AvisCalendrier de mise en oeuvre du EU AI Act : dates clés pour les déployeurs
KLA Digital Logo
KLA Digital
AI Governance3 février 202620 min de lecture

Shadow AI : le risque de conformité caché dans votre organisation

Comment les outils d'IA non autorisés créent des angles morts de conformité au regard du Règlement européen sur l'IA. Apprenez à identifier, inventorier et gouverner le shadow AI avant que les régulateurs ne le découvrent.

Antonella Serine

En ce moment même, des collaborateurs de votre organisation utilisent des outils d'IA dont vous ignorez l'existence. Ils collent des données clients dans ChatGPT, génèrent du code avec des comptes Copilot personnels et soumettent des documents sensibles à des générateurs d'images — le tout sans approbation de la DSI, sans examen de sécurité, ni supervision de la conformité. C'est le shadow AI, et il ne s'agit pas d'une menace théorique. Ce phénomène se produit aujourd'hui, à grande échelle, dans des organisations de toutes tailles. Les études récentes dressent un tableau alarmant : plus de 80 % des salariés utilisent des outils d'IA non approuvés dans le cadre de leur travail, y compris près de 90 % des professionnels de la sécurité — qui devraient pourtant être mieux informés. Près de la moitié des employés qui utilisent des plateformes d'IA générative le font via des comptes personnels, contournant ainsi l'ensemble des contrôles de l'entreprise. Pour les organisations soumises au Règlement européen sur l'IA — dont l'application complète entre en vigueur en août 2026 — le shadow AI représente une bombe à retardement réglementaire. Vous ne pouvez pas classifier ce que vous ne pouvez pas trouver. Vous ne pouvez pas documenter ce dont vous ignorez l'existence. Et vous ne pouvez pas démontrer votre conformité aux régulateurs lorsque des pans entiers de votre utilisation de l'IA opèrent dans l'ombre.

Qu'est-ce que le shadow AI ?

Le shadow AI désigne l'utilisation non autorisée d'outils, d'applications et de modèles d'intelligence artificielle au sein d'une organisation, sans approbation officielle, gouvernance ou supervision de la sécurité. Ce phénomène survient lorsque des collaborateurs adoptent des technologies d'IA de manière autonome — souvent avec de bonnes intentions en matière de productivité — sans en informer les équipes informatiques, sécurité ou conformité.

Ce phénomène fait écho à la vague précédente du shadow IT, où les employés déployaient des services cloud et des applications sans autorisation. Mais le shadow AI introduit des risques qui vont bien au-delà de son prédécesseur. Lorsqu'un employé utilise un outil de gestion de projet non autorisé, le risque est principalement opérationnel. Lorsqu'il colle du code propriétaire, des données clients ou des informations commerciales confidentielles dans un système d'IA externe, le risque s'étend à la sécurité des données, à la propriété intellectuelle, à la conformité réglementaire et à des préjudices potentiellement irréversibles.

Exemples courants de shadow AI

Le shadow AI prend de nombreuses formes dans l'entreprise moderne. En matière d'applications de productivité générale, les employés utilisent couramment ChatGPT, Claude ou Gemini pour rédiger des e-mails, synthétiser des documents, générer des rapports et répondre à des questions. Lorsque ces usages passent par des comptes personnels ou des onglets de navigateur non autorisés, ces interactions échappent à toute visibilité de l'entreprise.

Les outils de développement constituent un autre vecteur : des ingénieurs logiciels intègrent des grands modèles de langage dans des applications ou des workflows sans examen de sécurité, en incorporant des appels API ou des appels de modèles non sanctionnés directement dans le code de production. Un développeur utilisant un abonnement personnel à GitHub Copilot pour générer du code peut involontairement créer des flux de données non surveillés et des vulnérabilités de conformité.

