La semaine dernière, j’avais une réunion avec un prestataire spécialisé en IA. Une heure de présentation bien rodée sur les dangers du shadow AI, les fuites de données, l’exposition juridique, les risques pour l’entreprise. Et bien sûr, leur solution souveraine, sécurisée, conforme RGPD, pour mettre fin à tout ça.

À la fin de la réunion, je lui pose quelques questions techniques. Il hésite, cherche ses mots, et commence à taper discrètement sur son clavier. Son écran était dans mon champ de vision. Il utilisait ChatGPT pour formuler ses réponses.

Je n’ai rien dit. Mais j’ai pensé à une chose : si même le prestataire qui vend la solution contre le shadow AI fait du shadow AI en réunion client, alors on a probablement mal posé le problème.

C’est quelques jours après que je suis tombé sur les résultats d’une étude Microsoft France publiée en février 2026, menée avec YouGov auprès de 657 cadres et dirigeants d’entreprises françaises. Les chiffres ont confirmé ce que cette scène illustrait parfaitement.

Ce que l’étude dit vraiment

61 % des collaborateurs qui utilisent l’IA au travail passent par leurs comptes personnels au moins une fois par semaine. 38 % le font tous les jours. Ce n’est pas un comportement marginal, pas une déviance isolée dans quelques équipes mal encadrées. C’est la norme. Et dans la plupart des organisations, le management ne le sait pas, ou préfère ne pas le nommer.

Ce qu’on appelle le shadow AI, c’est simplement ça : l’usage d’outils d’intelligence artificielle sans validation de la DSI ou de la direction. Pas forcément par malveillance. Souvent par réflexe, par efficacité, parce que l’outil est là et que personne n’a dit quoi faire à la place.

L’étude pose quatre données qui méritent qu’on s’y arrête. 80 % des dirigeants interrogés utilisent déjà l’IA générative au moins une fois par semaine. L’adoption n’est donc pas le problème. Ce qui manque, c’est le cadre. Car dans le même temps, 71 % des cadres non-dirigeants n’ont reçu aucune formation à l’utilisation de l’IA dans un contexte professionnel. Aucune charte, aucun outil validé, aucune règle du jeu. Juste un besoin de productivité et des outils grand public à portée de clic.

L’écart entre grandes structures et petites organisations existe mais ne change pas le fond. 89 % des entreprises de plus de 250 salariés confient déjà des tâches à l’IA, contre 30 % des TPE. Plus la structure est grande, plus les usages sont répandus, et plus la zone grise est large. Et 84 % des dirigeants anticipent un changement organisationnel majeur dans les deux à trois prochaines années lié à l’IA. Tout le monde voit la transformation arriver. Mais entre cette conviction et un cadre d’usage concret pour les équipes, il y a un vide. C’est dans ce vide que prospère le shadow AI.

Pourquoi ça arrive

La réponse courte serait de dire que les collaborateurs ne respectent pas les règles. C’est la mauvaise réponse, et elle conduit aux mauvaises décisions.

La réalité est plus simple. ChatGPT est sorti fin 2022. En quelques semaines, des millions de personnes l’ont intégré dans leur quotidien pour rédiger, résumer, chercher, organiser. Quand ces mêmes personnes arrivent au bureau, elles ne désactivent pas ce réflexe. Les usages personnels ont précédé les usages professionnels, et l’entreprise n’a pas suivi ce rythme. Les processus de validation IT, les déploiements sécurisés, les appels d’offres prennent du temps, souvent dix-huit mois ou plus. Pendant ce temps, le besoin est là, l’outil est à portée de clic, et personne n’a défini clairement ce qui est autorisé ou non.

Il y a aussi une raison plus structurelle. 71 % de cadres non formés, ce n’est pas un chiffre de DSI. C’est un chiffre qui dit que le management intermédiaire n’a pas reçu les outils pour poser des règles du jeu à son niveau. On ne peut pas demander à une équipe de naviguer proprement sans boussole quand personne n’a pris le temps de définir le cap.

