top of page
VEIA.AI-logo

Reprendre la main sur le shadow AI

  • Photo du rédacteur: Christophe Picou
    Christophe Picou
  • il y a 4 jours
  • 5 min de lecture

Chef de produit. 23h. Il ouvre ChatGPT depuis son compte personnel, y glisse le brief stratégique pour le comité du lendemain. L'agent reformule. Il intègre, envoie, ferme. Il a gagné deux heures.


Il vient aussi de transmettre la position go-to-market de son entreprise à un serveur dont ni lui, ni son directeur général, ni son directeur des systèmes d'information ne savent où il se trouve, sous quelle juridiction, avec quelle durée de rétention.


Il n'y a pas pensé. Il a fait son travail. Bien.


Ce geste, on l'a documenté il y a trois mois. On l'a nommé shadow AI. On a listé ses risques, chiffré ses coûts, proposé des cadres.


Trois mois plus tard, le phénomène a occupé tout le paysage. Il touche les TPE comme les groupes cotés, les banques régulées comme les PME de services, les institutions publiques comme les ETI familiales. Les baromètres français et suisses convergent.


55 % des TPE-PME françaises déclarent utiliser l'IA générative début 2026. 61 % des salariés utilisateurs d'IA en entreprise passent par leurs comptes personnels au moins une fois par semaine. En Suisse, 71 % de la population utilise l'IA au moins une fois par mois, et Roche, la Banque cantonale de Zurich, Helvetia ont dû réviser leurs règlements internes face à des usages qui persistent hors cadre. Les trois quarts des responsables de la sécurité français placent le shadow AI en tête des risques comportementaux.


On pourrait continuer à écrire sur le shadow AI. On ne poserait pas la bonne question.



On a déjà vu ce film


Le shadow AI n'est pas un phénomène propre à l'intelligence artificielle. C'est la forme actuelle d'un pattern que chaque direction a déjà vécu au moins deux fois.


L'email personnel dans l'entreprise, avant 2005. Les collaborateurs s'envoient des pièces jointes professionnelles sur Hotmail parce que les boîtes internes sont saturées. Les directions interdisent. Elles cèdent. Elles mettent en place des alternatives.


Le smartphone personnel en réunion, autour de 2010. On interdit. On lit ses messages dessus quand même. On finit par déployer une politique BYOD.


Le cloud, vers 2015. On refuse d'y stocker quoi que ce soit de sensible. Les équipes métier prennent Dropbox, WeTransfer, Google Drive. Cinq ans plus tard, Microsoft 365 et Google Workspace sont dans toutes les maisons.


À chaque fois, la même séquence. Un outil utile arrive dans la poche des collaborateurs. L'institution hésite, consulte, interdit, tolère, finit par rattraper.

L'écart entre la vitesse d'adoption individuelle et la vitesse de décision collective produit un moment de chaos. Hier, il s'appelait shadow IT. Aujourd'hui, shadow AI. Dans cinq ans, il portera un autre nom.

Ce qui change avec l'intelligence artificielle, c'est l'intensité et l'irréversibilité. Un document transmis à un modèle ne se reprend pas. Une décision automatisée ne se déroule pas en arrière. Les chartes rédigées a posteriori arrivent après des décisions qui ont déjà eu lieu.



Ce que le shadow AI dit, au fond


Le shadow AI n'est pas un problème d'outil.

Il est le signe que l'institution n'a pas décidé avant que l'usage arrive.

Ce constat s'applique à toute organisation, quelle que soit sa taille. La TPE dont la gérante copie ses contrats dans un assistant gratuit pour les reformuler n'a pas décidé de son rapport à la confidentialité. Le groupe industriel dont les ingénieurs glissent des schémas techniques dans un outil américain n'a pas décidé de son rapport à la propriété intellectuelle. La collectivité dont les agents utilisent des traducteurs en ligne pour des documents nominatifs n'a pas décidé de son rapport à la donnée publique.


