78 % de vos salariés utilisent déjà ChatGPT au travail. 32 % vous le cachent. Voici comment reprendre le contrôle avant l'AI Act du 2 août 2026.
Microsoft et LinkedIn l'ont mesuré dans leur Work Trend Index 2024, repris par toutes les études 2025 et 2026 : 78 % des utilisateurs professionnels d'IA générative apportent leurs propres outils au travail (BYOAI). Cyberhaven, qui analyse les flux de données de 7 millions de salariés dans le monde, va plus loin : 34,8 % des données corporate envoyées vers des outils IA sont sensibles. C'était 27,4 % il y a un an. Et seulement 10,7 % en 2023.
Traduction opérationnelle pour votre PME : pendant que vous lisez cet article, un commercial colle votre fichier client dans ChatGPT pour rédiger un mailing, un développeur envoie du code source propriétaire dans Claude pour le débugger, et une assistante RH demande à Gemini de résumer un entretien individuel. Aucun n'a demandé l'autorisation. Aucun ne vous le dira. Selon Ivanti, 32 % des salariés cachent activement leur usage de l'IA à leur employeur, et selon Gartner, 69 % des RSSI ont la preuve ou suspectent un usage non sanctionné d'outils GenAI publics dans leur organisation.
Le problème s'appelle Shadow IA. En 2026, il est devenu le premier vecteur d'exfiltration de données en entreprise selon LayerX, devant le phishing. Et avec l'AI Act européen qui durcit ses obligations contraignantes au 2 août 2026, l'amateurisme ne sera plus une excuse. Voici comment reprendre le contrôle sans interdire (parce que l'interdiction ne marche pas).
Le Shadow IA désigne tout usage d'outils d'intelligence artificielle générative non autorisé, non documenté ou non gouverné par l'entreprise. C'est le cousin direct du Shadow IT historique (Dropbox personnel, WeTransfer, Trello sauvage), mais avec une différence critique : les données que vos salariés collent dans ces outils entraînent potentiellement des modèles tiers, partent hors UE, et échappent à tout journal d'audit.
Cinq scénarios shadow rencontrés systématiquement lors de nos audits chez les PME :
Le pire ? LayerX a mesuré que 71 % des connexions à des outils GenAI se font via comptes personnels non corporate, et 82 % des copier-coller dans ces outils proviennent de comptes non managés. Vos politiques SSO ne voient rien.
Avant de blâmer vos équipes, comprenez : elles ne sont pas malhonnêtes, elles sont rationnelles. L'enquête Ivanti 2025 documente leurs vraies motivations :
S'ajoute une réalité opérationnelle : seulement 23 % des organisations ont une politique de sécurité IA formelle (Metomic State of Data Security Report 2025), 63 % des organisations victimes d'une brèche IA n'avaient pas de politique de gouvernance ou en étaient au stade du développement (IBM Cost of a Data Breach 2025). Quand l'entreprise ne propose rien, vos salariés se débrouillent. C'est exactement le mécanisme qui a explosé le Shadow IT en 2010-2015 avec le cloud grand public.
L'interdiction frontale type Samsung (voir cas plus bas) ne fait que pousser l'usage en mode totalement invisible : VPN personnel, smartphone perso, copie d'écran sur WhatsApp. Comme nous l'expliquions déjà dans notre guide sur la conformité NIS2 pour les PME en 2026, la sécurité par interdiction sans alternative pratique est une sécurité de papier.
Le Shadow IA cumule cinq classes de risque, toutes documentées par des incidents réels en 2024-2026.
Le cas Samsung d'avril 2023 reste le manuel de tout RSSI. Division semi-conducteurs. En moins de 20 jours après autorisation interne de ChatGPT : trois fuites majeures. Code source de diagnostic d'équipement semi-conducteur collé pour debug. Code de détection de défauts uploadé pour optimisation. Transcript d'une réunion confidentielle envoyé pour génération de minutes. Samsung a interdit immédiatement tous les outils GenAI sur ses appareils et réseaux, puis a lancé un projet d'IA interne. Trop tard, les données étaient déjà sorties du périmètre Samsung et traitées par un tiers (OpenAI) sans cadre contractuel.
