Shadow AI : définition, enjeux et gouvernance de l'IA non autorisée en entreprise

Définition du Shadow AI

Le Shadow AI désigne l'utilisation d'outils et de services d'intelligence artificielle par les collaborateurs d'une organisation sans l'approbation, la supervision ou même la connaissance de la direction informatique (DSI) ou du responsable de la sécurité des systèmes d'information (RSSI).

Le Shadow AI est une extension du concept de Shadow IT, mais avec des caractéristiques spécifiques qui le rendent plus difficile à détecter et potentiellement plus risqué.

Exemples de Shadow AI

• Un développeur qui colle du code source dans ChatGPT pour déboguer
• Un manager qui utilise Claude pour rédiger des notes stratégiques à partir de données internes
• Un commercial qui télécharge des données clients dans un outil IA pour générer des emails personnalisés
• Un designer qui utilise Midjourney ou DALL-E avec des briefs contenant des informations confidentielles
• Un RH qui utilise un outil d'IA pour filtrer des CV sans évaluation de biais
• Un collaborateur qui installe une extension navigateur IA sans vérifier ses permissions d'accès aux données

Pourquoi le Shadow AI est plus risqué que le Shadow IT classique

Facteur	Shadow IT	Shadow AI
Détection	Factures, trafic réseau, SSO	Souvent invisible (outils gratuits, web-based)
Données	Stockées sur la plateforme	Potentiellement utilisées pour entraîner des modèles
Vélocité	Adoption en semaines/mois	Adoption en minutes
Réglementation	RGPD, NIS2	RGPD + EU AI Act + NIS2 + DORA
Irréversibilité	Données récupérables	Données potentiellement intégrées dans des modèles IA

Risques juridiques et réglementaires

Le Shadow AI expose l'entreprise à des sanctions au titre de plusieurs réglementations :

• RGPD : Transferts de données personnelles vers des serveurs hors UE, absence de base légale pour le traitement IA
• EU AI Act : Utilisation de systèmes d'IA sans classification de risque, absence de documentation obligatoire
• NIS2 et DORA : Défaut de cartographie des fournisseurs TIC, non-gestion des risques de la chaîne d'approvisionnement

La CNIL recommande explicitement un registre des traitements IA et des analyses d'impact pour les traitements de données personnelles à grande échelle.

Chiffres clés

• 75 % des professionnels français utilisent l'IA générative au travail, majoritairement sans validation formelle (Odoxa/Microsoft, 2024)
• 50 %+ des entreprises utilisent l'IA générative en production (Gartner, 2024)
• 214 : nombre moyen d'outils IA détectés par Avanoo chez ses clients, contre 7 connus de la DSI
• 4,88 M$ : coût moyen d'une violation de données (IBM, 2024)

Comment gouverner le Shadow AI

La gouvernance du Shadow AI repose sur trois piliers :

1. Visibilité : Cartographier tous les usages d'IA dans l'organisation via des méthodes combinées (SSO, extension navigateur, proxy)
2. Classification : Évaluer le risque de chaque outil selon des critères objectifs (données, hébergement, conformité)
3. Encadrement : Définir des politiques claires et proposer des alternatives approuvées plutôt que d'interdire

Pour un guide complet sur le sujet, consultez notre guide Shadow AI en entreprise 2026.

Termes associés

• Shadow IT : Technologies informatiques utilisées sans approbation IT
• SaaS Management : Gouvernance centralisée des applications SaaS
• Conformité NIS2/DORA : Réglementations de cybersécurité européennes
• EU AI Act : Règlement européen sur l'intelligence artificielle