Vos collaborateurs n’attendent pas votre feu vert pour ouvrir ChatGPT, Claude ou Copilot. Ils le font déjà, souvent depuis leur navigateur personnel, parfois sur des données sensibles. Ce phénomène porte un nom — le shadow AI — et la question n’est plus de savoir s’il existe chez vous, mais comment vous décidez de le piloter.
Le shadow AI, je le vois dans chaque entreprise où j’interviens
Quand j’anime une session de formation dans une PME, je commence souvent par une question simple : « Qui utilise déjà une IA générative pour son travail ? » Les mains se lèvent timidement, puis franchement. Et lorsque je demande si cet usage est encadré par l’entreprise, le silence est éloquent.
Les chiffres confirment ce que je constate sur le terrain. Selon l’Observatoire de l’IA responsable publié par KPMG en juin 2026, 47 % des collaborateurs du secteur privé français utilisent l’IA générative pour leur travail, et 24 % au moins une fois par semaine. Plus parlant encore : 61 % d’entre eux passent par des outils grand public, contre seulement 19 % qui s’appuient sur une solution interne validée. De son côté, une étude Salesforce chiffre à 58 % la part des salariés français qui utilisent l’IA générative sans aucun cadre défini par leur employeur.
Le shadow AI, c’est exactement cela : l’usage d’outils d’intelligence artificielle en dehors de tout circuit officiel. Pas par malveillance — au contraire. Vos équipes cherchent à aller plus vite, à rédiger un compte rendu en cinq minutes, à dégrossir une analyse, à traduire un e-mail client. Elles comblent un vide que l’entreprise n’a pas encore rempli.
Lors d’une formation récente dans une entreprise industrielle de la région lyonnaise, un responsable qualité m’a confié qu’il faisait relire ses procédures par une IA gratuite — sur son poste personnel, le soir, pour « ne pas avoir d’ennuis ». Le travail produit était excellent. Le risque, lui, était total : ces procédures décrivaient des process internes confidentiels, désormais sortis de l’entreprise sans la moindre trace.
Pourquoi l’interdiction ne protège personne
Face à ce constat, le premier réflexe de beaucoup de dirigeants que je rencontre est l’interdiction. « On bloque l’accès, et le problème disparaît. » En réalité, le problème ne disparaît pas, il devient invisible. Un salarié à qui vous interdisez l’IA sur son poste l’utilisera sur son téléphone personnel, en copiant un extrait de contrat ou un fichier client dans un outil dont vous ignorez tout des conditions de traitement des données.
C’est précisément là que le risque se concentre. Une donnée confidentielle envoyée à une IA grand public peut quitter l’Union européenne, alimenter un entraînement, ou ressortir d’une manière que vous ne maîtrisez plus. Les enjeux de conformité au RGPD deviennent alors très concrets, et la responsabilité remonte vers l’employeur, pas vers le collaborateur qui a voulu bien faire.
L’argument le plus fort contre l’interdiction, je le tire pourtant des mêmes chiffres KPMG : parmi les collaborateurs qui ont été formés à l’IA, le recours à l’outil grimpe à 90 %, contre 47 % en moyenne. Autrement dit, la formation ne crée pas le shadow AI — elle le transforme en usage maîtrisé et assumé. Interdire revient à se priver de ce levier tout en conservant le risque.
Il y a un dernier effet, plus discret, que je tiens à signaler aux dirigeants. Quand l’IA reste clandestine, elle creuse un écart silencieux entre les collaborateurs : ceux qui la maîtrisent livrent plus vite et passent pour plus performants, sans que personne ne comprenne réellement pourquoi. Ce déséquilibre nourrit un sentiment d’iniquité dans les équipes, et parfois une forme de défiance. En formant tout le monde à un même socle, vous remettez les compteurs à zéro et vous évitez que la compétence IA ne devienne un avantage caché réservé à quelques-uns.
Trois leviers pour reprendre la main sans freiner vos équipes
Dans les missions que je mène auprès de dirigeants et d’équipes, je m’appuie sur trois leviers complémentaires. Aucun ne fonctionne seul.
1. Une charte IA courte et lisible
Pas un document de trente pages que personne ne lira. Une page suffit : quels outils sont autorisés, quelles données ne doivent jamais être saisies (données clients nominatives, contrats, éléments RH), et qui contacter en cas de doute. L’Observatoire KPMG rappelle que seuls 10 % des salariés signalent l’existence d’une telle charte dans leur entreprise. C’est un chantier rapide, à fort impact, et il pose un cadre rassurant plutôt qu’un interdit.
2. Une formation qui part des usages réels
Une formation efficace ne récite pas la théorie des grands modèles de langage. Elle part de ce que vos équipes font déjà : rédiger, synthétiser, traduire, préparer une réunion. Je construis mes sessions autour de ces cas concrets, en montrant à la fois la bonne pratique et le piège à éviter. C’est ce qui transforme un usage clandestin en réflexe professionnel. Seuls 23 % des collaborateurs déclarent avoir reçu une formation à l’IA responsable, dont 6 % de façon approfondie — l’écart à combler est immense, et c’est une avance à prendre pour les entreprises qui s’y mettent les premières.
3. Des outils validés et un référent identifié
Vos équipes ont besoin d’alternatives officielles aux outils grand public : une version professionnelle de l’IA que vous avez choisie, avec un traitement des données encadré. Et il faut une personne — un référent IA — vers qui remonter les questions. Ce rôle n’exige pas un profil technique : un collaborateur formé et curieux suffit souvent à faire la différence au quotidien.
Par où commencer dans votre PME
Si vous partez de zéro, je vous conseille une séquence simple. Commencez par un état des lieux honnête : sans sanction, demandez à vos équipes quels outils elles utilisent vraiment. Vous serez surpris. Posez ensuite votre charte d’une page. Puis formez — en priorité les managers et les dirigeants, car ce sont eux qui donnent le ton. Une formation IA pensée pour les dirigeants permet de décider en connaissance de cause, plutôt que de subir les usages.
Mesurez enfin les résultats, même de façon artisanale. Après une session, je demande aux participants de noter une tâche qu’ils réalisaient avant l’IA et le temps qu’elle leur prend désormais. Ce sont ces gains concrets — une heure récupérée sur un reporting hebdomadaire, un appel d’offres dégrossi en une matinée — qui ancrent durablement les bons usages et qui justifient l’investissement auprès de votre direction.
Bonne nouvelle côté budget : ces formations sont finançables via les dispositifs OPCO, CPF ou FAFCEA selon votre situation. En tant que formateur déclaré auprès de la DREETS (numéro de déclaration d’activité 84260371226), j’accompagne aussi bien des sessions en intra qu’une découverte de l’IA pour des équipes qui débutent. L’objectif n’est jamais de transformer vos collaborateurs en experts techniques, mais de leur donner un cadre clair et des réflexes sûrs.
Le shadow AI est un signal, pas une menace
Si vos équipes utilisent déjà l’IA en cachette, prenez-le comme une bonne nouvelle : elles ont compris l’intérêt de l’outil avant même qu’on le leur demande. Votre rôle n’est pas d’éteindre cet élan, mais de l’encadrer pour qu’il serve l’entreprise sans l’exposer. La formation reste le chemin le plus court entre un usage subi et un usage maîtrisé.
Si vous souhaitez structurer cette démarche, je propose des sessions en présentiel comme à distance. Vous pouvez découvrir mon programme de formation IA à Lyon, Grenoble, Toulon ou Marseille, adaptable à votre secteur et à votre niveau de maturité. Parlons de votre contexte : c’est toujours là que commence une formation utile.