Un collaborateur, en fin de journée, doit préparer une note de synthèse à partir d'un dossier complexe. Il ouvre son compte ChatGPT personnel, colle le FEC et la liasse fiscale du client, demande à l'outil de structurer les points d'alerte. En huit minutes, la note est rédigée.
Aucune alerte dans les systèmes du cabinet. Aucun log. Aucune trace. Aucun recours. Et quatre régimes de responsabilité viennent d'être activés simultanément - sans que le responsable de mission, ni l'associé, ni le directeur général du cabinet en sache quoi que ce soit.
Ce scénario n'est pas une hypothèse. C'est la situation de la majorité des cabinets d'expertise comptable et des fiduciaires en 2026. La gouvernance IA ne peut plus être optionnelle.
Ce que les chiffres disent.
78% des professionnels utilisent des outils IA non validés par leur structure. 46% le font alors que leur cabinet s'y oppose officiellement. 35% de la nouvelle génération n'utilise que des outils personnels dans leur pratique quotidienne. Ces chiffres sont issus des études IBM et Harmonic Security pour 2026, confirmés par les données françaises du SIC Mag de 2025.
Ce n'est pas une tendance émergente. C'est un état de fait. Dans la grande majorité des cabinets qui n'ont pas encore posé de cadre IA, le shadow AI est déjà installé. Il ne se voit pas. Il ne laisse pas de trace dans les systèmes. Il se gère - ou ne se gère pas - au niveau de la gouvernance, pas de la technique.
Ce que ça engage - les quatre régimes.
Un seul collaborateur qui copie un FEC, une liasse fiscale, un dossier permanent ou une lettre de mission dans un LLM grand public active quatre régimes de responsabilité en même temps.
Le premier est pénal. L'article 226-13 du Code pénal protège le secret professionnel de l'expert-comptable. La transmission de données client à un modèle externe dont la chaîne de sous-traitance n'est pas documentée constitue une divulgation. L'absence d'intention ne suffit pas à lever la responsabilité.
Le deuxième est réglementaire. L'article 32 du RGPD impose des mesures de sécurité adaptées au traitement des données personnelles. L'utilisation d'outils non validés sur des données de tiers constitue un manquement documentable. En cas de contrôle de l'autorité de protection des données - CNIL en France, autorité cantonale ou fédérale en Suisse - la situation du cabinet est intenable si elle n'a pas été anticipée.
Le troisième est déontologique. Le Code de déontologie des experts-comptables s'applique aux conditions d'exercice de la mission - y compris aux outils utilisés. L'absence de cadre interne engage la responsabilité disciplinaire de l'inscrit au tableau, pas seulement du collaborateur.
Le quatrième est civil. Une erreur introduite par un outil IA dans un rapport, une analyse ou une déclaration reste imputable au cabinet signataire. Aucun éditeur de LLM grand public ne reprend cette responsabilité contractuellement. La garantie reste entière - elle repose sur l'inscrit, pas sur l'outil.
"Le shadow AI n'est pas une rébellion. C'est un symptôme. Il révèle l'absence de cadre rassurant et l'attente d'outils performants en interne. La gouvernance ne peut plus être optionnelle."
Pourquoi l'interdiction ne fonctionne pas.
La réponse instinctive de nombreuses directions est l'interdiction. Elle est compréhensible. Elle est inefficace. Les données disponibles le confirment : 46% des professionnels utilisent des outils IA alors même que leur organisation s'y oppose officiellement. L'interdiction sans alternative ne supprime pas l'usage. Elle le pousse hors de la visibilité du cabinet - ce qui est pire.
Les collaborateurs qui utilisent ces outils ne sont pas en faute. Ils ont trouvé des outils efficaces pour faire leur travail dans les délais qui leur sont imposés. La direction leur demande d'aller plus vite avec des ressources inchangées. Ils ont optimisé localement avec les moyens disponibles. Ce n'est pas un problème de discipline. C'est un problème d'absence de cadre.
Ce que la gouvernance doit couvrir.
Gouverner l'IA dans un cabinet comptable ou une fiduciaire consiste à décider avant que les usages soient installés. Quatre périmètres doivent être couverts.
L'inventaire des usages en place - outils validés par le cabinet et outils utilisés par les collaborateurs en dehors du cadre officiel. La définition des données que le cabinet refuse de confier à un modèle externe, quels que soient les gains de productivité : données client nominatives, FEC, liasses fiscales, dossiers permanents entrent naturellement dans cette catégorie. Les conditions contractuelles avec les éditeurs d'outils validés : localisation des données, sous-traitance documentée, réversibilité. Et la doctrine interne d'usage, connue de tous les membres du cabinet, opposable en cas de contrôle.
Pour un cabinet qui conseille lui-même des dirigeants sur leur gouvernance, la cohérence entre ce qu'il préconise et ce qu'il pratique est aussi une question de crédibilité. Un cabinet d'expertise comptable ou une fiduciaire qui aide ses clients à structurer leurs décisions IA sans avoir posé ce cadre pour lui-même se trouve dans une position intenable dès que le sujet est soulevé en réunion client.
La bonne nouvelle : ce cadre se pose en quelques semaines avec une méthode rigoureuse. La mauvaise : chaque semaine sans cadre, c'est une semaine supplémentaire d'exposition non documentée.
VEIA.AI accompagne les experts-comptables et fiduciaires sur la gouvernance de l'intelligence artificielle. Diagnostic shadow AI, atelier de doctrine, accompagnement dans la durée. Indépendant de tout éditeur ou intégrateur.
Gouvernance IA pour les experts-comptables et fiduciaires →Approfondir : la page Cabinets comptables.
Diagnostics, formats d'intervention et angles propres à les cabinets comptables. Une lecture stratégique conçue pour les dirigeants concernés.
Discuter de cette analyse ?
Séance de cadrage - identifier le format adapté à votre contexte.