Vos équipes n’ont pas attendu votre feu vert
68 % des salariés français utilisent l’IA sans en informer leur direction. Pas demain. Maintenant. Avec les données de l’entreprise, sur des comptes personnels, sans contrat, sans audit, sans trace. Ce n’est pas un problème de discipline — c’est la preuve que votre politique IA est en retard sur vos équipes. Le baromètre CESIN-OpinionWay de janvier 2026 est sans ambiguïté : le Shadow AI est désormais classé premier comportement à risque dans les organisations françaises. Devant le phishing. Devant les ransomwares.
Ce n’est pas une tendance émergente. C’est une réalité installée.
Ce que cache le chiffre de 68 %
Le Shadow AI, c’est simple : un collaborateur qui ouvre ChatGPT, Claude ou Gemini sur son navigateur personnel, colle un extrait de contrat client, reformule une offre commerciale, résume un compte rendu de réunion confidentiel — puis ferme l’onglet. La donnée est partie. Personne ne le sait. Lui non plus, souvent.
Selon l’étude Netwrix 2026 Cybersecurity Risk Report, 54 % des outils Shadow AI ingèrent des données sensibles. L’étude BlackFog menée auprès de 2 000 personnes en janvier 2026 précise que 36 % des utilisateurs le font avec des données confidentielles d’entreprise. Traduire : sur 10 collaborateurs qui utilisent une IA non approuvée, 3 à 4 transmettent des informations que vous ne voudriez pas voir sortir de l’organisation.
Et 60 % d’entre eux n’ont reçu aucune formation sur les risques liés à l’IA. Aucune charte, aucun email, aucun cadre. Ils comblent un vide opérationnel avec les outils disponibles. C’est rationnel. Ce n’est pas de la malveillance — c’est de l’adaptation.
Trois risques que la plupart des dirigeants sous-estiment
Le premier est réglementaire. L’article 4 de l’AI Act européen impose une obligation de « culture suffisante en matière d’IA » pour tous les collaborateurs exposés à ces outils. Ne pas former vos équipes expose votre organisation à des sanctions, en plus des risques opérationnels. Les entreprises qui avaient déjà anticipé cette obligation via leur mise en conformité AI Act avant le 2 août 2026 ont une longueur d’avance réelle.
Le deuxième est concurrentiel. Vos données de prospection, vos modèles de pricing, vos process internes — tout ce qui transite par un compte personnel sur une plateforme tierce peut potentiellement alimenter les modèles de demain. Les conditions d’utilisation des outils grand public ne garantissent pas la non-utilisation des données à des fins d’entraînement.
Le troisième est opérationnel. Les protocoles de sécurité autour des agents IA que des organisations comme Glasswing ont commencé à documenter montrent une chose : les failles ne viennent pas toujours de l’extérieur. Elles viennent d’usages non encadrés, internes, quotidiens.
Ce que les entreprises qui s’en sortent font différemment
Elles ne bloquent pas. Elles cadrent. La distinction est décisive.
Interdire ChatGPT en entreprise produit exactement deux effets : vos équipes l’utilisent sur leur téléphone, et elles arrêtent de vous dire ce qu’elles font. Les entreprises qui ont encadré l’usage IA plutôt que de l’interdire observent des gains de productivité de 20 à 35 % sur les tâches répétitives, selon Gartner. Celles qui l’ont interdit observent les mêmes usages, sans les bénéfices et sans la traçabilité.
Concrètement, trois actions suffisent à reprendre le contrôle sans paralyser les équipes. D’abord, un audit de surface : identifier quels outils IA sont réellement utilisés dans l’organisation, par qui, sur quels types de données. Sans jugement, sans sanction — juste un état des lieux. Ensuite, une liste d’outils approuvés avec des règles d’usage simples : quelles données peuvent être traitées, lesquelles ne le peuvent pas, sur quelles plateformes. Enfin, une formation courte — 45 minutes suffisent — sur les réflexes à avoir. Ce que l’on peut coller dans un prompt. Ce que l’on ne peut pas.
L’approche Norisix : cartographier avant de cadrer
Chez Norisix, nous ne commençons pas par la politique. Nous commençons par la réalité. Un audit de gouvernance IA identifie en 5 jours les flux existants — quels outils, quelles données, quels risques actifs — avant de construire un cadre qui correspond à votre organisation, pas à un template générique.
75 % des entreprises françaises jugent le Shadow AI comme un risque élevé ou très élevé. La plupart attendent un incident pour agir. La vraie question n’est pas « avons-nous un problème de Shadow AI ? » Elle est « combien de temps allons-nous laisser ce risque sans cartographie ? » Parlons-en.