Les équipes marketing et créatives adoptent des générateurs d'images par IA, des plateformes d'optimisation de contenu et des outils de rédaction automatisée sans se demander quelles données d'entraînement ou informations clients ces services pourraient ingérer. Les départements d'analyse déploient des outils alimentés par l'IA pour traiter des données commerciales sensibles, en les connectant souvent à des bases de données de production sans que la DSI en ait connaissance.

Le plus insidieux est sans doute l'IA embarquée : de nombreuses applications SaaS intègrent désormais des fonctionnalités d'IA qui s'activent automatiquement ou par un simple changement de paramètre. Des organisations peuvent avoir 50 applications ou plus dotées d'IA en fonctionnement sans le savoir. Une entreprise de taille moyenne utilise en moyenne 150 outils SaaS, et environ 35 % d'entre eux intègrent désormais des technologies d'IA.

Pourquoi les employés adoptent le shadow AI

Comprendre pourquoi le shadow AI prolifère est essentiel pour y remédier efficacement. Les employés n'utilisent généralement pas des outils non autorisés par malveillance ou négligence. Ils le font parce que les alternatives approuvées n'existent pas — lorsque les organisations ne fournissent pas d'outils d'IA sanctionnés, les employés trouvent leurs propres solutions. Les gains de productivité sont trop importants pour être ignorés.

Les processus d'approbation sont souvent trop lents — le temps que la DSI évalue et approuve un outil d'IA, le besoin est passé. Les employés confrontés à des échéances immédiates ne peuvent pas attendre des mois pour un cycle d'approvisionnement. Même lorsque les organisations proposent des plateformes d'IA approuvées, celles-ci peuvent manquer de fonctionnalités dont les employés ont besoin ou imposer des restrictions perçues comme arbitraires.

De nombreux employés ne réalisent tout simplement pas que l'utilisation d'un compte d'IA personnel à des fins professionnelles constitue une violation des politiques internes — ou que de telles politiques existent. Les ��tudes montrent que plus d'un tiers des employés ne respectent les politiques d'IA de leur entreprise que la plupart du temps, et qu'un pourcentage significatif ignore même l'existence d'une politique d'IA dans leur organisation.

Pourquoi le shadow AI est un problème de conformité au regard du Règlement européen sur l'IA

Le Règlement européen sur l'IA crée des obligations spécifiques pour les organisations qui déploient des systèmes d'IA — et ces obligations s'appliquent que le déploiement soit autorisé ou non. L'ignorance de l'utilisation de shadow AI ne constitue pas une défense face aux contrôles réglementaires.

Au titre du Règlement européen sur l'IA, les déployeurs — les organisations qui utilisent des systèmes d'IA dans un contexte professionnel — assument des responsabilités directes en matière de conformité. Celles-ci incluent la création d'un inventaire de tous les systèmes d'IA utilisés, leur classification selon les catégories de risque et la documentation de leurs finalités et paramètres opérationnels. Les systèmes d'IA à haut risque nécessitent une surveillance humaine continue, et les utilisateurs doivent être informés lorsqu'ils interagissent avec des systèmes d'IA dans de nombreux contextes.

Le shadow AI compromet fondamentalement chaque aspect de ce cadre réglementaire. L'absence de classification des risques signifie l'absence de contrôles de conformité. Si vous ignorez l'existence d'un système d'IA, vous ne pouvez pas évaluer s'il relève des catégories à haut risque. L'absence de documentation se traduit par des audits échoués — les régulateurs attendent des organisations qu'elles produisent des preuves de leurs efforts de conformité. L'absence de supervision signifie des préjudices non détectés — les systèmes de shadow AI peuvent produire des décisions biaisées ou traiter des données personnelles de manière illicite. L'absence de journaux signifie l'absence de preuves pour les régulateurs en cas de problème.

