Le « Shadow AI » : entre usages informels et absence de cadre

Le 4 juin, Sharp Europe a publié une étude sur l’usage informel de l’IA réalisée auprès de 2 500 dirigeants de PME européennes. Cette pratique non encadrée est partagée par les salariés comme par les dirigeants, mais sa dissimulation révèle des tensions au sein des cultures d’entreprise.

IA fantôme, un usage par le bas

L’utilisation de l’IA s’est généralisée dans le monde du travail. En effet, selon l’étude de Sharp Europe, 35 % des employés reconnaissent utiliser l’IA sans cadre établi par leur direction. Des outils d’IA non conventionnés sont utilisés pour améliorer la productivité et le sentiment d’efficacité individuelle. Ces usages visent à contourner les inefficacités opérationnelles, à rationaliser les procédés et à automatiser des tâches répétitives. Cette expérimentation informelle constitue une forme d’innovation et de rationalisation de la résolution de problèmes.

Cet usage non encadré s’apparente à une « exploitation créative des ressources disponibles », telle que définie par l’anthropologue Lévi-Strauss. Entre expérimentation, hybridation d’outils et ingéniosité professionnelle, ces pratiques se développent en l’absence de cadrage clair face à ces technologies. Le rapport sur l’IA réalisé par l’Agence nationale pour l’amélioration des conditions de travail en 2025 mobilise le concept de « pratiques bricolantes » pour désigner ces formes d’appropriation. Cette situation révèle un écart entre les ambitions managériales de déploiement standardisé de l’IA et les pratiques réelles qui se construisent au quotidien dans les situations de travail.

Les dirigeants font aussi du Shadow AI

L’étude souligne que cette utilisation ne se limite pas aux employés, mais concerne également les dirigeants de PME. En effet, 46 % d’entre eux affirment utiliser l’IA pour renforcer leur image de compétence. Ainsi, le shadow AI s’est développé à tous les niveaux hiérarchiques pour des usages différenciés. Par ailleurs, 44 % des dirigeants reconnaissent l’avoir utilisé dans le cadre d’un projet. Chatbots, machine learning, automatisation du marketing ou visualisation de données représentent des gains d’efficacité. Néanmoins, ils comportent un risque pour la sécurité des données.

Selon Roland Singer, vice-président de Sharp DX Europe, cette dissimulation n’est pas une mauvaise intention mais une réaction spontanée au manque de cadres clairs. Selon lui, « les politiques internes et la compréhension partagée d’un usage approprié de l’IA font encore défaut ». Les dirigeants ne s’opposent pas à l’IA, mais manquent d’accompagnement pour s’approprier ces technologies.

Le risque d’une utilisation non régulée

Bien qu’ils reconnaissent l’utiliser dans leur quotidien, 34 % des dirigeants considèrent l’usage non encadré de l’IA comme un risque pour leur entreprise. L’utilisation s’est imposée de facto sans qu’un cadre clair et transparent ait été mis en place. Le risque est de nuire à la réputation de l’organisation et de saper la confiance du public. Roland Singer souligne que le changement de rapport vis-à-vis de l’IA doit se construire au sein de la culture d’entreprise.

Parmi les dirigeants interrogés, 30 % redoutent des violations de confidentialité. Ce risque a été mis en évidence par une étude de la société de cybersécurité RiverSafe en 2024. Une entreprise britannique sur cinq aurait été confrontée à une fuite de données liée à l’utilisation de l’IA par ses employés. Dès lors, la sécurité des données fait face à une menace interne.

De plus, 37 % des dirigeants n’ont pas confiance dans les résultats générés par l’IA. En effet, l’utilisation de l’IA peut introduire des biais dans la prise de décision et le traitement des informations. Les résultats générés peuvent s’avérer non conformes aux objectifs et aux normes éthiques de l’organisation. L’usage informel de l’IA risque ainsi de fragiliser le collectif au profit de l’individualisation et de la compétition interne.

Enfin, l’inconfort moral pèse également dans l’utilisation dissimulée de ces outils. La culpabilité, la peur des sanctions et le manque de crédibilité nourrissent un sentiment d’imposture professionnelle. Par exemple, 34 % des dirigeants craignent d’être perçus comme fainéants s’ils reconnaissent utiliser l’IA.

Le besoin d’une culture de la transparence

Face à ces différents risques, l’utilisation de l’IA doit être normalisée dans un cadre de référence partagé. Selon Sharp Europe, l’IA doit s’intégrer dans un environnement de travail sécurisé. « Les dirigeants sont les mieux placés pour donner le ton, non pas en ayant toutes les réponses, mais en étant transparents sur leur propre utilisation de l’IA ». L’accompagnement au quotidien doit permettre une utilisation conforme et adaptée aux pratiques de travail réelles des collaborateurs. Une approche collective intégrant les services informatiques, la cybersécurité et la hiérarchie permet de transformer plus efficacement la culture d’entreprise. Des rappels réguliers des risques ainsi que la mise en place de garde-fous, comme des pares-feux, assurent un usage plus responsable de l’IA.

Pour encadrer le shadow AI, il est nécessaire de développer un cadre de gouvernance flexible qui combine utilisation de l’IA et protection des données. La législation offre un premier cadre à cette normalisation. Le Règlement général sur la protection des données impose de maîtriser la finalité, les destinataires, la sécurité et la minimisation des données. Les organisations doivent identifier les usages de l’IA et le niveau de risque de ces usages. En cas de non-respect de ces règles, les organisations s’exposent à des sanctions financières pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial. De même, l’AI Act, entré en vigueur en 2024, établit une classification des systèmes d’IA. Ces outils sont hiérarchisés en fonction de leur niveau de risque et de leur type d’utilisation.

Ainsi, le shadow AI est le produit d’un décalage croissant entre la diffusion rapide des usages de l’IA dans les organisations. L’absence de cadres suffisamment clairs ne permet pas d’en sécuriser l’utilisation.