L’IA générative s’est imposée dans les entreprises à une vitesse inédite, souvent sans validation ni cadrage. Ce déploiement, hors de tout référentiel, engendre un phénomène, de “Shadow AI”, un nouvel angle mort dans la gouvernance numérique : celui des usages d’outils non maîtrisés, à grande échelle, par des collaborateurs en quête d'efficacité immédiate. En réponse, certaines DSI ont choisi l’interdiction pure et simple. Une réaction …  de moins en moins tenable. Car dans les faits, ces outils contribuent déjà à la performance des organisations. La véritable question n’est donc plus “faut-il tout contrôler ?”, mais “comment encadrer intelligemment les usages ?”.

Le Shadow AI, reflet d’un glissement culturel invisible

En l’absence de règles claires, les outils d’IA générative utilisés à titre personnel ont glissé naturellement dans les usages professionnels. Désormais, ces outils sont perçus comme des assistants du quotidien, aussi évidents à utiliser qu’un moteur de recherche. Quelques grandes organisations, dotées de ressources conséquentes, ont pu anticiper et édicter un cadre. Mais dans la majorité des cas, l’adoption de l’IA générative se fait de manière spontanée, sans accompagnement, brouillant la frontière entre initiative individuelle et cadre collectif.

Pour les DSI, cette évolution marque un tournant. L’arrivée d’outils d’IA générative ne passe plus par des appels d’offres, des déploiements contrôlés ou des arbitrages budgétaires. Alors pendant que l’IT prend la mesure de ces nouveaux usages et de leurs conséquences, les métiers, eux, expérimentent librement, créant une rupture de plus en plus difficile à combler.

Des risques bien réels

L’usage non encadré des IA génératives expose l’entreprise à des fuites de données discrètes mais réelles. Il ne s’agit pas de piratage sophistiqués, mais de simples copier-coller : un extrait de mail, un bout de code, une capture d’écran ou un document partagé dans des prompts pour “gagner du temps”. Et c’est un bout de savoir-faire qui part dans le cloud…

Ces outils exposent aussi à un risque plus insidieux : les données partagées peuvent être stockées, analysées et réutilisées. Contrairement aux applications SaaS classiques, les IA génératives ne se contentent pas de traiter une requête. Elles peuvent indexer les informations soumises, c’est-à-dire les intégrer à leurs modèles pour générer de futures réponses. Ce qui est partagé n’est donc pas seulement interprété sur le moment, il peut potentiellement ressurgir ailleurs, sans que l’entreprise n’en ait le contrôle. Et, plus l’entreprise tarde à mettre en place un cadre clair, plus ces pratiques s’enracinent en dehors du périmètre IT, rendant toute gouvernance a posteriori illusoire.

Former, cadrer, responsabiliser : la réponse concrète au Shadow AI

Face à l’essor du Shadow AI, la tentation de bloquer tous les accès aux outils d’IA générative est compréhensible. Mais ce réflexe radical ne résout rien sur le long terme. Il déplace simplement les usages vers d’autres environnements non maîtrisés et parfois encore plus risqués : on parle désormais de BYOIA “Bring Your Own IA”, sur le modèle du BYOD “Bring Your Own Device”. L’enjeu n’est donc pas d’interdire, mais de reprendre la main et proposer un cadre clair.

Tout commence donc par la sensibilisation. En effet, beaucoup de collaborateurs ignorent que le simple fait de coller un contenu dans une IA peut exposer l’entreprise. Former, expliquer, illustrer les bons réflexes devient alors une des premières lignes de défense. Et cela ne concerne pas seulement les données partagées puisque la façon de dialoguer avec ces outils compte aussi. Un prompt mal formulé peut générer des réponses inadaptées ou trop longues, entraînant plusieurs itérations inutiles et une consommation de ressources accrue. À l’inverse, une requête claire permet d’obtenir une réponse pertinente plus rapidement, tout en limitant l’impact énergétique. Mieux formuler, c’est aussi mieux consommer.

Certaines organisations vont même plus loin : elles définissent une charte d’usage, créent des parcours de formation obligatoires ou nomment des référents IA internes pour accompagner les équipes au quotidien.

Cependant, la réponse ne peut pas être uniquement pédagogique. Des solutions techniques existent déjà pour encadrer les usages : outils de gouvernance automatisé, marquage des documents sensibles, systèmes de traçabilité ou d’alerte en cas d’exfiltration d’informations. Certaines plateformes d’IA génératives permettent aussi de paramétrer les usages selon des règles précises, ou de garantir que les données ne seront ni stockées ni utilisées pour entraîner les modèles. Encore faut-il, pour cela, prendre le temps de lire les contrats et comprendre les conditions d’usage réelles des solutions employées, notamment grand public.

Enfin, une gouvernance efficace ne repose pas seulement sur l'organisation IT. Si l’on veut que les règles soient appliquées, elles doivent être portées par la direction, incarnées par le management, et alignées sur les priorités métier. Dans les organisations les plus avancées, c’est la direction générale qui impulse une politique d’usage responsable de l’IA, en lien avec les enjeux de sécurité, d’innovation et de performance. Autrement dit, il ne s’agit pas d’un chantier technique, mais bien d’un projet d’entreprise. Une extension naturelle des politiques déjà en place pour la cybersécurité — à condition, cette fois encore, de le prendre à bras-le-corps, sans attendre le prochain incident.

Par Damien Mazier, Team Lead Adoption & Change Management chez Crayon France