Ce n'est pas une accusation. Personne ne peut décider ce qui n'a pas encore été formulé. Les collaborateurs ne sont pas en faute. Ils ont fait ce que font toujours les équipes compétentes : ils ont optimisé localement avec les moyens disponibles, parce que leur hiérarchie leur demandait d'aller plus vite avec des ressources inchangées.


Le problème n'est pas ce qu'ils ont fait. C'est ce qui n'a pas été décidé en amont.



Pourquoi les réponses d'usage ne suffisent pas


Face au shadow AI, les organisations répondent par trois leviers classiques. Interdire. Acculturer. Fournir une alternative.


Les trois sont utiles. Aucun ne traite la racine.


  1. Interdire produit du contournement. Les données disponibles convergent : une moitié environ des collaborateurs concernés déclare qu'ils continueraient à utiliser des IA non autorisées même en cas d'interdiction formelle, parce que la pression opérationnelle prime sur la règle. Aux États-Unis, toutes les grandes entreprises qui ont tenté l'interdiction pure entre 2023 et 2024, de Samsung à JPMorgan, ont rétropédalé en moins de vingt-quatre mois.


  2. Acculturer est indispensable mais insuffisant. Former des équipes sur les risques de l'IA générative ne leur apprend pas quelle décision leur institution a posée sur l'usage légitime. Parce que, le plus souvent, cette décision n'a pas été posée.


  3. Fournir une alternative gouvernée traite la surface. Signer un contrat Copilot, Le Chat Enterprise ou Claude Enterprise ne décide pas quelles données y mettre, quels mandats y confier, quelles actions autoriser, quelles réversibilités protéger. La licence achetée ne remplace pas la décision prise. Les études récentes estiment qu'un tiers à 40 % des licences d'assistants IA corporate restent inutilisées à 90 jours. L'achat n'a pas produit l'usage attendu parce qu'il n'a pas été précédé d'un arbitrage clair.


    Chacun de ces trois leviers suppose une décision déjà prise. Quand elle ne l'est pas, ils glissent sur le réel.



Le vrai travail


Le shadow AI n'est pas à combattre. Il est à lire.


Il dit, dans chaque organisation où il apparaît, les décisions que la direction n'a pas encore prises. Ce que l'entreprise est prête à confier, et à qui. Ce qu'elle garde à elle. Ce qui relève d'une exécution automatisable, et ce qui relève d'un jugement humain non délégable. Quelles dépendances elle assume, et lesquelles elle refuse. Quelles irréversibilités elle accepte, et lesquelles elle rejette.


Ces décisions ne sont pas techniques. Elles ne relèvent pas de la direction des systèmes d'information. Elles ne relèvent pas non plus du juridique, qui peut cadrer mais ne peut pas arbitrer ce qui n'est pas formulé. Elles relèvent de la direction générale et, pour les organisations qui en sont dotées, du conseil.


Elles n'exigent pas de grande stratégie d'intelligence artificielle. Elles exigent une chose plus simple et plus inconfortable : que quelqu'un, dans la maison, ait mandat pour décider.



Reprendre la main


L'IA ne crée pas le vide. Elle le rend visible, et coûteux.


L'institution qui n'a pas posé ses décisions découvre qu'elles se prennent tout de même. Au rythme des échéances. Dans les poches des collaborateurs. À 23h. Sans elle.


Le shadow AI est le nom de ce déport. Il ne disparaîtra pas parce qu'on interdit ChatGPT, ni parce qu'on achète Copilot. Il se déplacera, sous un autre nom, vers l'outil suivant.

Reprendre la main, ce n'est ni interdire, ni équiper. C'est poser, en amont, les décisions qui appartiennent à la direction.

Qu'est-ce que nous avons décidé, et qu'est-ce que nous laissons se décider ?

Décider, avant d'intégrer.

Christophe Picou - Fondateur, VEIA.AI Cadrer la décision IA avant qu'elle s'engage. Conseil stratégique indépendant auprès des COMEX et conseils d'administration. France et Suisse .






bottom of page