Votre équipe RH a utilisé ChatGPT sur des données salariés. Vous venez de l'apprendre.

Incident shadow AI — Christophe Picou — Mai 2026

Article · Décision · Incident shadow AI · Réponse 72h

Votre équipe RH a utilisé ChatGPT pour traiter des données de salariés. Données de carrière, évaluations, parfois éléments de santé. La pratique dure depuis quatorze mois. Vous venez de l'apprendre par un signalement interne. Vous avez 72 heures pour notifier la CNIL si l'incident relève de l'article 33 RGPD. Que faites-vous, et dans quel ordre ?

La situation est désormais banale. Le rapport IBM Cost of a Data Breach 2025, sur 600 organisations dans 17 secteurs et 16 pays, établit que 20 % d'entre elles ont subi une violation liée au shadow AI. 97 % de ces organisations n'avaient aucun contrôle d'accès IA en place. Le surcoût moyen documenté atteint 670 000 dollars. En France, le rapport CNIL 2024-2025 dénombre 6 167 violations recensées en 2024 et 5 629 notifications, en hausse de 20 %.

Les premières 24 heures déterminent le cadrage juridique

L'horloge des 72 heures part de la prise de connaissance, pas de l'événement initial. Le premier réflexe est donc la qualification précise : qui a su quoi, quand, par quel canal. La traçabilité de cette information conditionne tout le reste. Une direction qui rate cette première étape ouvre une zone d'incertitude juridique que la CNIL traite défavorablement.

Le second réflexe est la mobilisation simultanée du DSI (confinement technique), du DPO (qualification RGPD et préparation de la notification), de la direction juridique (analyse de responsabilité contractuelle et risque assurance) et de la direction de la communication (préparation du message interne factuel). Le DG arbitre. Personne n'attend que les autres aient fini.

Ce que la nLPD change pour les dirigeants suisses

En Suisse, l'article 24 nLPD ne fixe pas le seuil 72 heures du RGPD. Le PFPDT doit être notifié "dans les meilleurs délais". Mais la nLPD prévoit des sanctions pénales personnelles visant la personne physique responsable. Le levier ne pèse pas sur l'entreprise, il pèse sur le dirigeant en tant que personne. Beaucoup de dirigeants suisses découvrent ce point au moment de l'incident, et la découverte est mal placée.

Le piège de la communication interne punitive

L'instinct après un incident est l'interdiction générale. L'étude KPMG-Université de Melbourne (48 000 personnes, 47 pays, début 2025) documente que 57 % des collaborateurs cachent déjà leur usage de l'IA au travail. Un audit cité par Koul en 2026 sur une entreprise Fortune 500 a détecté 27 outils IA non autorisés en quatre jours après une interdiction. L'interdiction pure produit l'effet inverse : les usages se cachent davantage et la direction perd définitivement la visibilité.

La communication efficace nomme l'incident, explique la procédure de notification, et installe immédiatement un cadre habilitant : référent IA identifié, outils approuvés, espaces sandbox internes, formation accélérée. Le collaborateur sait où aller. Les usages remontent et se gouvernent.

Les 30 jours qui transforment la crise

L'incident est l'occasion d'institutionnaliser ce qui était reporté. Trente jours suffisent pour cartographier les usages non documentés, classer les cas d'usage par niveau de risque AI Act, rédiger une politique d'usage diffusable, désigner un référent IA, mandater un comité IA transverse, et lancer le programme de littératie IA exigé par l'article 4 AI Act (applicable depuis février 2025).

Une direction qui sort des trente jours avec ces six livrables a transformé un incident en pivot doctrinal. Une direction qui en sort avec un communiqué et une nouvelle interdiction a perdu sa fenêtre. Le second incident, qui arrive en moyenne dans les douze mois suivants, sera traité par la même improvisation et coûtera davantage.

Pourquoi un tiers structurellement indépendant

L'auditeur cyber gère la dimension technique. L'avocat gère la notification. Mais aucun des deux ne porte la dimension doctrinale. Le risque, sous pression de crise, est de basculer dans le réflexe conformité pure, qui satisfait le régulateur sans construire la gouvernance. VEIA intervient sur cette dimension précise, comme tiers de confiance structurel, sans partenariat éditeur ou intégrateur. La position garantit que les recommandations ne sont biaisées ni par un portefeuille commercial ni par une responsabilité juridique propre dans l'incident.