais sa vitesse d'adoption, sa diffusion à tous les métiers et son flux de données sortant en font une catégorie de risque à part, qui exige une réponse dédiée.

Quel est le plus grand risque du Shadow AI par rapport au Shadow IT ? L'irréversibilité : une donnée sensible collée dans un outil grand public peut être conservée voire réutilisée pour l'entraînement — impossible à « rapatrier », contrairement à un fichier stocké sur un service non validé.

Par où commencer pour traiter le Shadow AI ? Par la cartographie (questionnaire anonyme + traces techniques), puis le scoring et la canalisation. Le kit Shadow AI fournit tous les modèles.


*Origin 137 — ESN IA française, partenaire officiel Anthropic. Nos Forward Deployed Engineers aident les DSI à reprendre la main : cartographie, gouvernance, systèmes IA validés. Parler à un expert.*

À lire ensuite

Tout le blog →

Prêt à déployer un pod chez vous ?