Un collaborateur qui copie-colle un contrat client dans ChatGPT pour le reformuler. Un manager qui demande à Gemini de l’aider à rédiger une lettre de licenciement, et qui précise les nom et poste du salarié concerné. Un chef de produit qui décrit sa stratégie de lancement à une IA grand public pour obtenir une analyse concurrentielle. Des gestes qui n’ont rien d’incroyables dans une organisation et qui ont tous comme base l’utilisation de l’IA générative. Le problème : chacun d’eux alimente ce qu’on appelle aujourd’hui le Shadow IA. Des outils divers, non validés par la DSI et qui mettent en risque la sécurité des données de l’organisation.
Qu’est-ce que le shadow IA ?
Le Shadow IA désigne l’ensemble des usages de l’intelligence artificielle générative par les collaborateurs, pratiqués en dehors de tout cadre validé par leur entreprise. Le Shadow IA est l’équivalent de ce que le Shadow IT a représenté pendant des années pour les logiciels non approuvés par la DSI : des outils utiles, adoptés spontanément par les collaborateurs, mais totalement hors du radar et du contrôle de l’organisation.
La principale différence est que le Shadow IT concernait surtout des applications. Le Shadow IA, lui, touche directement à la donnée : celle que l’on partage à l’IA à chaque interaction. Un usage qui semble naturel et qui pourtant expose l’entreprise à de sérieux risques en matière de cybersécurité.
Pourquoi le Shadow IA explose dans les organisations
Des IA gratuites… mais pas pour rien
Si les grandes IA génératives grand public sont si accessibles, voire gratuites, ce n’est pas un hasard : leur modèle économique repose sur la donnée. Ces plateformes ont besoin de collecter un maximum d’interactions pour entraîner leurs modèles et développer de nouveaux services, la publicité contextualisée en tête.
Un acteur comme Gemini est aujourd’hui capable de collecter jusqu’à une vingtaine de catégories de données différentes sur un utilisateur : localisation, contenu des échanges, habitudes d’usage. L’utilisateur devient, souvent à son insu, un fournisseur de données et une cible potentielle pour les annonceurs.

Une expérience utilisateur pensée pour capter l’information
Si les collaborateurs livrent autant d’informations à ces outils, c’est aussi parce que, il faut le reconnaître, l’expérience utilisateur est redoutablement efficace.
Le ton conversationnel et bienveillant de ces IA pousse à la confidence : une étude menée par OpenAI avec le chercheur David Deming (Harvard/NBER, 2025), basée sur l’analyse de 1,5 million de conversations, montre que la part des messages échangés sur ChatGPT sans lien avec le travail est passée de 53 % à 73 % entre 2024 et 2025, signe d’un glissement net vers des usages personnels et confidentiels.
Les relances systématiques en fin d’échange encouragent l’utilisateur à donner toujours plus de contexte et de détails sur sa situation, le but étant de maximiser le temps passé sur la plateforme. Et l’opacité sur le devenir des anciens échanges renforce l’illusion que rien ne reste vraiment stocké quelque part.
La boucle est donc bien ficelée : plus les utilisateurs utilisent ces outils et plus ils leur partagent des informations confidentielles, précises et contextualisées. Une utilisation des outils IA qui n’est pas sans conséquences, surtout dans le domaine professionnel.
Des conséquences concrètes, parfois irréversibles
Le shadow IA présente plusieurs risques concrets pour les organisations. Voici trois situations très courantes en entreprise :
- Fuite stratégique : un collaborateur décrit à une IA générative le lancement d’un nouveau produit et demande une analyse concurrentielle détaillée. Cette information a une valeur réelle, que l’éditeur de l’IA peut potentiellement exploiter ou, dans le pire des cas, qui peut se retrouver du côté d’un concurrent.
- Violation contractuelle : un contrat signé avec un client sous accord de confidentialité (NDA) est collé dans une IA pour être relu ou corrigé. L’entreprise vient de transmettre des informations confidentielles à un tiers, en infraction directe avec ses propres engagements.
- Non-conformité RGPD et IA Act : la rédaction d’un courrier RH avec le nom, le poste et des détails personnels d’un salarié expose l’entreprise à un traitement de données personnelles hors de tout cadre légal.