La CNIL a publié sa délibération n 2025-010 du 6 février 2025, complétée par les fiches du 19 juin 2025 et la finalisation du 22 juillet 2025. Articles RGPD systématiquement violés par le Shadow IA :
Une AIPD (Analyse d'Impact relative à la Protection des Données) devient obligatoire dès que vous cochez 2 critères sur 9 dans la grille CNIL. Profilage, données sensibles à grande échelle, décisions automatisées, surveillance des salariés : tous fréquents en contexte IA.
L'AI Act européen est entré en vigueur progressivement. Au 3 juin 2026, les obligations contraignantes sont actives dès le 2 août 2026 pour les systèmes haut risque (Annexe III). Les sanctions sont calées sur le modèle RGPD mais plus sévères pour les violations majeures (voir tableau sanctions plus loin). Pour une PME, même une amende à 1 % du CA mondial peut représenter plusieurs centaines de milliers d'euros.
L'US Copyright Office a clarifié en 2024 : pas de copyright sur un output purement IA. En Europe, la position est encore floue mais la CJUE doit trancher. Surtout, les incidents Shadow IA compromettent fréquemment l'IP de l'entreprise, avec un coût par enregistrement de 166 dollars pour les brèches impliquant du Shadow IA, contre 160 dollars en moyenne tous incidents (IBM Cost of a Data Breach 2025). Si votre développeur entraîne indirectement un modèle tiers avec votre code métier, vous perdez votre avantage concurrentiel.
Décisions RH automatisées, scoring crédit, évaluation de performance via IA générative : tous classés haut risque par l'Annexe III de l'AI Act. La reconnaissance émotionnelle au travail est interdite depuis le 2 février 2025 (pratique inacceptable, sanction maximale).
Et ce risque s'inscrit dans un paysage de menaces plus large : le Shadow IA représente désormais une composante dans 20 % de toutes les brèches de données 2025 selon IBM. Vous trouverez la procédure complète dans notre guide cyberattaque PME : que faire dans les 24 premières heures.
Le calendrier de l'AI Act que vous devez retenir :
Important : le 7 mai 2026, le Conseil et le Parlement européen ont conclu un accord interinstitutionnel provisoire dit Digital Omnibus, reportant officiellement les obligations Annexe III au 2 décembre 2027 et Annexe I au 2 août 2028. La publication formelle au Journal Officiel de l'UE est attendue dans les prochains mois. Tant que ce report n'est pas publié au JO, les organisations doivent continuer à se préparer sur l'échéance initiale du 2 août 2026, mais la pression réglementaire devrait s'alléger d'ici fin 2026. Le tableau des sanctions :
| Infraction AI Act | Sanction maximale | Exemple Shadow IA concret |
|---|---|---|
| Pratiques interdites (manipulation, reconnaissance émotionnelle au travail) | 35 M EUR ou 7 % du CA mondial | Utilisation d'un outil IA pour analyser l'humeur des collaborateurs en visio |
| Non-conformité système haut risque (Annexe III) | 15 M EUR ou 3 % du CA mondial | Scoring CV via ChatGPT sans documentation ni AIPD |
| Information trompeuse aux autorités | 7,5 M EUR ou 1 % du CA mondial | Déclaration minimisant l'usage IA en cas de contrôle CNIL |
| Violation RGPD cumulative (transfert hors UE, AIPD manquante) | 20 M EUR ou 4 % du CA mondial | Données clients collées dans ChatGPT gratuit sans base légale |
| Violation NIS2 (entité essentielle) | 10 M EUR ou 2 % du CA mondial | Défaut de gestion du risque cyber lié à la chaîne d'approvisionnement IA |
Les sanctions sont cumulables. Une PME ayant laissé fuiter des données clients via Shadow ChatGPT peut être poursuivie sur trois fondements simultanés : RGPD, AI Act, et code du travail (défaut de consultation du CSE).
