Les collaborateurs, par nature curieux, sont impatients d'explorer les nouveaux outils d'IA, mais certaines entreprises manquent encore de directives claires ou de l'infrastructure nécessaire pour suivre la cadence.
Dans les bureaux de toutes les entreprises, c’est une scène désormais commune : pour gagner du temps, les collaborateurs adoptent spontanément des assistants IA. Pourtant, cette quête d'efficacité s'opère souvent à l'insu de la direction informatique, contournant les protocoles de validation établis. Le phénomène est non négligeable : selon une étude de Reco de 2025, 71 % des employés utilisent désormais des outils d'intelligence artificielle sans aucune validation formelle de leur organisation.
Face à cette réalité, les dirigeants doivent opérer un changement de paradigme : il ne s'agit pas de traquer les usages, mais de les encadrer pour convertir une vulnérabilité potentielle en un actif stratégique pour l'entreprise.
Le Shadow AI (ou IA fantôme) est l’utilisation par les collaborateurs d’outils, de modèles ou de plateformes d’intelligence artificielle sans l'approbation officielle ni la supervision de la Direction des Systèmes d'Information (DSI). Ce phénomène couvre un large spectre, allant des IA génératives grand public aux applications SaaS intégrant des fonctionnalités algorithmiques non validées par l'entreprise.
Les employés adoptent ces solutions pour automatiser des tâches routinières, créer du contenu ou faciliter leurs prises de décision, souvent sans réaliser qu'ils s'affranchissent ainsi des politiques de sécurité de l'entreprise.
Si le Shadow AI est un cousin du « Shadow IT » (l'utilisation de tout système non autorisé), il introduit des risques uniques et amplifiés. La différence majeure réside dans le fonctionnement même de l'IA : ses résultats peuvent être complexes et parfois imprévisibles. Contrairement aux logiciels classiques, les modèles d'IA apprennent en continu et sont voraces en données. Par conséquent, une IA non sanctionnée peut engendrer des problèmes bien plus graves et immaîtrisables qu'un simple logiciel non approuvé.
Pour les entreprises comme pour les salariés, les dangers sont substantiels, la préoccupation immédiate étant la sécurité et la confidentialité des données. Lorsque des informations sensibles — plans stratégiques, données clients, résultats financiers non publiés ou code source propriétaire — sont injectées dans des outils non approuvés, elles risquent d'atterrir dans des modèles publics ou mal sécurisés.
Selon une enquête de CIO Dive, deux tiers des dirigeants identifient l'exposition ou la fuite de données comme le risque majeur lié à l'usage non sanctionné de l'IA. Ils seraient sans doute alarmés d'apprendre que 37 % des employés interrogés ont déjà saisi des informations internes confidentielles dans des systèmes d'IA externes, et qu'un tiers a admis y avoir intégré des données clients sensibles.
Cette pratique crée un immense angle mort pour les équipes de sécurité et la DSI, qui se retrouvent soudainement dans l'incapacité de savoir quels outils sont utilisés et vers où transitent les informations critiques.
L'exemple le plus frappant remonte à 2023 avec Samsung, lorsque des ingénieurs ont accidentellement partagé du code source propriétaire avec ChatGPT en cherchant une aide à la programmation. La propriété intellectuelle du groupe s'est ainsi retrouvée exposée à un fournisseur d'IA externe.
Cet incident met en lumière un mécanisme critique de fuite de données : certains services d'IA, en particulier les versions gratuites, utilisent les données qu'ils traitent pour entraîner leurs propres modèles. En clair, vos informations confidentielles pourraient être intégrées à la « culture générale » de l'IA, devenant potentiellement accessibles à d'autres utilisateurs ou réapparaissant dans des réponses à des requêtes tierces.
« Nous incitons nos équipes à l'exploration, mais elles ont souvent le sentiment de manquer de temps ou d'autorisation. Notre travail consiste aujourd'hui à faire évoluer les mentalités. »
Ashley Goldsmith
Chief People Officer, Workday
Gérer le phénomène du Shadow AI exige de la nuance. L'interdiction pure et simple est vouée à l'échec, d'autant que l'intelligence artificielle s'immisce désormais partout dans l'environnement de travail. Les collaborateurs trouveront inévitablement des solutions de contournement pour booster leur productivité. De plus, alors que de plus en plus de dirigeants perçoivent l'IA comme un avantage concurrentiel, les organisations ne peuvent plus se permettre d'ignorer cet actif stratégique.
