Définition du Shadow AI
Le Shadow AI désigne l'utilisation d'outils et de services d'intelligence artificielle par les collaborateurs d'une organisation sans l'approbation, la supervision ou même la connaissance de la direction informatique (DSI) ou du responsable de la sécurité des systèmes d'information (RSSI).
Le Shadow AI est une extension du concept de Shadow IT, mais avec des caractéristiques spécifiques qui le rendent plus difficile à détecter et potentiellement plus risqué.
Exemples de Shadow AI
- Un développeur qui colle du code source dans ChatGPT pour déboguer
- Un manager qui utilise Claude pour rédiger des notes stratégiques à partir de données internes
- Un commercial qui télécharge des données clients dans un outil IA pour générer des emails personnalisés
- Un designer qui utilise Midjourney ou DALL-E avec des briefs contenant des informations confidentielles
- Un RH qui utilise un outil d'IA pour filtrer des CV sans évaluation de biais
- Un collaborateur qui installe une extension navigateur IA sans vérifier ses permissions d'accès aux données
Pourquoi le Shadow AI est plus risqué que le Shadow IT classique
| Facteur | Shadow IT | Shadow AI |
|---|
| Détection | Factures, trafic réseau, SSO | Souvent invisible (outils gratuits, web-based) |
| Données | Stockées sur la plateforme | Potentiellement utilisées pour entraîner des modèles |
| Vélocité | Adoption en semaines/mois | Adoption en minutes |
| Réglementation | RGPD, NIS2 | RGPD + EU AI Act + NIS2 + DORA |
| Irréversibilité | Données récupérables | Données potentiellement intégrées dans des modèles IA |
Risques juridiques et réglementaires
Le Shadow AI expose l'entreprise à des sanctions au titre de plusieurs réglementations :
- RGPD : Transferts de données personnelles vers des serveurs hors UE, absence de base légale pour le traitement IA
- EU AI Act : Utilisation de systèmes d'IA sans classification de risque, absence de documentation obligatoire
- NIS2 et DORA : Défaut de cartographie des fournisseurs TIC, non-gestion des risques de la chaîne d'approvisionnement
La CNIL recommande explicitement un registre des traitements IA et des analyses d'impact pour les traitements de données personnelles à grande échelle.
Chiffres clés
- 75 % des professionnels français utilisent l'IA générative au travail, majoritairement sans validation formelle (Odoxa/Microsoft, 2024)
- 50 %+ des entreprises utilisent l'IA générative en production (Gartner, 2024)
- 214 : nombre moyen d'outils IA détectés par Avanoo chez ses clients, contre 7 connus de la DSI
- 4,88 M$ : coût moyen d'une violation de données (IBM, 2024)
Comment gouverner le Shadow AI
La gouvernance du Shadow AI repose sur trois piliers :
- Visibilité : Cartographier tous les usages d'IA dans l'organisation via des méthodes combinées (SSO, extension navigateur, proxy)
- Classification : Évaluer le risque de chaque outil selon des critères objectifs (données, hébergement, conformité)
- Encadrement : Définir des politiques claires et proposer des alternatives approuvées plutôt que d'interdire
Pour un guide complet sur le sujet, consultez notre guide Shadow AI en entreprise 2026.
Termes associés
- Shadow IT : Technologies informatiques utilisées sans approbation IT
- SaaS Management : Gouvernance centralisée des applications SaaS
- Conformité NIS2/DORA : Réglementations de cybersécurité européennes
- EU AI Act : Règlement européen sur l'intelligence artificielle
Olivia Dubois est Shadow AI Expert et Chief AI Officer chez Avanoo. Diplômée d'HEC Paris et ancienne consultante chez BCG, elle accompagne les entreprises dans la détection et la gouvernance du Shadow AI et du Shadow IT.