Au-delà de Samsung, le rapport IBM Cost of a Data Breach 2025 a chiffré le phénomène :
Côté France, la CNIL n'a pas encore publié de sanction publique nommément liée à un usage Shadow GenAI au 3 juin 2026. Elle privilégie pour l'instant la doctrine et l'accompagnement. Ne vous fiez pas à cette mansuétude : les contrôles sont en cours, et l'AI Act offre maintenant un cadre répressif autonome. Le premier dossier exemplaire français devrait sortir dans les 18 mois.
La détection passe par trois niveaux d'analyse, des plus simples aux plus techniques. Vous pouvez les mettre en oeuvre en 48 heures avec un audit informatique d'infrastructure structuré.
Vos pare-feu et proxies tracent toutes les requêtes sortantes. Les domaines à surveiller en priorité : chatgpt.com, openai.com, claude.ai, gemini.google.com, copilot.microsoft.com (compte personnel), perplexity.ai, chat.mistral.ai, huggingface.co, character.ai. Une simple extraction sur 30 jours révèle 80 % du Shadow IA actif.
Des outils comme Nudge Security, Microsoft Defender for Cloud Apps ou Netskope One identifient automatiquement les comptes SaaS créés avec une adresse professionnelle. Un salarié qui s'est inscrit à ChatGPT avec son @entreprise.fr apparaîtra dans le rapport, même s'il utilise ensuite l'outil depuis chez lui.
Microsoft Purview, Zscaler Data Protection ou LayerX analysent le contenu des prompts en temps réel. Ils bloquent ou alertent quand un salarié tente de coller un fichier client, un numéro de carte bancaire, du code source ou des données RH.
Une PUI bien construite tient en 5 à 8 pages, est validée par direction, CSE et DPO, et fait l'objet d'une formation annuelle. Voici les 8 composants obligatoires :
L'interdiction sèche pousse au shadow. La bonne approche est de proposer une alternative officielle, performante et payée par l'entreprise. Cinq solutions dominent le marché PME français en 2026, avec des positionnements distincts.
| Solution | Prix indicatif | Souveraineté | Conformité RGPD | Cible PME |
|---|---|---|---|---|
| Microsoft 365 Copilot | ~30 EUR / utilisateur / mois (en sus E3/E5) | UE/US (Data Boundary EU possible) | DPA et Purview, pas d'entraînement sur données client | PME déjà sous M365, productivité bureautique |
| ChatGPT Business | 20 USD / seat / mois (engagement annuel) | US (résidence EU possible) | SOC 2, pas d'entraînement, DPA disponible | PME tech, marketing, équipes créatives |
| Claude Team | 20 USD / seat / mois (5 sièges min.) | US (Anthropic) | SOC 2, pas d'entraînement client | PME conseil, juridique, rédaction analytique |
| Mistral Le Chat Team | 24,99 EUR / utilisateur / mois | FR/UE (serveurs Paris) | RGPD natif, DPA, hébergement souverain | PME sensibles (santé, défense, secteur public) |
| Albert (DINUM) | Gratuit secteur public uniquement | FR souverain (Outscale, projet de migration Nubo) | Conforme RGPD par conception | Administrations, collectivités (non disponible PME privées au 3 juin 2026) |
Notre recommandation pour la majorité des PME françaises de 50 à 250 salariés : combiner Copilot M365 (productivité bureautique) et Mistral Le Chat Team (données sensibles, souveraineté). Budget moyen : 50 EUR par utilisateur et par mois, retour sur investissement en général atteint en 4 à 6 mois sur les gains de productivité mesurés. Pour la mise en oeuvre opérationnelle, notre équipe cybersécurité et protection des données intervient en 48 heures pour cadrer le projet.