Ce que ça représente comme risque

Le discours habituel sur les risques du shadow AI tourne autour de la cybersécurité et du RGPD. Ce n’est pas faux. Mais pour un manager opérationnel, ce cadrage reste souvent trop abstrait pour déclencher une action concrète.

Ce qui est plus immédiat, c’est la question de la traçabilité. Quand un livrable a été produit avec l’aide d’un outil IA non identifié, alimenté avec des données clients ou des éléments contractuels, personne ne sait ce qui a circulé ni où. En cas de litige, d’audit ou de simple question d’un client sur la confidentialité de ses données, vous n’avez pas de réponse. Pas parce que quelqu’un a mal agi, mais parce que personne n’avait fixé les règles.

Il y a aussi un risque moins visible mais tout aussi réel : la fracture qui se creuse au sein des équipes. Une partie des collaborateurs utilise l’IA intensément et gagne un temps considérable. Une autre partie n’a aucun repère et reste à l’écart. Cette asymétrie crée des inégalités de charge, des incompréhensions, parfois des tensions que personne ne relie explicitement à l’IA parce que le sujet n’a jamais été posé ouvertement.

Et le cadre réglementaire évolue. En février 2026, la CNIL a été désignée autorité de supervision pour l’AI Act européen. Les obligations de gouvernance et de traçabilité vont progressivement s’appliquer aux usages métiers. Ce qui est une zone grise tolérable aujourd’hui deviendra une exposition réelle dans les prochains mois.

Ce qu’un manager peut faire

L’interdiction ne fonctionne pas. L’étude Gartner 2025 sur 500 entreprises le montre clairement : 68 % des employés utilisent des outils non autorisés malgré les politiques en place, contre 41 % en 2023. Interdire sans offrir d’alternative, c’est simplement pousser les usages à devenir plus discrets. Exactement comme mon prestataire qui minimisait sa fenêtre ChatGPT.

Ce qui marche, c’est de commencer par nommer le sujet. Pas dans une logique de contrôle, mais de compréhension. Poser la question à son équipe : qui utilise quoi, pour quoi faire, avec quelles données ? Cette conversation, menée avec curiosité plutôt qu’avec suspicion, révèle presque toujours la même chose. Les usages sont beaucoup plus répandus qu’on ne le pensait. Et ils répondent à des besoins réels que les outils officiels ne couvrent pas.

C’est là que le rôle du manager devient décisif. Cartographier ces besoins non couverts, c’est identifier où l’organisation doit se structurer. Proposer un premier cadre d’usage simple, même imparfait, c’est créer un repère là où il n’y en avait pas. Et montrer l’exemple en utilisant l’IA de façon documentée et transparente dans son propre périmètre, c’est donner à son équipe une référence concrète plutôt qu’une liste d’interdits.

Ce que le chiffre dit

61 % des collaborateurs qui utilisent l’IA passent par des comptes personnels. Ce chiffre ne dit pas que vos équipes sont négligentes. Il dit que l’organisation n’a pas encore rattrapé son retard sur les usages.

Quand une majorité de gens contourne le cadre officiel, la bonne question n’est pas comment les en empêcher. C’est pourquoi le cadre officiel ne répond pas à leur besoin.

Mon prestataire de la semaine dernière avait peut-être raison sur les risques. Mais il illustrait mieux que quiconque pourquoi les discours sur le shadow AI manquent souvent leur cible : ils parlent d’un problème en faisant exactement ce qu’ils dénoncent. Le shadow AI n’est pas une question de discipline. C’est une question de gouvernance. Et la gouvernance, ça commence par le management, pas par la DSI.

Sources : Étude YouGov pour Microsoft France, janvier 2026, 657 cadres et dirigeants du secteur privé français. Gartner 2025, étude sur 500 entreprises. Netskope Cloud and Threat Report 2026.