📍82 Boulevard Haussmann, 75008 Paris

Le Shadow AI : quand vos salariés donnent vos données à une IA

Sommaire


L’IA générative est devenue une pratique généralisée dans les entreprises. Des outils comme ChatGPT, Copilot ou Gemini sont devenus des réflexes de travail pour rédiger, résumer ou corriger un texte.Cela permet d’avoir un gain de temps réel. Toutefois, cet usage crée un risque dont les conséquences sont sous-estimées. Des données confidentielles se retrouvent dans des prompts et sont divulguées puis stockées chez des entreprises tierces.

Cet article a pour objectif de vous aider à comprendre ce risque et à reprendre la main, sans freiner vos équipes.

Le shadow AI, un usage déjà présent dans votre entreprise

Le shadow AI désigne l’usage individuel et non encadré de l’intelligence artificielle par les salariés, en dehors de tout cadre défini par la direction. Voici des exemples de données confidentiels pouvant être saisie dans un prompt : 

  • Un échange d’e-mails avec un client pour rédiger une proposition de réponse ;
  • Une fiche d’entretien ou une liste de salariés pour préparer une évaluation RH ;
  • Un collaborateur dépose un contrat nominatif pour en obtenir un résumé ;
  • Un développeur copie du code, parfois avec des mots de passe, pour le faire corriger ;
  • Une réunion confidentielle est transformée en compte rendu à partir de son enregistrement.

Depuis l’apparition de l’IA générative beaucoup d’entreprises ont encadré son usage. En 2023, des ingénieurs de Samsung ont collé dans ChatGPT du code source confidentiel et le contenu d’une réunion interne. L’entreprise a découvert plusieurs cas de ce type et a réagi en restreignant fortement l’usage de l’outil. 

Les conséquences de la divulgation d’une donnée confidentielle 

Quand un salarié saisit une information dans une IA générative, cette information est transmise au fournisseur du service. Ce fournisseur est très souvent établi en dehors de l’Union européenne. Selon la version utilisée et les réglages du compte, les données saisies peuvent être conservées et, dans certains cas, réutilisées pour améliorer le modèle.

Dès qu’un prompt contient le nom d’un client, les coordonnées d’un salarié ou toute autre donnée personnelle, vous réalisez un traitement au sens du RGPD, avec un transfert vers un tiers. Cela suppose une base légale, une information des personnes, un encadrement du transfert hors d’Europe et un contrat avec le prestataire. Or un compte personnel gratuit n’offre aucune de ces garanties.

L’entreprise est responsable, pas le salarié

Au regard de la loi, l’employeur est le responsable du traitement. C’est à lui de définir ce qui est autorisé, d’informer les personnes concernées et de garantir la confidentialité.

La CNIL l’a confirmé dans ses recommandations sur l’IA et le RGPD publiées en 2025. L’IA n’échappe pas au RGPD, ni pour ceux qui la conçoivent, ni pour ceux qui l’utilisent. Par conséquent, il convient d’éviter l’usage individuel et silencieux, avec des comptes personnels, sans règle ni formation. L’idéal est d’adopter une démarche proactive et d’encadrer un projet IA avec la direction. 

Cet article pourrait aussi vous intéresser : Intelligence Artificielle, Nouvelles Technologies et RGPD : un guide complet pour une utilisation conforme dans votre entreprise.

Les risques à connaître

  1. La perte de confidentialité. 

Un fichier de prix, une stratégie commerciale, un code source ou un dossier sensible qui sort de l’entreprise peut être conservé ailleurs et échapper à votre contrôle. Vous pouvez aussi, sans le vouloir, violer une clause de confidentialité signée avec l’un de vos propres clients.

