Shadow AI : le risque caché dans chaque bureau belge
La moitié de votre équipe utilise déjà ChatGPT. Vous ignorez simplement ce qu'elle y colle. Voici pourquoi c'est un problème — et ce qu'il faut faire.
Qu'est-ce que le shadow AI ?
Le shadow AI désigne tout outil d'IA utilisé par vos collaborateurs à l'insu du service informatique. Pensez à ChatGPT, Notion AI, Grammarly, Jasper, Midjourney, GitHub Copilot — des outils auxquels les gens s'inscrivent par eux-mêmes, souvent avec un e-mail et une carte de crédit personnels.
On parle de « shadow » (ombre) parce que c'est invisible pour vous. Vous n'en avez pas connaissance jusqu'à ce que quelque chose dérape.
Selon les études du secteur, 60 à 70 % des collaborateurs utilisent des outils d'IA qui n'ont pas été approuvés par leur service informatique.
La question n'est pas de savoir si cela a lieu dans votre organisation. C'est de savoir combien de données ont déjà fuité.
Pourquoi les gens l'utilisent
Parce que cela leur facilite le travail. Rédiger des e-mails, synthétiser des réunions, rédiger des rapports, générer des idées — l'IA est vraiment douée pour ces tâches. Votre équipe n'est pas sournoise ; elle est simplement productive.
Le problème n'est pas qu'elle utilise l'IA. Le problème, c'est ce qu'elle y met et là où ces données finissent.
Le problème n'est pas que votre équipe utilise l'IA. Le problème, c'est que vous n'avez aucune visibilité sur les données qui circulent ni sur leur destination.
Les trois grands risques
1. Fuite de données
Un de vos collaborateurs colle une liste de clients dans ChatGPT pour « remettre la mise en forme au propre ». Félicitations : vous venez d'envoyer des données personnelles vers les serveurs d'OpenAI. Selon leurs conditions d'utilisation et l'emplacement de ces serveurs, vous venez peut-être d'enfreindre le RGPD.
Exemples concrets que nous avons rencontrés :
- Un commercial colle un contrat soumis à NDA dans ChatGPT pour « résumer les points clés »
- Les RH collent les CV de candidats dans un outil d'IA pour « les noter plus vite »
- La finance téléverse un fichier Excel contenant des données de chiffre d'affaires dans un outil d'IA pour « générer un graphique »
Toutes ces données — contrats, CV, données financières — se retrouvent désormais sur le serveur d'un tiers. Dans certains cas, elles servent à entraîner la prochaine version de l'IA. Dans d'autres, elles sont simplement stockées indéfiniment.
2. Violations de conformité
Au titre du RGPD, vous êtes responsable du traitement. Vous êtes responsable de la protection des données clients, même si votre collaborateur a utilisé un outil que vous n'aviez pas approuvé.
« Mais nous ne savions pas qu'ils utilisaient ChatGPT ! » ne tiendra pas la route. Le RGPD exige que vous mettiez en place des contrôles. Si ce n'est pas le cas et qu'une violation survient, vous êtes responsable.
Ce qui constitue une violation :
- Coller des e-mails de clients dans un outil d'IA non approuvé
- Utiliser l'IA pour traiter des données de santé, des données financières ou tout autre élément relevant des « catégories particulières » au sens du RGPD
- Partager des données avec un outil d'IA qui ne dispose pas d'un accord de traitement de données (DPA) en bonne et due forme
3. Perte de PI et de confidentialité
Votre développeur colle du code propriétaire dans GitHub Copilot ou ChatGPT pour le « déboguer ». Ce code fait peut-être désormais partie des données d'entraînement de l'IA — ce qui signifie qu'il pourrait apparaître demain dans la suggestion proposée à quelqu'un d'autre.
Autre cas : votre équipe marketing utilise un outil d'IA pour rédiger l'argumentaire d'un nouveau produit. Cet argumentaire est journalisé. Si le fournisseur d'IA est piraté, votre produit encore confidentiel devient public.
Exemple notoire :
Samsung a interdit ChatGPT après que des ingénieurs eurent accidentellement divulgué des conceptions de semi-conducteurs en y collant du code. Le code est entré dans le corpus d'entraînement d'OpenAI.
Le shadow AI existe-t-il dans votre organisation ?
Si vous ne pouvez pas répondre avec assurance à ces cinq questions, la réponse est presque certainement oui.
Si vous avez répondu « non » à deux questions ou plus, vous avez un problème de shadow AI — et vous n'êtes pas seul.
Le plan d'action en quatre étapes pour reprendre le contrôle
Découvrir
Auditez les outils d'IA que votre équipe utilise réellement. Posez la question directement — la plupart des collaborateurs répondront honnêtement lorsque la démarche est orientée vers l'aide, et non vers la sanction. Examinez les journaux du navigateur et les abonnements SaaS pour repérer l'activité liée aux outils d'IA.
Décider
Établissez une liste d'outils approuvés. Pour chaque cas d'usage de l'IA, tranchez : approuver en encadrant l'usage, remplacer par une alternative validée, ou bloquer en expliquant clairement pourquoi. Les interdictions globales ne fonctionnent pas — les gens les contournent.
Déployer
Donnez à votre équipe des outils d'IA réellement meilleurs que les alternatives clandestines. Si vous lui offrez un assistant IA sécurisé, hébergé dans l'UE, qui lit ses e-mails et rédige des réponses, elle cessera de coller spontanément des données clients dans ChatGPT.
Surveiller
Une visibilité continue est essentielle. Déployez une couche de gestion qui montre quels agents IA sont en cours d'exécution, quelles données ils traitent, et si quoi que ce soit sort du cadre approuvé. Ce n'est pas de la surveillance — c'est de la gouvernance.
Comment Fly AI élimine le risque de shadow AI
Nous traitons le shadow AI sur les deux fronts. Tout d'abord, notre audit IA identifie chaque outil d'IA non autorisé dans votre organisation et cartographie l'exposition des données. Ensuite, nous remplaçons les outils clandestins risqués par des agents IA conçus sur mesure, exécutés sur une infrastructure souveraine européenne — pour offrir à votre équipe le même gain de productivité, sans aucun risque de conformité. Et notre portail de gestion d'agents donne à votre équipe IT et à la direction une visibilité en temps réel sur chaque agent IA actif dans l'entreprise.
Audit IA
Identifiez chaque outil d'IA utilisé dans votre organisation. Cartographiez les flux de données, classez les risques et obtenez un plan de remédiation clair.
En savoir plus sur notre audit IAAgents IA sur mesure
Remplacez les outils clandestins risqués par des agents IA sécurisés, hébergés dans l'UE et conçus pour vos flux de travail spécifiques. Même productivité, zéro fuite de données.
Découvrir les agents IAPortail de gestion d'agents
Supervision en temps réel de chaque agent IA déployé. Surveillance du statut, journaux d'audit, contrôle marche/arrêt et alertes immédiates en cas d'anomalie.
Découvrir le portail de gestionPrêt à découvrir quelle IA votre équipe utilise vraiment ?
Articles connexes
RGPD et IA : ce qu'il faut savoir
L'IA ne vous exempte pas du RGPD. Un guide pratique des six principes du RGPD appliqués à l'IA, avec des étapes concrètes.
L'EU AI Act pour les PME
Ce que les entreprises belges doivent réellement faire pour se conformer à l'EU AI Act. Niveaux de risque, obligations et étapes d'action.
Qu'est-ce qu'un agent IA ?
Les agents IA vont au-delà des chatbots — ils lisent des données, prennent des décisions et passent à l'action au sein de vos outils métier.