Le Shadow IA, un angle mort encore trop souvent sous-estimé
Ce qui rend le Shadow IA particulièrement difficile à piloter, c’est qu’il échappe presque totalement aux outils de contrôle habituels.
La DSI peut bloquer l’installation d’un logiciel non autorisé sur un poste de travail ; elle ne peut pas empêcher un collaborateur d’ouvrir un onglet et de coller un extrait de document dans une IA accessible depuis n’importe quel navigateur.
Le Shadow IA ne laisse pas de trace dans un inventaire logiciel classique, et c’est justement ce qui en fait un risque diffus, mais pourtant bien présent dans toutes les équipes et à tous les niveaux de l’organisation.
Et l’ampleur du phénomène dépasse largement l’intuition. Selon le Work Trend Index de Microsoft et LinkedIn (2025), 75 % des travailleurs utilisent aujourd’hui l’IA dans leur travail, et parmi eux, 78 % utilisent leurs propres outils plutôt que ceux fournis par leur employeur : un usage que Microsoft a lui-même baptisé le « BYOAI » (Bring Your Own AI).
Une enquête Gartner menée en 2025 auprès de 302 responsables cybersécurité confirme l’ampleur du phénomène côté organisations : 69 % d’entre elles soupçonnent, ou ont la preuve, que leurs employés utilisent des IA génératives publiques interdites.
Le vrai risque se situe dans la donnée qui transite par ces outils. Selon Kiteworks (2025), 93 % des employés partagent des données confidentielles de leur entreprise avec des outils d’IA non autorisés.
Côté français, l’étude OpinionWay pour Factorial (2026) va dans le même sens : plus d’un salarié sur deux (56 %) estime que son entreprise le laisse « se débrouiller seul » avec l’IA, sans règles ni cadre de gouvernance clair. Un sentiment d’abandon qui dépasse 61 % dans les ETI et 58% dans les grands groupes.
Et c’est là tout l’enjeu du shadow IA : ces chiffres montrent qu’il ne s’agit pas d’un phénomène marginal, mais du comportement par défaut d’une majorité de salariés, faute de cadre proposé par leur organisation.
C’est cette bascule, d’un réflexe individuel à un usage professionnel non encadré, qui transforme une simple habitude numérique (à première vue inoffensive) en un enjeu de sécurité pour l’organisation.
Comment limiter le Shadow IA ?
Le meilleur remède au Shadow IA reste, sans surprise, un cadre précis et délimité par l’organisation avec :
- Les outils validés par la DSI et ceux prohibés pour des raisons de sécurité.
- La création d’une charte collective sur les pratiques à adopter et celles à éviter lors de l’utilisation d’un outil IA.
- La sensibilisation des collaborateurs aux enjeux et risques posés par l’IA à travers des réunions et ateliers internes.
Mais en attendant ce cadre, quelques réflexes permettent déjà de réduire les risques d’exposition (à inclure par ailleurs dans la future charte de votre organisation).
- Ne jamais copier-coller de données sensibles dans une IA grand public. Noms, mails, données financières, propriété intellectuelle, données RH… La liste peut être longue mais le réflexe à adopter est toujours le même : si vous n’enverriez pas cette information par email à un inconnu, ne la mettez pas dans une IA grand public.
- Anonymiser systématiquement les informations transmises : remplacez le nom d’un client par « Client A », retirez les noms et mails d’un document avant de le soumettre, bref assurez-vous que vos prompts et documents partagés ne contiennent que des informations génériques ou déjà accessibles publiquement.
- Vérifier les paramètres de confidentialité des outils utilisés : désactivez la réutilisation des conversations pour l’entraînement des modèles quand cela est possible et évitez les outils gratuits pour un usage professionnel.
Ces bonnes pratiques sont indispensables, mais elles reposent surtout sur la vigilance individuelle de chaque collaborateur, face à des outils justement conçus pour la contourner.
Pour les diffuser plus facilement au sein de vos équipes, retrouvez l’ensemble de ces pratiques dans notre checklist « Comment protéger vos données sensibles des LLMs ».

SafeBrain : encadrer et industrialiser l’usage de l’IA en entreprise
Les organisations ne peuvent se reposer uniquement sur la vigilance de leurs collaborateurs pour assurer la protection de leurs données les plus sensibles face aux outils IA.
Et c’est à cette problématique, qui touche aujourd’hui les organisations publiques comme privées, que la plateforme SafeBrain répond.
Plutôt que de compter sur la responsabilité de chaque individu, SafeBrain permet aux organisations de sécuriser et d’industrialiser l’utilisation de l’IA :
- Adapter l’usage de l’IA selon les besoins de chaque service, avec des agents prêts-à-l’emploi
- Encadrer l’IA dans un espace souverain, hébergé en France
- Choisir librement ses LLMs, des modèles les plus performants du marché aux modèles open-source souverains hébergés en Europe
- Prévenir la fuite d’informations sensibles grâce à l’anonymisation des données
L’objectif n’est pas d’interdire l’IA à vos collaborateurs, ce qui ne ferait que renforcer le Shadow IA, mais de leur offrir une alternative aussi simple à utiliser que ChatGPT ou Gemini, les risques liés à la sécurité et la souveraineté des données en moins.

Pour aller plus loin : comment l’IA siphonne vos données ?
En résumé
L’IA est arrivée sans prévenir et a largement bousculé les usages professionnels depuis 2023. En conséquence, son niveau d’adoption au sein des organisations s’en ressent. Les professionnels utilisent des outils différents, chacun à leur façon et sans avoir conscience des risques qui pèsent sur leur entreprise. Des solutions professionnelles comme SafeBrain ont justement été conçues pour mettre fin à ces risques, mais aussi pour permettre aux organisations d’aligner l’utilisation de l’IA sur les besoins de leurs collaborateurs.
Les réflexes essentiels pour protéger vos données sensibles face aux IA génératives, à partager avec toute votre équipe.
Télécharger la checklist