  • Pas de classification des risques signifie pas de contrôles de conformité
  • Pas de documentation signifie des audits échoués
  • Pas de supervision signifie des préjudices non détectés
  • Pas de journaux signifie pas de preuves pour les régulateurs

Enregistrement dans la base de données du Règlement européen sur l'IA et intersection avec le RGPD

Le Règlement européen sur l'IA établit une base de données publique pour les systèmes d'IA à haut risque. Les fournisseurs doivent enregistrer leurs systèmes avant leur mise sur le marché, et les déployeurs qui sont des autorités publiques doivent enregistrer leur utilisation de ces systèmes. Le shadow AI contourne totalement cette infrastructure d'enregistrement — les systèmes non autorisés n'apparaissent jamais dans la base de données, créant un univers parallèle de déploiement d'IA non suivi que les régulateurs ne peuvent pas voir jusqu'à ce qu'un incident le mette en lumière.

Le problème de conformité dépasse le cadre du Règlement sur l'IA lui-même. Le shadow AI implique fréquemment le traitement de données personnelles d'une manière qui viole le RGPD. Lorsque des employés collent des données clients dans des systèmes d'IA externes, l'organisation peut n'avoir aucune base légale pour ce traitement. Les personnes concernées n'ont jamais consenti à ce que leurs informations soient transmises à des fournisseurs d'IA tiers. Les outils de shadow AI ne disposent généralement pas des mesures de protection techniques et organisationnelles exigées par le RGPD, et de nombreux services d'IA traitent les données en dehors de l'UE, déclenchant potentiellement les restrictions applicables aux transferts internationaux.

Les enjeux financiers

Le Règlement européen sur l'IA prévoit des sanctions substantielles en cas de non-conformité. Les pratiques d'IA interdites sont passibles d'amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les manquements relatifs aux systèmes à haut risque sont passibles d'amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial — cela s'applique directement aux situations où le shadow AI constitue un déploiement à haut risque non déclaré. Les manquements aux obligations de transparence et de documentation sont passibles d'amendes pouvant atteindre 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial.

Ces sanctions peuvent s'appliquer même lorsque l'organisation ignorait véritablement l'existence du système d'IA en cause. La découverte ne constitue pas un moyen de défense.

Au-delà des amendes réglementaires, le shadow AI crée une exposition financière substantielle par d'autres canaux. Les violations de données liées à l'IA coûtent aux organisations plus de 650 000 dollars par incident en moyenne. Le shadow AI amplifie ce risque en créant des flux de données que les équipes de sécurité ne peuvent ni surveiller ni protéger. Les atteintes à la réputation résultant de décisions discriminatoires, de fuites de données ou de mesures d'exécution réglementaire peuvent largement dépasser les sanctions financières directes.

Détecter le shadow AI dans votre organisation

La lutte contre le shadow AI commence par la visibilité. Les organisations ne peuvent pas gouverner ce qu'elles ne peuvent pas voir, et atteindre une détection exhaustive de l'IA nécessite de combiner plusieurs approches.

L'analyse du trafic réseau permet d'identifier les connexions vers des points de terminaison de services d'IA connus. Les équipes de sécurité peuvent configurer des pare-feu, des serveurs proxy ou des courtiers de sécurité d'accès au cloud (CASB) pour détecter et journaliser les accès aux plateformes d'IA. Les CASB modernes peuvent analyser les schémas de trafic chiffré pour identifier l'utilisation de l'IA même sans inspecter le contenu des paquets.

L'analyse financière via les notes de frais et les transactions par carte d'entreprise révèle souvent des abonnements à des outils d'IA que la DSI n'a jamais approuvés. Lorsque des employés se font rembourser des frais mensuels pour des services d'IA, ils créent une piste documentaire que les équipes de conformité peuvent suivre.

Les journaux SSO et d'authentification révèlent quelles applications tierces les employés consultent via leurs identifiants d'entreprise. Les journaux d'autorisation OAuth montrent quels services les employés ont connectés à leurs comptes professionnels. Les extensions de navigateur et les agents de points de terminaison peuvent surveiller directement l'utilisation des applications web sur les appareils de l'entreprise.

L'engagement direct auprès des employés révèle souvent des usages de shadow AI que la surveillance technique ne détecte pas. Les enquêtes qui présentent la détection de l'IA comme un effort de compréhension des besoins et de fourniture de meilleurs outils — plutôt que comme une action disciplinaire — génèrent généralement des réponses plus honnêtes. La mise en place de programmes d'amnistie permettant aux employés de signaler l'utilisation d'outils non autorisés sans pénalité peut accélérer la détection tout en instaurant la confiance.

Construire un inventaire de l'IA

La phase de détection génère des données sur l'utilisation de l'IA, mais les organisations ont besoin d'une gestion structurée de l'inventaire pour transformer ces données en capacité de conformité. Un inventaire exhaustif de l'IA capture des informations clés sur chaque système.

  • Identification du système : nom de l'outil ou du service d'IA, son fournisseur et les informations de version
  • Description du cas d'usage : comment l'organisation utilise le système et quelles décisions il influence
  • Données en entrée : types de données traitées par le système, y compris les catégories de données personnelles
  • Portée décisionnelle : si le système fournit des informations, formule des recommandations ou prend des actions automatisées
  • Classification des risques : comment le système se positionne dans les catégories de risque du Règlement européen sur l'IA
  • Responsabilité et redevabilité : qui est responsable du fonctionnement et de la conformité du système
  • Cartographie des intégrations : comment le système se connecte aux autres applications et sources de données de l'entreprise

Classification des risques selon le Règlement européen sur l'IA pour l'inventaire

Le Règlement européen sur l'IA établit quatre niveaux de risque qui déterminent les exigences de conformité. Le risque inacceptable couvre les systèmes d'IA purement et simplement interdits, notamment la notation sociale, la manipulation subliminale et certaines utilisations de l'identification biométrique. Le risque élevé couvre les systèmes d'IA nécessitant des mesures de conformité approfondies, notamment ceux utilisés pour les décisions en matière d'emploi, l'évaluation dans l'éducation, l'accès aux services essentiels, les forces de l'ordre et la gestion des migrations.

Le risque limité couvre les systèmes d'IA soumis principalement à des exigences de transparence, notamment les agents conversationnels et certains systèmes de décision automatisée. Le risque minimal couvre les systèmes d'IA sans exigences réglementaires spécifiques au-delà des obligations générales.

Les entrées de l'inventaire doivent inclure les classifications de risque pour permettre une gouvernance hiérarchisée. Le shadow AI relevant des catégories à haut risque nécessite une attention immédiate, tandis que les systèmes à risque minimal peuvent ne nécessiter qu'une documentation et une supervision de base.

Du shadow AI à l'IA gouvernée

La détection et l'inventaire créent de la visibilité, mais les organisations doivent transformer cette visibilité en gouvernance effective. Cela implique de prendre des décisions éclairées pour chaque système d'IA : l'autoriser avec des contrôles appropriés, migrer les utilisateurs vers des alternatives approuvées, ou le bloquer entièrement.

Pour chaque système de shadow AI découvert, les organisations doivent évaluer les écarts de conformité (quelles exigences réglementaires l'utilisation actuelle enfreint-elle ?), les vulnérabilités de sécurité (quels risques le système crée-t-il pour la protection des données ?), la dépendance métier (à quel point le système est-il intégré dans les workflows critiques ?) et les options de remédiation (le système est-il capable de satisfaire aux exigences de conformité ?).

Certains systèmes de shadow AI peuvent être placés sous gouvernance avec des contrôles appropriés — application de politiques, contrôles techniques, documentation, mise en place de la supervision et enregistrement. La régularisation transforme le shadow AI en IA gouvernée, en l'intégrant dans le cadre de conformité de l'organisation tout en préservant les gains de productivité.

Lorsque des systèmes de shadow AI ne peuvent pas être gouvernés efficacement en raison de préoccupations de sécurité, de limitations réglementaires ou des capacités du fournisseur, les organisations doivent migrer les utilisateurs vers des alternatives approuvées. Cela nécessite une évaluation de la parité fonctionnelle, une gestion du changement, une migration des données et, à terme, une mise en application par le blocage de l'accès.

Construire un cadre de gouvernance durable

La gestion du shadow AI à long terme nécessite des capacités institutionnelles qui perdurent au-delà des efforts de remédiation ponctuels. Les organisations ont besoin d'un comité de gouvernance de l'IA doté d'une supervision transversale couvrant la DSI, la sécurité, le juridique, la conformité et la direction générale.

Des politiques claires doivent documenter l'utilisation acceptable de l'IA, les processus d'approbation et les exigences de traitement des données. La formation des employés doit couvrir les risques liés à l'IA, les pratiques d'utilisation responsable et la procédure pour demander l'approbation de nouveaux outils. Un catalogue d'outils approuvés doit fournir un ensemble sélectionné de plateformes d'IA vérifiées répondant aux exigences de l'organisation, offrant aux employés des options légitimes.

Des mécanismes de signalement doivent créer des canaux sûrs permettant aux employés de signaler l'utilisation de shadow AI sans crainte de sanction. Des audits réguliers doivent vérifier l'efficacité de la gouvernance et identifier les lacunes émergentes. Le shadow AI n'est pas un problème que les organisations peuvent résoudre une fois pour toutes — à mesure que la technologie de l'IA évolue et que de nouveaux outils prolifèrent, la pression qui pousse à l'adoption clandestine persiste.

Foire aux questions

L'utilisation de ChatGPT au travail est-elle du shadow AI ?

Si votre organisation n'a pas autorisé l'utilisation de ChatGPT à des fins professionnelles, alors oui, l'utiliser au travail constitue du shadow AI. Cela s'applique que vous utilisiez un compte personnel gratuit, un abonnement personnel payant ou même un compte d'équipe qui n'a pas été acquis par les voies officielles. La distinction clé réside dans l'autorisation et la supervision — si vos équipes informatiques, sécurité ou conformité ignorent cet usage, ne peuvent pas le surveiller et ne l'ont pas approuvé, le système opère dans l'ombre. Même un usage individuellement anodin crée des lacunes de conformité lorsqu'il est agrégé à l'échelle d'une organisation.

Quelles sont les sanctions pour une IA non déclarée au titre du Règlement européen sur l'IA ?

Si le shadow AI relève des catégories à haut risque et fonctionne sans les mesures de conformité requises, les organisations s'exposent à des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Si le shadow AI constitue une pratique interdite, les amendes atteignent 35 millions d'euros ou 7 % du chiffre d'affaires. Point essentiel : la découverte ne constitue pas un moyen de défense — les organisations ne peuvent pas échapper à leur responsabilité en invoquant l'ignorance des systèmes d'IA opérant au sein de leurs structures.

Comment savoir si notre utilisation de l'IA est à haut risque au sens du Règlement européen sur l'IA ?

Le Règlement européen sur l'IA définit les systèmes d'IA à haut risque selon deux voies : les systèmes d'IA qui sont des composants de sécurité de produits couverts par une législation européenne spécifique en matière de sécurité des produits, et les systèmes d'IA dans des cas d'usage spécifiques, notamment l'identification biométrique, la gestion d'infrastructures critiques, l'éducation et la formation professionnelle, l'emploi et la gestion des travailleurs, l'accès aux services essentiels, les forces de l'ordre, la migration et le contrôle aux frontières, et l'administration de la justice. Si vos systèmes de shadow AI touchent à ces domaines, ils nécessitent probablement des mesures de conformité pour systèmes à haut risque.

Peut-on simplement interdire toute IA pour éviter ces problèmes de conformité ?

Les interdictions générales de l'IA sont généralement contre-productives. Les études montrent systématiquement que les employés continuent d'utiliser des outils d'IA même lorsque cela est explicitement interdit — près de la moitié déclarent qu'ils continueraient à utiliser une IA non autorisée même en cas d'interdiction. Interdire l'IA n'élimine pas le shadow AI ; cela pousse les usages encore plus dans la clandestinité, rendant la détection plus difficile et les lacunes de conformité plus graves. L'approche la plus efficace combine des politiques claires, des catalogues d'outils approuvés répondant aux besoins légitimes, la formation des employés et des mesures d'application ciblées contre les systèmes véritablement problématiques.

