Une intéressante étude qualitative a été conduite récemment par l'Inria et le club de data scientists Datacraft auprès de 14 grandes organisations dont Airbus, l'Assurance Maladie, le CHU de Montpellier et le Crédit Agricole. Cette enquête sur le Shadow AI montre que nous sommes encore loin d’un usage critique, réfléchi et responsable de l’IA. Plus d’un tiers des répondants (soit 37 %), utilisateurs d’IA génératives (IAGen), ne préviennent pas leur hiérarchie alors qu’ils s’en servent fréquemment. Les salariés s’emparent sans contrôle de l’IAGen pour reformuler des e-mails, structurer des présentations, produire des textes, traduire, faire de la veille ou approfondir des idées. Mais ils le font en dehors de tout cadre officiel.
Concernant l’IA non-générative, l’étude fait apparaitre un décalage entre les ambitions stratégiques et l’usage réel des IA, une tendance qui se poursuit avec l’IAGen. Ainsi, après une décennie, seuls 20 % des projets sont industrialisés, générant des failles en matière de sécurité, de conformité réglementaire, de gouvernance des données et de souveraineté technologique. L’enquête indique que l’IA, utilisée sans cadre, peut exacerber l’individualisation du travail, favoriser la compétition interne ou alimenter des inégalités de compétences non reconnues. De quoi fragiliser la cohésion des collectifs de travail et empêcher la construction de règles partagées.
L'AI Act entré en vigueur le 1ᵉʳ août 2024 sera progressivement appliqué, mais les usages critiques et stratégiques sont d’ores et déjà verrouillés par les organisations.
Des préconisations pour sortir du Shadow IA
Pour mettre des garde-fous aux utilisations incontrôlées de l’IA, il faut associer la DSI, les responsables métiers, les directions juridiques, la RH et les représentants du personnel. Sans oublier bien entendu les collaborateurs qui disposent d’un précieux savoir informel sur ce domaine. Il faut naviguer entre la vitesse d’exécution, la rigueur, l’autonomie et la conformité. Pour juguler le Shadow AI, sachant qu’il ne sera pas possible de le faire totalement, quatre pistes sont suggérées par l’enquête de l’INRIA et les data scientists de DataCraft. D’une part, sortir de l’usage incontrôlé de l’IAGen de façon négociée entre toutes les parties. Connaissant les difficultés à établir de véritables consensus, la partie n’est pas gagnée.Ensuite, il importe d’organiser des ateliers pour définir collectivement la qualité du travail et définir pour quels usages elle est la plus utile.
La troisième recommandation résonne comme une incantation formulée dans la langue administrative. Il s’agit de co-construire un cadre de confiance. En bref, d’arbitrer entre l’autonomie du personnel et l’élaboration d’un cadre clair et légal des usages de l’IA.
Enfin, les organisations privées et publiques doivent élaborer un parcours de formation qui prend en compte la totalité des enjeux. Depuis la qualité et la pertinence des données alimentant les LLM jusqu’à l’utilisation raisonnée des réponses des IAGen en passant par la capacité à créer des prompts saisis dans les IAGen. Ce dernièr savoir-faire devient aujourd’hui une compétence clef.
