Blog

Gouvernance IA : gérer le Shadow AI et sécuriser l'usage IA en entreprise

Auteur Keerok AI
Date 01 Mai 2026
Lecture 13 min

Le Shadow AI – l'utilisation non déclarée d'outils d'intelligence artificielle par vos collaborateurs – représente aujourd'hui l'un des risques les plus sous-estimés pour les PME françaises. Alors que l'AI Act européen prévoit des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour manquements aux obligations de gouvernance IA (Formind, 2024), de nombreuses entreprises ignorent encore l'ampleur du phénomène au sein de leurs équipes. Chez Keerok, cabinet de conseil en automatisation et IA basé à Lille, nous accompagnons les PME des Hauts-de-France et au-delà dans la structuration d'une gouvernance IA pragmatique qui protège sans brider l'innovation.

Comprendre le phénomène du Shadow AI en entreprise

Le Shadow AI désigne l'ensemble des outils et services d'intelligence artificielle utilisés par vos collaborateurs sans validation préalable de la DSI, du service juridique ou de la direction. Contrairement au Shadow IT classique, le Shadow AI présente des risques spécifiques liés au traitement de données sensibles par des modèles externes, souvent hébergés hors Union européenne.

Selon le Blog du Modérateur (2024), le recours informel aux outils IA par les employés progresse rapidement, entraînant des risques majeurs de fuite de données et de compromission du système d'information. Ce phénomène s'explique par plusieurs facteurs :

  • Accessibilité immédiate : ChatGPT, Claude, Midjourney et autres outils IA sont accessibles en quelques clics, sans validation IT
  • Recherche de productivité : vos équipes cherchent légitimement à optimiser leur travail quotidien
  • Absence de alternatives internes : si l'entreprise ne propose pas d'outils IA encadrés, les collaborateurs se tournent vers des solutions publiques
  • Méconnaissance des risques : peu de salariés réalisent qu'ils exposent potentiellement des données confidentielles

Les risques concrets du Shadow AI pour les PME

Les conséquences d'un Shadow AI non maîtrisé vont bien au-delà d'un simple manquement aux procédures internes :

  1. Fuite de données sensibles : un commercial qui utilise ChatGPT pour rédiger une proposition commerciale expose potentiellement les informations clients à OpenAI
  2. Non-conformité RGPD : le traitement de données personnelles par des outils IA tiers sans base légale constitue une violation du RGPD
  3. Sanctions AI Act : comme le souligne Tenexa (2024), avec l'arrivée de l'AI Act, les entreprises s'exposent à des sanctions réglementaires dues à l'absence d'inventaire, de classification des risques et de documentation pour les usages Shadow AI
  4. Propriété intellectuelle compromise : le code source, les stratégies commerciales ou les innovations produits peuvent être exposés
  5. Biais et discrimination : l'utilisation d'IA pour le recrutement ou l'évaluation sans audit peut générer des discriminations illégales
  6. Dépendance technologique : des processus métiers critiques peuvent devenir dépendants d'outils externes non maîtrisés

« L'absence de gouvernance IA dans une PME n'est plus une question de maturité digitale, c'est un risque juridique et opérationnel immédiat qui peut coûter des millions d'euros en amendes et en atteinte à la réputation. »

Détecter le Shadow AI : méthodologie pratique pour les PME

Avant de gouverner, il faut d'abord cartographier. Voici une approche en quatre étapes pour identifier les usages IA non déclarés dans votre organisation :

1. Audit technique des flux réseau

Analysez les connexions sortantes de votre réseau d'entreprise pour identifier les domaines fréquemment sollicités :

  • openai.com, chat.openai.com (ChatGPT)
  • claude.ai, anthropic.com (Claude)
  • bard.google.com, gemini.google.com (Gemini)
  • midjourney.com, stability.ai (génération d'images)
  • notion.ai, jasper.ai, copy.ai (outils de rédaction IA)

Utilisez vos logs firewall, proxy ou solutions de sécurité réseau (Palo Alto, Fortinet, etc.) pour extraire ces données. Un pic d'utilisation peut révéler des départements ou des individus particulièrement actifs.