Quelle est la différence entre le shadow AI et le shadow IT ?

Le shadow IT désigne l'utilisation non autorisée de toute technologie sans approbation de la DSI. Le shadow AI en est un sous-ensemble spécifique centré sur les outils d'intelligence artificielle. Cette distinction est importante car le shadow AI comporte des risques spécifiques : les données saisies dans les systèmes d'IA peuvent être utilisées pour entraîner de futurs modèles, les résultats de l'IA peuvent être imprévisibles et inexplicables, les réglementations spécifiques à l'IA comme le Règlement européen sur l'IA créent des obligations de conformité distinctes, et lorsque l'IA influence des décisions commerciales, les enjeux s'étendent aux risques de discrimination et d'atteinte aux droits fondamentaux. La gestion du shadow AI nécessite des capacités de gouvernance spécifiques à l'IA qui dépassent la gestion standard des actifs informatiques.

Points clés à retenir

Le shadow AI n'est pas un problème que les organisations peuvent résoudre une fois pour toutes. À mesure que la technologie de l'IA évolue et que de nouveaux outils prolifèrent, la pression qui pousse à l'adoption clandestine persiste. L'échéance d'application du Règlement européen sur l'IA en août 2026 crée une urgence pour ces travaux. Les organisations qui attendront l'approche de l'échéance se retrouveront à tenter de comprendre leur paysage d'IA dans l'urgence, alors que les régulateurs entameront une supervision active. Celles qui s'y attellent dès maintenant peuvent construire des inventaires exhaustifs, établir une gouvernance efficace et démontrer leur état de préparation à la conformité avant que la pression réglementaire ne s'intensifie. La détection et l'inventaire sont les premières étapes indispensables — sans connaître les systèmes d'IA existant au sein de l'organisation, aucune autre action de gouvernance n'est possible.

Ressources connexes

Présentation de la plateformeHub Règlement européen sur l'IAGuide des exigences du Règlement européen sur l'IABonnes pratiques de gouvernance de l'IAHub Règlement européen sur l'IAExemple de dossier de preuvesRéserver une démonstration

Articles connexes

Pour en savoir plus sur AI Governance

Autonomie responsable : la supervision des agents IA

Le débat sur la supervision humaine est souvent présenté comme un faux dilemme : soit les humains examinent chaque décision, soit l'IA opère de manière autonome. Une supervision efficace repose sur des contrôles adaptés aux bons moments, avec une responsabilité clairement établie. C'est l'autonomie responsable.

Pistes d'audit des agents IA : des logs à la preuve

Toute organisation exploitant des agents IA dispose de logs, de traces et de métriques. Pourtant, cette abondance de données échoue souvent à répondre aux questions fondamentales d'audit. Le fossé entre la journalisation opérationnelle et la preuve de qualité audit exige de repenser ce que nous capturons, comment nous le stockons et comment nous en vérifions l'intégrité.

Le goulet d'étranglement de la gouvernance IA : pourquoi l'adoption des agents stagne

L'adoption des agents IA en entreprise n'est pas freinée par les capacités techniques, mais par la capacité de gouvernance. Les organisations peuvent créer des agents IA plus vite qu'elles ne peuvent les approuver, les superviser et les auditer. Pour combler cet écart, il faut traiter la gouvernance comme une infrastructure habilitante.

Article précédent

Calendrier des normes du règlement européen sur l'IA : ce qu'il faut faire avant août 2026

Article suivant

Qu'est-ce que le prEN 18286 ? Le projet de norme derrière le SMQ de l'article 17

Voir en action

Prêt à automatiser vos preuves conformité ?

Réservez une démo de 20 minutes pour voir comment KLA vous aide à prouver la surveillance humaine et exporter la documentation Annex IV prête à l'audit.

Réserver une démo Affichage Evidence Pack