Pour relever ce défi, les entreprises doivent adopter une stratégie double, misant à la fois sur des contrôles informatiques rigoureux et sur une responsabilisation proactive des employés.
La première étape pour repasser d'une gestion réactive à proactive est de sortir de l'aveuglement. Comme l’explique Alain Bouillé, Délégué général du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), face à la multiplication des usages incontrôlés, il est impératif de déployer des « solutions sécurisées pour véritablement protéger les données sensibles.»
Ainsi, la réponse de la DSI doit s'articuler autour de trois axes techniques :
Monitorer les flux sortants : il est impératif de surveiller les données transitant vers les fournisseurs d'IA populaires via les navigateurs ou les API. Cet audit continu permet d'identifier les outils les plus plébiscités pour décider de les bloquer ou, au contraire, de les intégrer au catalogue officiel.
Scanner les environnements de développement : pour les équipes techniques, la surveillance doit s'étendre aux plateformes cloud et au code, où se cachent souvent des clés API personnelles ou des connexions non autorisées.
Déployer des alternatives cloisonnées : la meilleure défense reste l'offre. La DSI doit proposer des modèles d'IA validés, hébergés sur l'infrastructure de l'entreprise pour les données sensibles, ou gérer des accès sécurisés aux outils externes pour les tâches courantes.
Le pare-feu le plus efficace reste le facteur humain. La curiosité des équipes n'est pas une menace, mais un moteur d'innovation qu'il ne faut pas brider. Pour faire de cette pratique un levier de performance, l'entreprise doit instaurer un cadre de confiance :
Établir une doctrine claire : les chartes d'utilisation ne doivent pas être ambiguës. Elles doivent préciser quels outils sont autorisés, comment traiter les données réglementées et définir les responsabilités de chacun.
Fournir des solutions alternatives : le Shadow AI comble souvent un vide. En mettant à disposition des outils sécurisés et performants, l'entreprise coupe l'herbe sous le pied des solutions sauvages.
Miser sur la formation continue : Il ne suffit pas de donner l'outil, il faut donner le mode d'emploi. Ashley Goldsmith (DRH de Workday) insiste sur la nécessité de changer les mentalités pour que les employés se sentent autorisés à explorer. La formation doit couvrir les risques de sécurité et les bonnes pratiques pour créer une culture de l'innovation responsable.
La complexité systémique de l'IA rend illusoire sa gestion par une seule direction. Pour naviguer dans ce nouveau paysage de collaboration homme-machine, l'entreprise doit briser les silos et adopter une intelligence collective.
La clé de voûte de cette transformation réside dans le binôme DSI et DRH. Ensemble, ils doivent redéfinir l'organisation du travail à l'ère de l'IA.
L'humain étant le premier rempart contre le Shadow AI, les Ressources Humaines doivent piloter l'évolution des compétences, l'acculturation et l'adaptation des fiches de poste.
Au-delà de la sécurité technique, les leaders informatiques doivent repenser l'expérience utilisateur pour rendre les solutions d’IA approuvées aussi accessibles et attrayantes que les outils grand public.
Ce leadership partagé est crucial pour dépasser la simple réaction défensive face aux avancées technologiques. Il permet de construire proactivement un futur du travail où l'innovation est sécurisée et où l'IA sert véritablement l'épanouissement des équipes.
L'IA serait-elle incompatible avec le modèle économique français ? Bien au contraire. Pour Hubert Cotté, Directeur Général, Workday France, elle constitue la réponse mathématique à nos pénuries de talents et à nos objectifs de production.
En lire plus
En 2026, la priorité n'est plus d'explorer le possible de l’IA, mais d’en générer une valeur tangible. Ce passage à l'échelle impose une rigueur nouvelle, confrontant les dirigeants et les collaborateurs à des choix d'implémentation décisifs pour transformer l'essai technologique en actif économique.
L'IA redéfinit les systèmes d'entreprise, et Workday est particulièrement bien positionné pour saisir cette opportunité.
Workday est ravi d'être à nouveau reconnu comme un leader dans le Magic Quadrant des logiciels de planification financière pour sa vision stratégique et sa capacité d'exécution.