2. Enquête anonyme auprès des collaborateurs

Lancez un questionnaire anonyme pour comprendre les usages réels sans créer un climat de suspicion :

  • Quels outils IA utilisez-vous dans votre travail quotidien ?
  • Pour quels types de tâches ? (rédaction, analyse, code, design...)
  • Avez-vous déjà soumis des données clients/entreprise à ces outils ?
  • Quels besoins métiers ne sont pas couverts par les outils actuels ?

Cette approche a deux avantages : elle révèle les usages cachés et elle identifie les besoins légitimes à satisfaire via une stratégie d'implémentation IA encadrée.

3. Analyse des comptes de dépenses et achats SaaS

Examinez les notes de frais et les abonnements individuels :

  • Abonnements ChatGPT Plus, Claude Pro, Midjourney
  • Services de transcription IA (Otter.ai, Fireflies.ai)
  • Outils de génération de contenu (Jasper, Writesonic)

Les PME découvrent souvent qu'elles payent plusieurs fois les mêmes fonctionnalités via des abonnements individuels non coordonnés.

4. Revue des accès API et intégrations

Si vous utilisez des plateformes no-code ou low-code (Make, Zapier, n8n), auditez les connexions API établies par vos collaborateurs. Chez Keerok, nous constatons régulièrement que des automatisations créées avec les meilleures intentions intègrent des appels API vers des services IA externes non validés.

Construire une politique d'utilisation IA efficace

Une fois le Shadow AI cartographié, l'objectif n'est pas d'interdire mais d'encadrer. Une politique d'utilisation IA efficace pour une PME doit être :

  • Claire et accessible : rédigée en langage compréhensible, pas en jargon juridique
  • Proportionnée : adaptée à la taille et aux risques réels de votre entreprise
  • Évolutive : mise à jour régulièrement face à l'innovation rapide
  • Opérationnelle : accompagnée d'outils et de formations

Les piliers d'une charte d'utilisation IA

1. Classification des données et usages autorisés

Définissez clairement ce qui peut et ne peut pas être traité par des outils IA externes :

Type de donnéesOutils IA publicsOutils IA internesExemples
Données publiques✅ Autorisé✅ AutoriséInformations du site web, communiqués de presse
Données internes non sensibles⚠️ Avec anonymisation✅ AutoriséBrouillons, idées générales
Données clients/personnelles❌ Interdit✅ Avec DPO validationCoordonnées, historique d'achat
Données confidentielles❌ Interdit✅ Avec autorisationStratégie, finances, code source

2. Liste des outils validés et alternatifs

Ne vous contentez pas d'interdire : proposez des alternatives encadrées. Par exemple :

  • Pour la rédaction : déploiement d'une instance Azure OpenAI avec conservation des données en Europe
  • Pour l'analyse de documents : solution on-premise ou cloud privé avec chiffrement
  • Pour la génération d'images : Stable Diffusion auto-hébergé ou Midjourney avec compte entreprise

Le cas du Groupe Hellowork illustre cette approche : face à l'utilisation informelle d'outils IA causant des risques de fuite de données, l'entreprise a mis en place un cadre de gouvernance cybersécurité intégrant les bons usages IA, avec chartes, outils autorisés et sensibilisation.

3. Processus de validation pour nouveaux outils

Établissez un circuit clair pour qu'un collaborateur puisse proposer un nouvel outil IA :

  1. Demande via formulaire interne (description de l'usage, bénéfices attendus)
  2. Évaluation par le comité IA (IT, juridique, métier concerné)
  3. Audit de sécurité et conformité (localisation des données, conditions d'utilisation, certifications)
  4. Validation ou proposition d'alternative
  5. Documentation et communication à l'équipe

« Une gouvernance IA efficace dans une PME n'est pas un frein à l'innovation, c'est un accélérateur : elle permet aux équipes d'expérimenter en toute sécurité, avec des garde-fous clairs et des outils validés. »

Mettre en place une gouvernance IA opérationnelle

La gouvernance IA ne se résume pas à un document PDF dans un dossier partagé. Elle nécessite une organisation, des outils et un suivi régulier.

