01 56 43 68 80

6, Rue de Saint-Petersbourg, 75008 Paris

Shadow AI en entreprise : comment encadrer l’usage de l’IA ?

En moins de deux ans, l’intelligence artificielle générative s’est imposée dans le quotidien des salariés. Selon le Baromètre du numérique 2026 du Crédoc, 48 % des Français utilisent désormais une IA générative, une diffusion encore plus rapide que celle du smartphone.
Professionnel utilisant un ordinateur portable avec un robot IA dans un environnement de bureau moderne, illustrant la gestion de l'intelligence artificielle en entreprise.

Dans les entreprises, les cadres s’en servent pour rédiger, analyser ou automatiser des tâches… souvent sans formation, ni encadrement juridique.

Source : Baromètre du numérique, Edition 2026, Crédoc.

Ce phénomène d’usage officieux – désormais qualifié de « shadow AI »[1] – met les organisations face à une réalité brutale : l’IA n’attend pas les politiques internes pour être utilisée.

Entre pression des salariés et risques juridiques liés aux données, les entreprises se lancent dans une course accélérée à la formation et à la régulation interne.

Pour les juristes, la question n’est plus de savoir si l’IA sera utilisée dans l’entreprise, mais comment en encadrer juridiquement l’usage avant qu’il ne devienne incontrôlable.

« Shadow AI » : quand les salariés utilisent l’IA… sans que l’entreprise ne le sache

L’un des phénomènes les plus marquants reste l’explosion de la shadow AI.

Une étude IFOP a ainsi révélé que 37 % des professionnels utilisaient une IA au travail sans en informer leur hiérarchie. Dans certains cas, les salariés copient-collent directement dans les outils gratuits des contenus internes : contrats, données commerciales, notes juridiques ou documents stratégiques.

Cette pratique soulève néanmoins plusieurs risques juridiques majeurs :

  • Risque de divulgation de données confidentielles

Les versions gratuites d’IA peuvent réutiliser les données saisies pour entraîner leurs modèles. L’entreprise peut alors perdre le contrôle d’informations sensibles.

  • Risque de transfert de données personnelles

La transmission de données personnelles à des services externes peut constituer un transfert non encadré vers un sous-traitant, voire hors de l’Union européenne[2].

  • Risque de responsabilité de l’employeur

En l’absence de règles internes au sein de l’entreprise, celle-ci pourrait être tenue responsable de l’usage de ces outils par ses salariés.

Résultat : certaines directions ont d’abord interdit l’IA par précaution, avant de se rendre compte que les usages existaient déjà. La stratégie évolue donc progressivement vers une approche plus pragmatique : autoriser… tout en encadrant.

Former pour contrôler : la nouvelle stratégie de gouvernance de l’IA

Face à ces usages incontrôlés, un grand nombre d’entreprises ont choisi une réponse rapide : la formation de leurs salariés à l’IA.

L’objectif n’est plus seulement pédagogique. Il s’agit aussi, et surtout, de reprendre la main sur les usages internes. La formation devient donc un véritable outil de gouvernance.

Celle-ci permet notamment de :

  • identifier les outils autorisés ;
  • sensibiliser aux risques liés aux données ;
  • définir des cas d’usage professionnels ; et
  • instaurer une culture commune autour de l’IA.

D’autres organisations ont même choisi de former l’ensemble des collaborateurs simultanément, afin d’éviter la fracture entre salariés déjà utilisateurs et ceux restés à l’écart.

Toutefois, cette stratégie révèle aussi une tension plus profonde : l’adoption de l’IA est souvent motivée par une forme de « Tech FOMO » (Fear of Missing Out)[3].

Le risque est alors de déployer des outils avant même d’avoir réfléchi à leur gouvernance juridique…

L’enjeu juridique : définir un cadre de gouvernance de l’IA

La plupart des formations à l’IA restent centrées sur les usages techniques : rédaction de prompts, automatisation, génération de contenu. Or, cela ne suffit plus.

Il devient nécessaire de définir des règles claires :

  • Ce qui peut être délégué à la machine ;
  • Ce qui doit rester sous contrôle humain, et
  • Comment vérifier la fiabilité des résultats.

Certaines entreprises commencent d’ailleurs à structurer ces pratiques, en mettant en place des ateliers internes ou des cadres d’usage partagés.

L’IA ne se gouverne plus uniquement par la conformité, mais aussi par des règles internes d’organisation. Dans ce contexte, l’enjeu n’est plus de freiner les usages, mais bien de les structurer.

La gouvernance de l’IA semble donc s’imposer comme un nouveau pilier de la conformité en entreprise.

L’encadrement des usages n’en constitue toutefois qu’une première étape.
À terme, c’est l’ensemble de la gestion des données et des outils numériques qui devra être repensé…

* * *

Le cabinet HAAS Avocats est spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données et de l’intelligence artificielle. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

[1] Désigne l’utilisation, par des employés ou des départements, d’outils et d’applications d’intelligence artificielle sans l’approbation ou la supervision du service informatique de l’organisation

[2] Articles 44 à 50 RGPD

[3] Désigne la peur pour les entreprises de manquer une révolution technologique majeure.

Revenir à l’accueil