Le « Shadow AI », ou « IA Fantôme », c’est l’utilisation spontanée par certains collaborateurs d’outils d’IA sur des abonnements personnels et gratuits. Ces usages non encadrés constituent un vrai risque juridique et organisationnel.
« Chez nous, nous n’utilisons pas encore l’IA ». Ou bien sa variante : « nous sommes toujours en phase d’étude /de pilote / de réflexion… »
Cette phrase, je l’entends régulièrement lors de discussions avec des directions juridiques ou des cabinets d’avocats. Car pas d’outil officiellement déployé signifie pas besoin de politique interne, donc — pensent-ils — pas de problème.
Et à chaque fois, je pose la question : « comment êtes-vous certain qu’aucun de vos collaborateurs n’utilise ChatGPT, Claude ou similaire sur un compte privé mais avec les données de l’entreprise ? »
Le Shadow AI : un phénomène massif et sous le radar
Le « Shadow AI » ou « IA Fantôme », c’est l’utilisation individuelle et spontanée par des collaborateurs d’outils d’IA — ChatGPT, Claude, Mistral, ou autres — sur des abonnements personnels le plus souvent gratuits, donc en dehors de tout cadre validé par l’employeur, mais avec des données de l’entreprise.
Ces usages sont discrets et rarement revendiqués mais ils sont néanmoins bien connus : reformuler un email, synthétiser un contrat, préparer une note à partir d’un prompt. Ces gestes répondent à une logique simple :gagner du temps et produire mieux.
Comment d’ailleurs pourrait-il en être autrement quand ces mêmes collaborateurs peuvent découvrir et apprécier la puissance incroyable de ces nouveaux outils dans leur cadre privé. C’est donc en toute bonne foi qu’ils les apportent dans leur entreprise !
Le Shadow AI est ainsi un phénomène massif. Toutes les études convergent :
- Selon une enquête du cabinet d’études IDC de 2025, 56 % des salariés utilisent des outils d’IA non autorisés ;[1]
- En France, l’étude Microsoft France × YouGov de janvier 2026 établit que 61 % des utilisateurs professionnels d’IA recourent à des outils génératifs via des comptes personnels au moins une fois par semaine — dont 38 % quotidiennement ; [2]
- L’éditeur américain de cybersécurité Netskope, dans son Cloud and Threat Report 2026, confirme la tendance mondiale : 47 % d’utilisateurs sur comptes personnels. [3]
Vous voulez ma conviction ? Ces chiffres sont sous-estimés. Parce que les salariés interrogés n’avouent pas tout, surtout quand ils savent qu’il n’y a aucune règle énoncée par l’entreprise.
À propos de moi :
Comment les professions du droit peuvent-elles utiliser l’IA sans improviser, ni exposer leurs données ? Quels usages sont vraiment utiles ? Et lesquels faut-il bannir ?
Juriste depuis 25 ans et avocate, j’ai créé IAJuridique pour vous accompagner de façon pragmatique dans l’adoption concrète, utile et encadrée de l’IA : formation, conformité, choix d’outils et conduite de projet.
Le Shadow AI comme symptôme organisationnel
Ces usages révèlent un double décalage. D’abord entre des outils internes lourds ou inexistants, un calendrier IT long, et des besoins opérationnels immédiats. Ensuite entre les fonctions elles-mêmes : le juridique raisonne en termes de risque et de conformité ; l’IT en termes de sécurité ; les opérationnels en termes d’efficacité.
Chacun a raison dans son référentiel et aucun ne parle la même langue. C’est pourquoi en l’absence de cadre commun, les collaborateurs arbitrent.
C’est là que les problèmes commencent. Un collaborateur colle une liste de clients dans un chatbot pour gagner une heure ? C’est l’entreprise qui répondra d’un manquement au RGPD. Un livrable est produit à partir de données que personne n’a vérifiées ? La responsabilité contractuelle vis-à-vis du client est engagée. Un avocat glisse une information sensible dans un prompt ? C’est le secret professionnel qui vacille.
Le coût financier, lui aussi, se mesure : selon le Cost of a Data Breach Report 2025 d’IBM, une brèche impliquant du Shadow AI coûte en moyenne 670 000 $ de plus qu’une brèche classique, et une organisation sur cinq en a déjà subi une. [4]
À cela s’ajoute une nouvelle obligation née avec l’AI Act et applicable depuis février 2025 : « former ses équipes à un usage éclairé de l’IA ».
Donc laisser le Shadow AI se développer, c’est se mettre dans l’illégalité.
Interdire ? c’est tentant mais insuffisant
Quand j’ai commencé à travailler sur les sujets IA en entreprise, ma première réaction a été celle d’à peu près tous les juristes : encadrer fermement, voire interdire les outils non maîtrisés. C’est rassurant et c’est cohérent avec notre formation. C’est conforme à notre instinct juridique.