Créer un comité IA transverse

Dans une PME, ce comité peut être léger (3-5 personnes) mais doit réunir des compétences complémentaires :

  • Direction/Décision : valide la stratégie IA et les budgets
  • IT/Technique : évalue la faisabilité, la sécurité, l'intégration
  • Juridique/Conformité : vérifie la conformité RGPD et AI Act
  • Métier : représente les besoins opérationnels (commercial, marketing, production...)
  • DPO : si données personnelles traitées (obligatoire pour beaucoup d'usages IA)

Ce comité se réunit mensuellement ou trimestriellement selon l'activité IA de l'entreprise. Son rôle : valider les nouveaux usages, suivre les incidents, mettre à jour la politique.

Déployer un espace sandbox pour l'expérimentation

Plutôt que d'interdire toute expérimentation, créez un environnement sécurisé où vos équipes peuvent tester des outils IA :

  • Données de test : jeux de données anonymisées ou fictives
  • Isolation réseau : pas de connexion aux systèmes de production
  • Suivi des usages : logs et monitoring pour comprendre ce qui est testé
  • Accompagnement : sessions de formation et support technique

Cette approche, de plus en plus adoptée dans les entreprises françaises, permet d'encadrer l'innovation sans la freiner, comme le souligne le Blog du Modérateur dans son analyse des bonnes pratiques.

Outils techniques de gouvernance IA

Plusieurs catégories d'outils peuvent vous aider à gouverner l'IA en pratique :

1. Surveillance et détection

  • Solutions CASB (Cloud Access Security Broker) : Netskope, McAfee MVISION Cloud
  • Monitoring réseau : détection d'usages IA via analyse des flux
  • DLP (Data Loss Prevention) : alertes si données sensibles envoyées vers des services IA externes

2. Gestion des accès et identités

  • SSO (Single Sign-On) : centralisation des authentifications aux outils IA validés
  • Gestion des licences : suivi des abonnements et des utilisateurs
  • Contrôle d'accès granulaire : qui peut utiliser quels outils IA pour quels usages

3. Documentation et conformité

  • Registre des traitements IA : inventaire des usages, finalités, données traitées (exigence AI Act)
  • Évaluations d'impact (DPIA) : analyse des risques pour les usages IA à haut risque
  • Traçabilité : logs des décisions prises par des systèmes IA (exigence de transparence)

Intégration avec les politiques de cybersécurité existantes

La gouvernance IA ne doit pas être un silo isolé. Intégrez-la dans vos processus de sécurité existants :

  • Gestion des incidents : ajoutez des procédures spécifiques pour les incidents IA (fuite de données via ChatGPT, biais discriminatoire détecté...)
  • Revues de sécurité : incluez les outils IA dans vos audits périodiques
  • Formation cybersécurité : intégrez un module sur les risques IA et les bonnes pratiques
  • Plan de continuité : anticipez la défaillance ou l'indisponibilité d'outils IA critiques

Se préparer à l'AI Act : exigences pour les PME

L'AI Act européen, entré en vigueur progressivement depuis 2024, impose des obligations spécifiques aux entreprises qui développent ou utilisent des systèmes IA. Même si vous êtes une PME utilisatrice (pas développeur), vous êtes concerné.

Classification des systèmes IA selon le risque

L'AI Act classe les systèmes IA en quatre catégories :

  1. Risque inacceptable : interdits (manipulation cognitive, notation sociale...)
  2. Risque élevé : soumis à obligations strictes (recrutement, crédit, gestion RH...)
  3. Risque limité : obligations de transparence (chatbots, deepfakes...)
  4. Risque minimal : pas d'obligations spécifiques (filtres spam, recommandations produits...)

Pour chaque usage IA dans votre entreprise, vous devez déterminer le niveau de risque. Un outil de présélection de CV est considéré à risque élevé, tandis qu'un assistant de rédaction d'emails est à risque minimal.