  1. Le manquement au RGPD. 

Des données clients ou salariés transmises sans base légale, sans information et sans contrat, avec un transfert hors d’Europe non encadré, constituent autant de manquements possibles. L’autorité italienne de protection des données, équivalent de la CNIL, a infligé une amende de 15 millions d’euros à OpenAI, l’éditeur de ChatGPT, pour plusieurs manquements au RGPD. Si le fournisseur est contrôlé, l’entreprise utilisatrice l’est aussi pour ses propres usages.

  1. La fiabilité des réponses.

Les IA génératives produisent parfois des informations fausses, présentées avec assurance. On parle d’hallucinations. Prendre une décision concernant une personne sur la base d’un contenu non vérifié expose à des erreurs. De plus, si un outil trie automatiquement des candidatures ou note des clients, vous entrez dans le champ des décisions automatisées, qui obéissent à des règles strictes.

  1. Le risque de sécurité. 

Coller un identifiant, un mot de passe ou une clé d’accès dans un prompt revient à ouvrir une porte d’accès. 

Cet article pourrait aussi vous intéresser : RGPD et partenaires américains : comment être conforme ?

La solution n’est pas d’interdire l’IA 

Face à ces risques, la solution logique serait d’interdire purement et simplement l’IA générative. Toutefois, l’interdiction pousse l’usage vers les téléphones et les comptes personnels, là où vous n’avez plus aucune visibilité ni aucun contrôle. La bonne approche demande d’encadrer un usage déjà présent. 

Les mesures à mettre en place

  1. La charte d’usage de l’IA

Ce document, court et clair, précise :

  • La liste des outils autorisés et des outils interdits ;
  • Les données que l’on ne saisit jamais, comme les données clients identifiables, les données concernant les salariés, les données de santé, les données sensibles et les secrets de l’entreprise ;
  • Les usages permis et les usages proscrits ;
  • Le réflexe de base, qui est de retirer ou de remplacer les noms et les informations identifiantes avant de soumettre un texte.
  1. Basculer vers des versions professionnelles

Les comptes gratuits ou personnels n’offrent aucune garantie contractuelle. Les versions professionnelles proposées par les éditeurs permettent généralement de signer un contrat, d’exclure la réutilisation de vos données pour entraîner les modèles et d’encadrer l’hébergement. Ainsi, si vos équipes doivent utiliser l’IA sur des données de travail, mieux vaut leur fournir un accès professionnel plutôt que de les laisser utiliser leur compte privé.

  1. Former vos équipes

C’est la mesure qui réduit le plus le risque réel, car la majorité des fuites viennent d’un simple manque de conscience. Une formation courte et concrète, avec des exemples tirés de vos métiers, suffit souvent à installer les bons réflexes.

  1. Réaliser une analyse d’impact pour les usages sensibles

Dès que l’IA touche aux ressources humaines, à l’analyse de pièces nominatives ou à la relation client automatisée, cette analyse est nécessaire. Elle documente les risques et vos garanties, et elle vous servira aussi pour le règlement européen sur l’intelligence artificielle.

  1. Informer et mettre à jour vos documents. 

Les personnes dont les données peuvent être traitées par un outil d’IA doivent en être informées. Pensez à mettre à jour votre politique de confidentialité et, le cas échéant, votre charte informatique.

  1. Gardez l’humain aux commandes. 

Vérifiez toujours les contenus générés avant de les utiliser, en particulier lorsqu’ils concernent des personnes réelles ou fondent une décision. L’IA propose, l’humain décide et contrôle.

Conclusion

Le shadow AI est une réalité déjà installée dans la plupart des entreprises. La question n’est donc pas de savoir si vos équipes utilisent l’IA générative, mais dans quelles conditions et avec quelles données. Or c’est l’entreprise qui répond de ces usages, pas le salarié qui a saisi le texte.

La bonne nouvelle est que reprendre la main ne demande ni gros budget ni expertise technique, tel qu’une charte claire, des outils professionnels, ou encore une formation. 

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Partager le post

Articles connexes

Diogo Morais Gomes
Diogo Morais Gomes
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.