Pour autant, cette réponse réflexe ne corrige pas le symptôme. Selon UpGuard (novembre 2025), 40 % des salariés continuent d’utiliser des outils d’IA non autorisés au quotidien, et 45 % contournent activement les interdictions. [5] Encore plus savoureux, la même étude révèle que 68 % des responsables sécurité, RSSI inclus, font eux-mêmes du Shadow AI au quotidien !
À mon avis, la politique d’interdiction peut être pire que pas de politique du tout car elle donne une fausse sécurité, dégrade la relation de confiance avec les équipes, et laisse intact le risque réel.
Concrètement, comment reprendre la main sur le Shadow AI ?

Voici quatre actions concrètes qui vous permettront de reprendre la main.
Premièrement, cartographiez les usages réels.
Cela commence par un questionnaire interne bien construit (par exemple avec Microsoft Form) : Qui utilise quoi ? Pour quels cas ? Avec quelles données ? Quels irritants les outils actuels ne résolvent-ils pas ?
Je vous recommande de rendre ce premier questionnaire anonyme pour optimiser la véracité des réponses. Vous serez surpris — au sens fort du terme — par les réponses !
Deuxièmement, proposez une alternative « Entreprise » crédible.
Honnêtement, en mai 2026, cela ne devrait plus être un débat : chaque entreprise ou cabinet d’avocats devraitavoir déployé pour ses collaborateurs une offre d’IA à la fois performante et responsable. Et c’est facile :
Tout d’abord, tous les grands éditeurs proposent des offres « entreprises » dotées de toutes les garanties juridiques de conformité nécessaires à travers leurs contrats de Data Protection Agreement (« DPA »). En choisissant l’une de ces offres, vous serez au même niveau de sécurité qu’avec les technologies (Microsoft Windows, Office 365, Gmail ou Google Workspace) que vous utilisez déjà au quotidien. Donc différer l’adoption des outils d’IA dans votre entreprise au prétexte d’un risque de confidentialité n’est plus un argument raisonnable. Voir à ce sujet mon article « ChatGPT au travail »
Deuxièmement, nous le savons maintenant, l’outil officiel ne s’imposera que s’il est aussi simple et performant que l’outil officieux. Choisissez donc entre ChatGPT d’OpenAI et Claude d’Anthropic et vous serez certain de ne pas vous tromper. Je n’ai ni action ni affiliation auprès de ces deux entreprises, je pratique simplement tous les jours leurs outils et je peux vous assurer que c’est une question de bon sens.
Troisièmement, formez vos collaborateurs par métier.
La littératie IA exigée par l’AI Act ne peut pas se résumer à un module e-learning générique de trente minutes. Les RH, les juristes, les commerciaux, les financiers, les équipes produits n’ont ni les mêmes cas d’usage, ni les mêmes risques. La formation doit partir de leurs situations concrètes. Prévoyez donc des formations par métier.
Quatrièmement, rédigez une charte courte.
Pas un document de quinze pages que personne ne lira. Une page, claire, structurée autour de trois questions : qu’est-ce qui est interdit ? qu’est-ce qui est autorisé ? qu’est-ce qui doit être validé ? Et surtout : pourquoi. Sans le « pourquoi », il n’y a pas d’adhésion. Et sans adhésion, il n’y a pas de respect de la règle.
Ces quatre leviers ont un point commun : ils supposent que le juridique, l’IT, la sécurité et les métiers travaillent ensemble, vraiment ensemble. C’est probablement le changement culturel le plus important imposé par l’IA aux entreprises.
Par où commencer ?
Votre organisation a-t-elle déjà cartographié ses usages réels de l’IA dans les équipes ?équipes? Si la réponse est non, c’est probablement le bon point de départ.
Si vous vous abonnez à cette newsletter, je vous enverrai mon template de questionnaire prêt à être déployé dans votre organisation.
Vous aurez fait le plus dur sur l’article 4 de l’AI Act, qui impose la littératie IA depuis le 2 février 2025 !
Sources
- IDC, Shadow AI: How Stealth Productivity is Strangling Enterprise AI Adoption (2025) — idc.com.
- Microsoft France × YouGov, Étude sur l’usage de l’IA dans les entreprises françaises (janvier 2026, publiée en février 2026).
- Netskope, Cloud and Threat Report 2026 (janvier 2026) — netskope.com/resources/cloud-and-threat-reports/cloud-and-threat-report-2026.
- IBM, Cost of a Data Breach Report 2025 (juillet 2025) — ibm.com/reports/data-breach.
- UpGuard, The State of Shadow AI (10 novembre 2025) — upguard.com/resources/the-state-of-shadow-ai.
Cette lettre vous a été transférée ? Abonnez-vous pour recevoir directement les prochains décryptages d’IAJuridique : usages concrets, risques juridiques, outils à suivre et retours d’expérience pour les fonctions juridiques.
Vous souhaitez former vos équipes, auditer vos usages de l’IA ou cadrer un projet ?