Obligations documentaires

Pour les systèmes à risque élevé, l'AI Act exige :

  • Documentation technique : description du système, données d'entraînement, métriques de performance
  • Évaluation de conformité : avant mise en production
  • Surveillance continue : monitoring des performances et détection de dérives
  • Traçabilité : logs permettant d'auditer les décisions
  • Transparence : information des personnes concernées qu'elles interagissent avec une IA

Même pour les systèmes à risque limité, la transparence est obligatoire. Si vous utilisez un chatbot sur votre site web, vous devez informer clairement les visiteurs qu'ils parlent à une IA.

Responsabilités et sanctions

Comme le rappelle Formind, l'AI Act prévoit des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les manquements les plus graves. Les PME ne sont pas exemptées, même si des mécanismes de proportionnalité sont prévus.

Les responsabilités sont partagées :

  • Fournisseur IA : responsable de la conformité du système
  • Déployeur (vous) : responsable de l'usage conforme, du respect des conditions d'utilisation, de la surveillance

En cas de Shadow AI, vous êtes doublement exposé : non seulement vous utilisez potentiellement un système non conforme, mais vous ne respectez pas vos obligations de déployeur (pas de documentation, pas de surveillance, pas de transparence).

Formation et sensibilisation : la clé d'une gouvernance durable

La meilleure politique du monde est inutile si vos collaborateurs ne la comprennent pas ou ne l'appliquent pas. La formation est le pilier d'une gouvernance IA réussie.

Programme de sensibilisation en trois niveaux

Niveau 1 : Sensibilisation générale (tous les collaborateurs)

  • Qu'est-ce que l'IA et comment fonctionne-t-elle ?
  • Quels sont les risques du Shadow AI ? (exemples concrets)
  • Quelle est la politique de l'entreprise ?
  • Quels outils sont autorisés et comment les utiliser ?
  • Que faire en cas de doute ?

Format : e-learning de 30 minutes, renouvelé annuellement, obligatoire pour tous.

Niveau 2 : Formation métier (utilisateurs réguliers)

  • Usages IA spécifiques au métier (marketing, ventes, RH, développement...)
  • Bonnes pratiques de prompt engineering
  • Détection et correction des biais
  • Validation et vérification des résultats IA

Format : ateliers de 2-3 heures par département, avec cas pratiques.

Niveau 3 : Formation approfondie (comité IA, IT, DPO)

  • Évaluation technique des systèmes IA
  • Conformité RGPD et AI Act
  • Gestion des incidents IA
  • Veille technologique et réglementaire

Format : formation externe ou certification (ex: CNIL, AFNOR), mise à jour semestrielle.

Communication continue et culture IA

Au-delà de la formation initiale, maintenez la gouvernance IA dans les esprits :

  • Newsletter mensuelle : nouveaux outils validés, retours d'expérience, rappels
  • Champions IA : identifiez des référents dans chaque département
  • Retours d'expérience : partagez les succès (et les échecs) d'usages IA
  • Boîte à idées : encouragez les propositions d'usages IA innovants

« Une gouvernance IA mature transforme le Shadow AI en innovation encadrée : les collaborateurs deviennent des acteurs de la transformation, pas des contrevenants à surveiller. »

Cas pratique : feuille de route pour une PME de 50-200 personnes

Vous êtes une PME des Hauts-de-France (ou d'ailleurs) et vous voulez structurer votre gouvernance IA ? Voici une feuille de route pragmatique sur 6 mois :

Mois 1-2 : Diagnostic et cadrage

  • Semaine 1-2 : Audit technique (logs réseau) + enquête anonyme auprès des collaborateurs
  • Semaine 3-4 : Analyse des résultats, cartographie des usages Shadow AI
  • Semaine 5-6 : Évaluation des risques par usage (RGPD, AI Act, sécurité)
  • Semaine 7-8 : Définition des priorités et constitution du comité IA

Mois 3-4 : Structuration de la gouvernance

  • Semaine 9-10 : Rédaction de la charte d'utilisation IA (avec exemples concrets)
  • Semaine 11-12 : Sélection et déploiement d'outils IA validés (alternatives au Shadow AI)
  • Semaine 13-14 : Mise en place des outils de surveillance et de contrôle
  • Semaine 15-16 : Documentation AI Act (inventaire, classification, DPIA si nécessaire)

Mois 5-6 : Déploiement et formation

  • Semaine 17-18 : Communication de la nouvelle politique (réunions, documentation)
  • Semaine 19-20 : Formation niveau 1 (tous les collaborateurs)
  • Semaine 21-22 : Formation niveau 2 (utilisateurs métiers)
  • Semaine 23-24 : Bilan, ajustements, planification du suivi continu

Cette feuille de route peut être adaptée selon la taille et la complexité de votre organisation. Pour une PME de 20 personnes, compressez à 3 mois. Pour une ETI de 500 personnes, étalez sur 12 mois avec des déploiements pilotes par département.

