Shadow AI : l'IA fantôme qui fait fuir vos données
ChatGPT pour reformuler un courriel, un traducteur en ligne pour un contrat, un outil qui transcrit les réunions : vos employés utilisent déjà l'IA — souvent à votre insu. Voici comment encadrer le phénomène avant qu'il ne fasse fuir vos données, sans tomber dans l'interdiction.
Un employé colle un contrat dans un traducteur en ligne pour gagner du temps. Une gestionnaire demande à ChatGPT de reformuler un courriel délicat destiné à un client. Un analyste téléverse un fichier Excel dans un outil d'IA pour « faire parler les chiffres ». Aucun de ces gestes n'est malveillant. Tous partent d'une bonne intention : travailler mieux, plus vite. Et tous ont un point commun : des données de votre entreprise viennent de quitter vos murs — sans autorisation, sans contrat et sans laisser de trace.
Bienvenue dans l'ère du Shadow AI, l'IA fantôme. Vos employés utilisent déjà l'intelligence artificielle. La vraie question, c'est : le savez-vous?
Le Shadow AI, c'est quoi au juste?
On parle de Shadow AI quand des employés utilisent des outils d'intelligence artificielle sans l'approbation ni l'encadrement de l'entreprise. Le phénomène est le cousin direct du shadow IT — ces logiciels installés sans passer par les TI — mais avec un ingrédient de plus : pour fonctionner, l'IA a besoin qu'on lui donne de l'information. Et cette information, c'est la vôtre.
Le portrait typique n'a rien de spectaculaire : des comptes personnels gratuits, des extensions de navigateur, des applications qui transcrivent les réunions, des générateurs de texte ou d'images. Rien de tout ça n'apparaît dans vos systèmes, vos contrats ou vos budgets. C'est d'ailleurs ce qui rend le phénomène si difficile à voir : il ne déclenche aucune alarme.
Où vont vos données quand on les colle dans une IA?
C'est la question que trop peu de gens se posent avant d'appuyer sur Entrée. Dans les versions grand public et gratuites de la plupart des outils d'IA, ce que vous soumettez peut être conservé sur des serveurs à l'étranger, consulté pour améliorer le service, voire utilisé pour entraîner les prochains modèles. Le tout sans contrat avec votre entreprise, sans engagement de confidentialité — et sans possibilité de rappel : une fois la donnée sortie, elle ne revient pas.
Imaginez un inconnu très serviable installé au café du coin. Il reformule vos courriels, traduit vos contrats, analyse vos chiffres — gratuitement, avec le sourire. Mais vous ne savez pas où il habite, à qui il parle, ni ce qu'il note dans son carnet. C'est exactement la relation que vos équipes entretiennent avec les outils d'IA non encadrés.
Et ce qui sort par ce canal n'est pas anodin : des soumissions, des listes de clients, des données financières, des renseignements sur les employés, du code source. En 2023, Samsung a interdit temporairement les outils d'IA générative après que des ingénieurs eurent collé du code confidentiel dans ChatGPT. Si un géant s'y fait prendre, imaginez une PME sans aucune balise.
Un risque désormais chiffré — et réglementé
Le rapport Cost of a Data Breach 2025 d'IBM met des chiffres sur le phénomène : au Canada, le Shadow AI ajoute en moyenne 308 000 $ au coût d'une violation de données, en plus d'augmenter la probabilité d'exposition de données sensibles. L'ombre coûte cher.
Au Québec, la Loi 25 ajoute sa couche. Coller le dossier d'un client ou d'un employé dans un outil non encadré, c'est communiquer des renseignements personnels à un tiers sans balises — et leur envoi hors Québec exige normalement une évaluation préalable. Un « petit copier-coller » peut donc, techniquement, constituer un incident de confidentialité. Difficile à expliquer à la Commission d'accès à l'information... ou à vos clients.
Pourquoi l'interdiction ne fonctionne pas
Le premier réflexe est souvent de tout bloquer. C'est compréhensible — et contre-productif. Interdire l'IA, c'est comme bloquer une rivière : l'eau trouve un chemin. Les employés basculent sur leur téléphone personnel, leur ordinateur de maison, leur compte privé. Résultat : l'usage continue, mais vous perdez le peu de visibilité qu'il vous restait — et vous vous privez, au passage, de gains de productivité bien réels.
Le problème n'a jamais été l'intelligence artificielle elle-même. C'est l'absence d'encadrement.
La solution : donner un chemin légitime
La réponse tient en trois volets. D'abord, une politique d'utilisation claire — une page suffit : quels outils sont permis, avec quelles données, et ce qui ne doit jamais sortir (données clients, dossiers d'employés, informations financières, propriété intellectuelle). Ensuite, des outils approuvés : tous les grands fournisseurs offrent des versions affaires où vos données ne servent pas à entraîner les modèles, restent couvertes par un contrat et s'intègrent à vos comptes d'entreprise. Donner un chemin légitime, c'est la façon la plus efficace de vider l'ombre. Enfin, la sensibilisation : vos équipes doivent comprendre le pourquoi, pas seulement le règlement — on en parlait déjà dans notre article sur le facteur humain en cybersécurité.
Côté TI, la visibilité complète le tableau : les outils modernes permettent de voir quels services d'IA circulent réellement dans votre entreprise et d'encadrer les plus sensibles.
Et pour reprendre l'image de notre article sur les dérives de l'IA : bien encadrée, l'intelligence artificielle reste un stagiaire brillant qu'il faut superviser. Non encadrée, c'est un stagiaire brillant qui travaille pour vous... sans avoir signé d'entente de confidentialité.
Par où commencer?
Première étape : mesurer. Un portrait honnête de l'usage réel — par un sondage sans blâme et un coup d'œil aux services qui circulent sur le réseau — révèle presque toujours plus d'IA qu'on ne le pensait. Deuxième étape : encadrer, avec la politique d'une page, deux ou trois outils approuvés et des exemples concrets de ce qui est permis ou non. Troisième étape : former, puis ajuster au fil des nouveaux outils — il en sort chaque semaine.
Pas besoin d'un chantier de six mois : une politique claire et un outil approuvé règlent déjà l'essentiel du risque.
Le mot de la fin
L'intelligence artificielle est là pour rester, et vos employés ont raison de vouloir l'utiliser. La question pour un dirigeant n'est plus « mes équipes utilisent-elles l'IA? » — la réponse est oui. C'est plutôt : « avec quelles données, dans quels outils, et qui s'en assure? ».
Chez MMO Techno, nous aidons les entreprises à sortir l'IA de l'ombre : politique d'utilisation adaptée à votre réalité, sélection et déploiement d'outils approuvés, visibilité sur l'usage réel et sensibilisation des équipes — le tout intégré à nos services TI gérés.
Vous vous demandez ce que vos équipes collent dans ChatGPT en ce moment même? Parlons-en avant qu'un incident ne réponde à la question à votre place.