Shadow AI en entreprise : comment encadrer l’usage de l’IA ?

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Aller à :navigation, rechercher
  France > Droit privé >  Droit du travail > Droit du numérique  >  Protection des données personnelles

Cabinet Haas avocats[1]
Avril 2026
 

En moins de deux ans, l’intelligence artificielle générative s’est imposée dans le quotidien des salariés. Selon le Baromètre du numérique 2026 du Crédoc, 48 % des Français utilisent désormais une IA générative, une diffusion encore plus rapide que celle du smartphone.

Dans les entreprises, les cadres s’en servent pour rédiger, analyser ou automatiser des tâches… souvent sans formation, ni encadrement juridique.

Source : Baromètre du numérique, Edition 2026, Crédoc.

Ce phénomène d’usage officieux – désormais qualifié de « shadow AI »[1] – met les organisations face à une réalité brutale : l’IA n’attend pas les politiques internes pour être utilisée.

Entre pression des salariés et risques juridiques liés aux données, les entreprises se lancent dans une course accélérée à la formation et à la régulation interne.

Pour les juristes, la question n’est plus de savoir si l’IA sera utilisée dans l’entreprise, mais comment en encadrer juridiquement l’usage avant qu’il ne devienne incontrôlable.

« Shadow AI » : quand les salariés utilisent l’IA… sans que l’entreprise ne le sache

L’un des phénomènes les plus marquants reste l’explosion de la shadow AI.

Une étude IFOP a ainsi révélé que 37 % des professionnels utilisaient une IA au travail sans en informer leur hiérarchie. Dans certains cas, les salariés copient-collent directement dans les outils gratuits des contenus internes : contrats, données commerciales, notes juridiques ou documents stratégiques.

Cette pratique soulève néanmoins plusieurs risques juridiques majeurs :

  • Risque de divulgation de données confidentielles

Les versions gratuites d’IA peuvent réutiliser les données saisies pour entraîner leurs modèles. L’entreprise peut alors perdre le contrôle d’informations sensibles.

  • Risque de transfert de données personnelles

La transmission de données personnelles à des services externes peut constituer un transfert non encadré vers un sous-traitant, voire hors de l’Union européenne[2].

  • Risque de responsabilité de l’employeur

En l’absence de règles internes au sein de l’entreprise, celle-ci pourrait être tenue responsable de l’usage de ces outils par ses salariés.

Résultat : certaines directions ont d’abord interdit l’IA par précaution, avant de se rendre compte que les usages existaient déjà. La stratégie évolue donc progressivement vers une approche plus pragmatique : autoriser… tout en encadrant.

Former pour contrôler : la nouvelle stratégie de gouvernance de l’IA

Face à ces usages incontrôlés, un grand nombre d’entreprises ont choisi une réponse rapide : la formation de leurs salariés à l’IA.

L’objectif n’est plus seulement pédagogique. Il s’agit aussi, et surtout, de reprendre la main sur les usages internes. La formation devient donc un véritable outil de gouvernance.

Celle-ci permet notamment de :

  • identifier les outils autorisés ;
  • sensibiliser aux risques liés aux données ;
  • définir des cas d’usage professionnels ; et
  • instaurer une culture commune autour de l’IA.

D’autres organisations ont même choisi de former l’ensemble des collaborateurs simultanément, afin d’éviter la fracture entre salariés déjà utilisateurs et ceux restés à l’écart.

Toutefois, cette stratégie révèle aussi une tension plus profonde : l’adoption de l’IA est souvent motivée par une forme de « Tech FOMO » (Fear of Missing Out)[3].

Le risque est alors de déployer des outils avant même d’avoir réfléchi à leur gouvernance juridique…

L’enjeu juridique : définir un cadre de gouvernance de l’IA

La plupart des formations à l’IA restent centrées sur les usages techniques : rédaction de prompts, automatisation, génération de contenu. Or, cela ne suffit plus.

Il devient nécessaire de définir des règles claires :

  • Ce qui peut être délégué à la machine ;
  • Ce qui doit rester sous contrôle humain, et
  • Comment vérifier la fiabilité des résultats.

Certaines entreprises commencent d’ailleurs à structurer ces pratiques, en mettant en place des ateliers internes ou des cadres d’usage partagés.

L’IA ne se gouverne plus uniquement par la conformité, mais aussi par des règles internes d’organisation. Dans ce contexte, l’enjeu n’est plus de freiner les usages, mais bien de les structurer.

La gouvernance de l’IA semble donc s’imposer comme un nouveau pilier de la conformité en entreprise.

L’encadrement des usages n’en constitue toutefois qu’une première étape. À terme, c’est l’ensemble de la gestion des données et des outils numériques qui devra être repensé…

Récupérée de "https://www.lagbd.org/index.php?title=Shadow_AI_en_entreprise_comment_encadrer_l_usage_de_l_IA&oldid=81098"
Powered by MediaWiki
Powered by Semantic MediaWiki