Budget indicatif

Pour une PME de 100 personnes :

  • Conseil et accompagnement : 15-25k€ (diagnostic, rédaction politique, formation comité IA)
  • Outils techniques : 5-15k€/an (CASB, DLP, licences IA validées)
  • Formation collaborateurs : 5-10k€ (e-learning + ateliers)
  • Temps interne : 20-30 jours/homme (comité IA, IT, juridique)

Total première année : 25-50k€, puis 10-20k€/an en fonctionnement courant. Un investissement modeste comparé aux risques encourus (amendes AI Act, fuites de données, atteinte à la réputation).

Gouvernance IA et transformation digitale : une opportunité stratégique

Aborder la gouvernance IA uniquement sous l'angle du risque serait une erreur. C'est aussi une formidable opportunité de structurer votre transformation digitale et de créer un avantage compétitif.

De la contrainte à l'avantage concurrentiel

Une PME qui maîtrise sa gouvernance IA peut :

  • Innover plus rapidement : processus clairs pour tester et déployer de nouveaux usages IA
  • Rassurer clients et partenaires : certification, transparence sur l'usage de l'IA
  • Attirer les talents : les profils qualifiés recherchent des entreprises matures sur l'IA
  • Optimiser les coûts : mutualisation des licences, élimination des doublons
  • Anticiper la réglementation : conformité AI Act avant l'entrée en vigueur complète

Gouvernance IA et automatisation : le duo gagnant

Chez Keerok, nous constatons que les PME qui réussissent leur transformation IA combinent gouvernance et automatisation. L'IA ne remplace pas l'automatisation, elle la complète :

  • Automatisation : workflows structurés, processus répétitifs (ex: synchronisation de données entre Airtable et votre CRM)
  • IA : tâches cognitives, analyse, génération de contenu (ex: qualification automatique de leads via IA)

Une stratégie d'implémentation IA cohérente intègre ces deux dimensions, avec une gouvernance qui couvre l'ensemble de la stack technologique.

Conclusion : passez à l'action dès maintenant

Le Shadow AI n'est pas une fatalité, c'est un symptôme : vos collaborateurs ont des besoins légitimes que l'entreprise ne satisfait pas encore. La gouvernance IA n'est pas une chasse aux sorcières, c'est un cadre qui permet d'innover en sécurité.

Les trois actions prioritaires à mener cette semaine :

  1. Lancez un audit rapide : analysez vos logs réseau ou lancez une enquête anonyme pour cartographier les usages IA actuels
  2. Constituez un comité IA : identifiez 3-5 personnes (direction, IT, juridique, métier) pour piloter le sujet
  3. Rédigez une première version de votre politique : même simple, elle pose les bases et montre l'engagement de l'entreprise

N'attendez pas la première fuite de données ou la première mise en demeure de la CNIL pour agir. Les PME qui structurent leur gouvernance IA dès maintenant prennent une longueur d'avance sur leurs concurrents et se protègent des risques réglementaires à venir.

Besoin d'accompagnement pour structurer votre gouvernance IA ? Keerok accompagne les PME françaises dans la mise en place de politiques d'utilisation IA pragmatiques et conformes. De l'audit initial à la formation de vos équipes, nous vous aidons à transformer le Shadow AI en innovation maîtrisée. Contactez nos experts pour un diagnostic gratuit de votre situation.

Étiquettes

Shadow AI AI Governance AI Act Compliance Enterprise AI Security AI Usage Policy
Retour au blog

Besoin d'aide sur ce sujet ?

Discutons de comment nous pouvons vous accompagner.

Discuter de votre projet