Shadow AI en entreprise : le risque de conformité ignoré des DAF et DRH

Le Shadow AI en entreprise pose un risque de conformité majeur que les DAF et DRH français semblent ignorer. Cet article explore les enjeux et les actions à entreprendre pour sécuriser vos opérations.

72% des salariés français utilisent déjà l’IA sans en informer leur employeur

Shadow AI en entreprise : le nouveau risque de conformité que les DAF et DRH français ne voient pas venir

Ce n’est pas une projection. C’est ce qui se passe maintenant, dans les open spaces, les salles de réunion et les home offices de France. Un salarié colle le texte d’un contrat dans ChatGPT pour en avoir un résumé. Une RRH génère une fiche de poste avec Gemini sur son compte personnel. Un contrôleur de gestion utilise une extension de navigateur alimentée par un LLM pour automatiser ses tableaux Excel. Personne n’a demandé l’autorisation à la DSI. Personne ne l’a signalé.

Le Shadow AI désigne l’ensemble des usages d’outils d’intelligence artificielle non validés par la direction des systèmes d’information ou la direction générale. ChatGPT, Gemini, Claude utilisés via des comptes personnels. Extensions de navigateur IA. Outils no-code comme Notion AI ou Gamma. APIs branchées sans revue de sécurité. Le Shadow IT classique – logiciels piratés, Dropbox personnel pour stocker des fichiers pro – semble inoffensif à côté. Mais voici la différence qui tue : le Shadow IT était perçu comme une entorse, le Shadow AI est vécu comme un gain de productivité légitime. C’est précisément ce qui le rend dangereux.

Les profils les plus exposés sont aussi ceux qui manipulent les données les plus sensibles. Les équipes RH rédigent des offres d’emploi, analysent des CV, synthétisent des entretiens. Les équipes finance résument des rapports annuels, automatisent des macros, préparent des pitchs budgétaires. Les juristes reformulent des clauses contractuelles. Les commerciaux traduisent des propositions pour des clients étrangers. Et dans chacun de ces cas, des données à caractère personnel ou stratégique quittent le périmètre de l’entreprise sans que personne ne l’ait autorisé.

Depuis 2024, la démocratisation des LLM et la gratuité des offres freemium ont accéléré le phénomène. Voici les usages les plus fréquemment observés :

  • Résumés de documents internes (rapports, PV de réunion, notes stratégiques)
  • Rédaction ou reformulation de communications officielles (mails RH, courriers clients)
  • Analyse et tri de candidatures via des outils IA non certifiés
  • Traduction de contrats ou d’accords de confidentialité
  • Génération de code ou de macros pour automatiser des tâches financières

Mais aucun de ces usages ne figure dans le registre des traitements de l’entreprise. Et là commence le vrai problème.

RGPD, EU AI Act, secret des affaires : trois lois qui se croisent sans que personne ne les maîtrise

Trois textes légaux se chevauchent et créent une exposition que la plupart des directions n’ont pas cartographiée. Chacun crée un risque différent.

Le RGPD est le plus connu, mais son application au Shadow AI reste mal comprise. Chaque fois qu’un salarié colle des données personnelles – un CV, un bulletin de salaire, les coordonnées d’un client – dans un outil IA externe, il peut y avoir transfert de données hors Union européenne. Or l’article 46 du RGPD impose des garanties précises pour tout transfert vers un pays tiers. Sans contrat de traitement des données signé avec le fournisseur de l’outil IA, sans vérification de l’adéquation du pays destinataire, l’entreprise viole la loi. Sanction maximale : 4% du chiffre d’affaires mondial ou 20 millions€.

L’EU AI Act, entré en application progressivement depuis 2024-2025, classe les systèmes IA en fonction de leur risque. Les usages RH – notation de candidats, scoring comportemental, aide à la décision d’embauche ou de licenciement – sont étiquetés « haut risque ». Cela impose des obligations d’audit, de transparence et de registre que le Shadow AI rend structurellement impossible à respecter.

Le secret des affaires, encadré par la loi du 30 juillet 2018, ajoute une couche de risque. Les conditions générales d’utilisation de certains outils IA prévoient l’utilisation des données saisies pour l’entraînement du modèle. Une information stratégique – plan de restructuration, offre commerciale, brevet en cours – collée dans un prompt peut être considérée comme divulguée.

Texte applicable Risque principal Sanction maximale Responsable en entreprise
RGPD (Règlement UE 2016/679) Transfert de données personnelles hors UE sans garanties 4% du CA mondial ou 20 millions€ DPO, DSI, direction générale
EU AI Act (Règlement UE 2024/1689) Usage non audité d’IA à haut risque (RH, scoring) 30 millions€ ou 6% du CA mondial DRH, DSI, AI Officer
Loi secret des affaires (30 juillet 2018) Divulgation involontaire d’informations stratégiques via prompt Responsabilité civile, injonctions, dommages-intérêts DAF, direction juridique, DRH
Attention: la responsabilité de l’employeur ne disparaît pas parce que l’usage est « personnel ». Si un salarié utilise son compte ChatGPT privé pour traiter des données clients, l’entreprise reste exposée au regard du RGPD. L’outil appartient au salarié, mais les données appartiennent à l’entreprise – et c’est l’entreprise qui répond devant les autorités.

Les DAF sous-estiment le coût réel d’un incident Shadow AI : entre 50000 et 2 millions d’euros

Shadow AI en entreprise : le nouveau risque de conformité que les DAF et DRH français ne voient pas venir - illustration

Un incident de conformité lié au Shadow AI ne se règle pas avec quelques notes comptables. La fourchette observée – entre 50000€ et 2 millions€ selon la taille de l’entreprise et la nature des données exposées – se décompose en trois blocs que les DAF doivent visualiser clairement.

Coûts directs: amende CNIL (qui peut atteindre plusieurs centaines de milliers d’euros pour une PME ayant subi une fuite de données personnelles), frais d’avocat spécialisé en droit numérique, coût d’un audit forensique pour identifier les données exposées. Ces postes arrivent vite et ne se négocient pas.

Coûts indirects: perte de confiance clients si l’incident devient public, départ de talents clés en cas de scandale RH lié à une analyse IA discriminatoire, détérioration de la relation avec les partenaires commerciaux. Ces coûts sont plus difficiles à chiffrer mais souvent supérieurs aux amendes officielles.

Coûts de remédiation: cartographie des outils IA utilisés dans l’entreprise, formation des équipes, déploiement d’une solution IA d’entreprise. Et voici ce qui devrait alerter les DAF : Microsoft Copilot for Microsoft 365 coûte environ 28€ par utilisateur par mois. Pour une entreprise de 100 salariés, cela représente 33600€ par an. Comparez avec un incident qui commence à 50000€ minimum, sans compter les coûts indirects. Le calcul devient évident.

3 lignes budgétaires à provisionner dès le budget 2027 pour couvrir le risque Shadow AI

  • Provision pour audit externe IA: entre 8000€ et 25000€ selon la taille de l’entreprise, à renouveler tous les 18 mois minimum
  • Enveloppe formation conformité IA: compter 300€ à 600€ par collaborateur exposé (RH, finance, juridique, commercial) pour une formation certifiante d’une journée
  • Licences outils IA gouvernés: prioriser les solutions qui incluent des garanties contractuelles de traitement des données en UE (Microsoft Copilot, Google Workspace AI avec configuration entreprise, ou solutions souveraines françaises)

La prévention coûte moins cher. Pas par hasard – parce qu’elle évite la réaction d’urgence, qui est toujours la situation la plus coûteuse.

Les DRH sont en première ligne sans le savoir : recrutement, évaluation, paie dans le viseur

La fonction RH cumule deux caractéristiques qui en font la cible idéale d’un incident Shadow AI. Elle manipule parmi les données les plus sensibles de l’entreprise et elle n’a pas historiquement reçu de formation en droit numérique. un constat que reflet l’absence de modules de conformité IA dans les cursus RH traditionnels.

L’EU AI Act est explicite : les systèmes IA utilisés dans les décisions d’embauche, de promotion ou de licenciement sont classés haut risque. Cela entraîne des obligations précises – transparence envers le candidat ou le salarié, tenue d’un registre des systèmes utilisés, intervention humaine obligatoire dans la décision finale. Aucun de ces prérequis n’est compatible avec l’usage d’un outil IA non déclaré.

Voici les 5 cas RH les plus à risque observés en entreprise :

  • Rédaction d’offres d’emploi via ChatGPT: risque de biais discriminatoires encodés dans les formulations (genre, âge implicite), obligation de traçabilité non remplie au regard de l’EU AI Act
  • Analyse de CV en masse via un outil IA non certifié: catégorie haut risque par définition, sans audit ni registre – exposition directe en cas de contentieux prud’homal
  • Génération de comptes-rendus d’entretien: ces documents contiennent des appréciations sur des personnes physiques identifiées – données sensibles au sens du RGPD, souvent transférées chez un hébergeur non conforme
  • Traduction de contrats de travail via des outils grand public: risque de divulgation de clauses confidentielles (non-concurrence, rémunération variable) à des tiers non contractuellement liés
  • Analyse comportementale ou scoring de performance via IA: si ce scoring influence une décision de licenciement sans avoir été déclaré au salarié, le risque prud’homal est réel et la jurisprudence européenne commence à se constituer

Et la question du licenciement basé sur une analyse IA non déclarée n’est pas théorique. Les tribunaux européens commencent à trancher sur ce sujet. Les DRH français qui n’ont pas fait l’inventaire de leurs usages IA courent un risque juridique concret, pas futur.

Ce que font concrètement les entreprises françaises les plus avancées pour endiguer le phénomène

En 2025-2026, trois niveaux de maturité se dessinent parmi les entreprises françaises qui traitent le sujet. Les écarts entre elles sont significatifs – et les délais de mise en oeuvre sont plus courts qu’on ne l’imagine.

Niveau 1 – Réactif: l’entreprise ajoute une charte d’utilisation de l’IA à son règlement intérieur. Elle organise une sensibilisation ponctuelle, souvent après un incident ou une alerte externe. C’est mieux que rien – insuffisant. Une charte sans contrôle ni alternative proposée ne change rien. Les salariés continuent d’utiliser leurs outils habituels, simplement sans en parler. Délai de mise en oeuvre : 2 semaines. Valeur réelle de protection : faible.

Niveau 2 – Structuré: l’entreprise mène un inventaire des outils IA utilisés, shadow et officiels. Elle désigne un « AI Officer » – souvent une extension du rôle du DPO, parfois un responsable dédié. Elle déploie une solution IA d’entreprise approuvée pour canaliser les usages : Microsoft Copilot, Google Workspace AI en configuration entreprise avec données hébergées en UE, ou des solutions souveraines françaises. L’objectif : proposer une alternative crédible pour que les salariés n’aient plus besoin d’aller chercher ailleurs. Délai : 3 à 6 mois.

Niveau 3 – Proactif: gouvernance IA formalisée, registre des systèmes IA maintenu et mis à jour, formation obligatoire avant tout accès aux outils validés, audit annuel par un prestataire externe. Certaines entreprises déploient des outils de CASB (Cloud Access Security Broker) qui détectent en temps réel les connexions vers des services IA non autorisés depuis le réseau de l’entreprise. Délai de mise en oeuvre d’une gouvernance complète : 6 à 12 mois. C’est long – mais le niveau 3 est le seul qui résiste à un contrôle CNIL ou à une demande d’audit EU AI Act.

La majorité des entreprises françaises de taille intermédiaire en est encore au niveau 0 : pas de charte, pas d’inventaire, pas de responsable identifié. Et le temps joue contre elles.

FAQ : les questions que DAF et DRH posent (enfin) à leur DSI sur le Shadow AI

Peut-on interdire purement et simplement l’usage de ChatGPT au bureau ?

Techniquement, oui : un blocage réseau se configure en quelques heures. Mais voici le piège : les salariés basculent immédiatement sur leur connexion mobile 4G ou 5G – hors du réseau de l’entreprise, hors de toute visibilité DSI. On ne résout pas le Shadow AI en le rendant invisible. On le rend incontrôlable. La vraie solution est de proposer une alternative gouvernée, sécurisée et agréable à utiliser. Quand l’outil officiel fonctionne aussi bien que l’outil interdit, les salariés choisissent l’outil officiel. Pas par vertu – par pragmatisme.

Si un salarié utilise ChatGPT sur son téléphone personnel pour un usage professionnel, sommes-nous responsables en tant qu’employeur ?

Oui, partiellement. La limite « appareil personnel = responsabilité personnelle » ne tient pas dès lors que l’usage concerne des données appartenant à l’entreprise, à ses clients ou à ses candidats. Le RGPD s’attache aux données, pas à l’appareil. Si un RRH analyse des candidatures depuis son iPhone personnel via un outil IA non déclaré, c’est l’entreprise qui est responsable du traitement de ces données personnelles. La jurisprudence européenne se constitue progressivement sur ce point et les premières décisions ne favorisent pas les employeurs qui invoquent l’ignorance.

L’EU AI Act s’applique-t-il aux PME françaises ?

Oui, sans seuil de taille pour les systèmes classés haut risque. Une PME de 80 salariés qui utilise un outil IA pour trier des CV doit respecter les mêmes obligations de transparence et de registre qu’un grand groupe. Les PME bénéficient d’obligations allégées sur certains aspects documentaires et d’un accompagnement via les « bacs à sable réglementaires » prévus par le texte – mais elles ne sont pas exemptées sur le fond. Le délai de mise en conformité moyen constaté pour une PME qui part de zéro : entre 6 et 18 mois selon la complexité des usages IA déjà présents.

Le Shadow AI est le nouveau Shadow IT : les entreprises qui n’agissent pas en 2026 paieront cash en 2027

Je vais être clair : le parallèle avec le Shadow IT est commode mais trompeur. Dans les années 2010, quand les salariés installaient Dropbox ou utilisaient leurs Gmail personnels pour partager des fichiers, les effets étaient visibles – une fuite de données se détectait, un incident laissait des traces. Le Shadow AI, lui, produit des effets invisibles et différés. Un biais discriminatoire encodé dans une fiche de poste générée par IA ne se voit pas immédiatement. Un transfert de données hors UE ne génère pas d’alerte système. Une information stratégique absorbée par un LLM ne disparaît pas dans un log d’accès. C’est ce que les entreprises ne comprennent pas encore.

Et les sanctions ne sont pas lointaines. Le RGPD est en vigueur depuis 2018. L’EU AI Act monte en charge maintenant. La CNIL a prononcé 50 millions€ de sanctions en une seule décision en 2019. Elle possède les outils, la jurisprudence et désormais le mandat politique pour aller plus loin sur l’IA.

Ce qui m’agace le plus : le sujet est trop souvent renvoyé à la DSI comme s’il s’agissait d’un problème de tuyauterie informatique. Mais le Shadow AI est fondamentalement un sujet DAF – parce qu’il génère une exposition financière directe et mesurable – et un sujet DRH – parce qu’il crée des risques RH, sociaux et prud’homaux concrets. Le traiter comme un projet IT, c’est s’assurer qu’il restera mal traité.

Mon avis : avant fin 2026, toute entreprise de plus de 50 salariés devrait avoir réalisé un audit Shadow AI interne, désigné un responsable IA identifié nominativement et mis à jour son règlement intérieur. Pas parce que c’est une bonne pratique. Parce que l’absence de ces trois éléments constitue déjà, en l’état du droit applicable, un défaut de gouvernance documentable par un contrôleur CNIL ou un inspecteur du travail. Ce n’est plus une option. C’est l’hygiène minimale – et ceux qui l’ignorent en 2026 la découvriront en 2027, dans des conditions financières bien moins favorables.