La gouvernance IA n'est pas un projet de 18 mois. En 90 jours, une PME peut basculer du chaos shadow vers un cadre maîtrisé. Voici le plan que nous déployons chez nos clients infogérance :
| Échéance | Actions clés | Livrables | Responsable |
|---|---|---|---|
| Jour 1 à 30 Diagnostic | Audit DNS/proxy sur 30 jours. Cartographie des outils IA shadow. Sondage anonyme salariés. Identification données à risque. | Rapport Shadow IA chiffré. Top 10 outils détectés. Matrice de risque RGPD. | DSI et prestataire cyber |
| Jour 31 à 60 Cadrage | Choix des outils officiels (liste blanche). Rédaction de la PUI. Information-consultation CSE. AIPD sur usages critiques. | Politique d'Usage IA validée. Charte signée. Liste blanche publiée. AIPD documentées. | DSI, DPO, RH et direction |
| Jour 61 à 90 Déploiement | Provisioning licences Copilot/Mistral/Claude. Formation obligatoire (article 4 AI Act). Mise en place DLP. Blocage progressif outils shadow. | 100 % des collaborateurs formés. DLP actif. Outils shadow non validés bloqués. Comité IA constitué. | DSI, RH et manageurs |
| Après 90 jours Run | Audit trimestriel. Revue de la liste blanche. Mise à jour formation. Revue des incidents IA. | Tableau de bord IA. Rapport trimestriel direction. Réaccréditation annuelle. | Comité IA et DSI |
Si vous n'avez pas les ressources internes pour porter ce plan, notre offre infogérance informatique illimitée inclut désormais un module gouvernance IA pour les contrats PME.
Les 7 questions que vos pairs nous posent en rendez-vous d'audit, et les réponses opérationnelles que nous donnons.
Le 2 août 2026, l'AI Act passe en régime contraignant sur les systèmes haut risque. La CNIL a publié l'intégralité de sa doctrine. NIS2 étend les obligations cyber à 10 000 à 15 000 entités françaises. Pendant ce temps, 78 % de vos salariés continuent d'utiliser leurs propres outils IA, 32 % vous le cachent, et 34,8 % des données envoyées à ces outils sont sensibles.
Le Shadow IA n'est pas un problème de salariés indisciplinés : c'est un problème de gouvernance absente. Vous avez 90 jours pour reprendre le contrôle. Le coût d'un cadre maîtrisé (PUI plus outils plus formation) tourne autour de 15 000 à 40 000 EUR pour une PME de 100 salariés. Le coût moyen d'une brèche Shadow IA selon IBM : 4,63 millions de dollars. Faites le calcul.
Infranat audite votre exposition Shadow IA en 48 heures, livre un rapport chiffré directement exploitable par votre direction, et vous accompagne sur le plan 30/60/90 si vous le souhaitez. Demandez votre audit Shadow IA en ligne, nous vous recontactons sous 2 heures ouvrées.
Trois méthodes complémentaires. D'abord, extrayez les logs DNS et proxy de votre pare-feu sur 30 jours et filtrez sur les domaines chatgpt.com, claude.ai, gemini.google.com, perplexity.ai, chat.mistral.ai. Cette simple analyse révèle 80 % du Shadow IA actif. Ensuite, utilisez un outil de découverte SaaS type Nudge Security ou Microsoft Defender for Cloud Apps pour identifier les comptes créés avec des adresses professionnelles. Enfin, déployez un outil de DLP comme Purview ou LayerX qui analyse le contenu des prompts en temps réel. Infranat réalise cet audit complet en 48 heures.
Oui, l'employeur dispose d'un pouvoir de direction qui lui permet d'interdire l'usage d'outils non validés sur les matériels et réseaux de l'entreprise. Cette interdiction doit être formalisée dans le règlement intérieur et la charte informatique, après information-consultation du CSE au titre des articles L.2312-8 et L.2312-38 du code du travail. Attention cependant : l'interdiction sèche sans alternative officielle pousse au Shadow IA invisible (smartphone personnel, VPN, copie d'écran sur WhatsApp). La meilleure pratique est d'interdire les outils non validés ET de fournir une alternative officielle type Copilot M365 ou Mistral Le Chat Team.
ChatGPT en version gratuite ou compte personnel n'est pas conforme RGPD pour un usage professionnel : pas de DPA signé avec votre PME, pas de base légale documentée, transferts hors UE non encadrés, données potentiellement utilisées pour l'entraînement. ChatGPT Business et ChatGPT Enterprise sont en revanche conformes sous conditions : DPA disponible, pas d'entraînement sur vos prompts, certification SOC 2, résidence EU possible. Vous devez quand même réaliser une AIPD si vos usages touchent au profilage, aux décisions automatisées ou aux données sensibles. La CNIL a publié sa doctrine complète via la délibération 2025-010 du 6 février 2025.
Mistral AI est le champion français clairement positionné sur le marché PME. Trois offres : Le Chat Pro à 14,99 EUR par mois pour les usages individuels, Le Chat Team à 24,99 EUR par utilisateur et par mois pour les équipes, et Le Chat Enterprise sur devis pour les grands comptes avec option on-premise. Les serveurs sont en France, le DPA est natif RGPD, et la performance des modèles Mistral Large rivalise désormais avec GPT-4 et Claude sur la majorité des cas d'usage francophones. Pour les administrations et collectivités, Albert (DINUM) est gratuit mais n'est pas disponible pour les PME privées au 3 juin 2026.
La responsabilité est partagée mais l'employeur reste en première ligne. Au titre du RGPD, votre PME est responsable de traitement et donc responsable de la fuite, même si elle est causée par un salarié agissant en violation des consignes. La CNIL peut sanctionner directement l'entreprise. Le salarié peut être sanctionné disciplinairement (avertissement à licenciement pour faute grave selon la gravité) si la charte informatique et le règlement intérieur prévoient explicitement l'interdiction et que le salarié en a été informé. Une charte IA signée et une formation obligatoire documentée sont vos deux meilleures protections juridiques.
Une AIPD (Analyse d'Impact relative à la Protection des Données) est obligatoire dès que vous cochez au moins 2 critères sur les 9 de la grille CNIL : profilage, données sensibles à grande échelle, décisions automatisées à effet juridique, surveillance systématique, données de personnes vulnérables, croisement de bases, données biométriques, données concernant des mineurs, technologies innovantes. Tous les usages classés haut risque par l'Annexe III de l'AI Act (RH, crédit, éducation) déclenchent automatiquement l'AIPD. La déclaration préalable à la CNIL n'est pas systématique mais obligatoire uniquement si l'AIPD révèle un risque élevé résiduel non maîtrisé (article 36 RGPD).
L'enveloppe budgétaire moyenne observée chez nos clients PME tourne entre 15 000 et 40 000 EUR sur les 12 premiers mois. Décomposition typique : 3 000 à 8 000 EUR pour l'audit Shadow IA initial et la cartographie, 5 000 à 12 000 EUR pour la rédaction de la PUI, des AIPD et des chartes (interne ou cabinet), 60 000 à 80 000 EUR par an pour les licences IA officielles (Copilot et Mistral combinés pour 100 salariés), et 5 000 à 10 000 EUR pour le DLP. À comparer aux 4,63 millions de dollars de coût moyen d'une brèche Shadow IA selon IBM, plus les sanctions potentielles AI Act jusqu'à 35 millions d'euros.
Au 3 juin 2026, la date contraignante du 2 août 2026 pour les systèmes haut risque (Annexe III) reste l'échéance officielle. Le 7 mai 2026, Conseil et Parlement européen ont conclu un accord interinstitutionnel Digital Omnibus reportant cette échéance au 2 décembre 2027 pour Annexe III et au 2 août 2028 pour Annexe I, mais cet accord est en attente de publication au Journal Officiel selon les analyses de Gibson Dunn et Hogan Lovells. Les organisations doivent donc continuer à se préparer pour le 2 août 2026. Même en cas de report formel, les sanctions déjà actives (pratiques interdites depuis février 2025, GPAI depuis août 2025) sont applicables dès aujourd'hui.
Mots-clés
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit