Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.
ChatGPT et l’IA générative ont été, en 2022, puis 2023, les outils qui ont connu l’adoption la plus rapide dans l’histoire de l’humanité. Mais la différence est énorme entre les utiliser pour construire son programme de visite en Andalousie l’été prochain et s’appuyer dessus pour construire un argumentaire juridique dans son entreprise.
Les différences sont liées aux risques d’erreur et à la notion de responsabilité. Utiliser des IA non approuvées ou leur faire aveuglement confiance pour des tâches professionnelles est non seulement absurde, mais une erreur grave. Selon une étude publiée par Lenovo en avril 2026, "70 % de l’IA en entreprise échappe à tout contrôle, générant des risques cachés, des coûts et un retour sur investissement plus lent".
Quelles données envoie-t-on sur quels serveurs ? Sont-elles à leur tour analysées, partagées, divulguées ? Quelqu’un peut-il "espionner" le détail de nos questions ? Et en déduire les sujets sur lesquels nous travaillons ? L’IA est un outil. Un technicien d’Airbus est-il autorisé à utiliser son propre outil pour serrer les boulons de l’avion qui vous transportera ? Certainement pas ! Il en est de même pour l’IA générative.
Lire aussi : Quand l’expert du document reprend ses droits sur l'IA
Commençons par lister quelques exemples d’usage de cette IA fantôme. Et je crois que certains lecteurs se sentiront visés…
- Usage personnel d’IA générative grand public sur poste pro
Un collaborateur utilise son compte ChatGPT/Claude/Gemini gratuit pour traiter des tâches professionnelles, sans cadre contractuel ni garantie de non-réutilisation des données. Exemple : un commercial colle le compte-rendu d’un appel client (avec noms, prix négociés, conditions) dans ChatGPT pour en faire un résumé envoyé en interne.
- Extensions de navigateur et plugins IA non approuvés
Installation d’extensions Chrome/Edge dopées à l’IA (résumé de pages, réécriture, prise de notes) qui captent l’intégralité du contenu consulté ou saisi. Exemple : un manager installe un plugin « AI meeting notetaker » qui rejoint automatiquement ses réunions Teams/Zoom et envoie les transcriptions à un service tiers non audité.
- Code généré par IA utilisé sans vérification ("vibe coding"/Shadow DevAI)
Des développeurs utilisent Copilot, Cursor ou des LLM publics pour générer du code, parfois en y collant du code propriétaire pour obtenir de l’aide à sa correction.
- Automatisations "no-code/low-code" avec briques IA
Création de workflows via Zapier, Make, Power Automate ou n8n intégrant des appels à des API d’IA, en dehors de toute gouvernance. Exemple : une équipe marketing branche un Zap qui envoie automatiquement chaque lead entrant (données RGPD) vers l’API OpenAI pour qualification, sans DPA ni analyse d’impact.
- Agents et GPTs personnalisés créés par les métiers
Les utilisateurs créent des "Custom GPTs", assistants Copilot Studio ou agents spécialisés en y intégrant des documents internes comme base de connaissance. Exemple : un responsable RH crée un GPT personnalisé en y uploadant la grille salariale, le règlement intérieur et des dossiers individuels pour s’en faire un assistant.
Une politique claire et formalisée pour éviter les usages fantômes
"Nul n’est censé ignorer la loi" est un principe juridique fondamental. "Nul n’est censé ignorer votre politique d’utilisation de l’IA" en est le dérivé qui s’appliquera dans votre organisation… Encore faut-il que cette politique existe ! En parcourant les guides et normes internationales, vous pouvez rédiger une politique de plusieurs dizaines de pages… Que personne ne lira ni n’appliquera. Alors, choisissons l’efficacité. Deux ou trois pages sont suffisantes pour répondre à quelques questions précises (voir encadré). Et il faut aller vite ! Car, comme l’explique Sridhar Lyengar, managing director chez Zoho, "un collaborateur qui utilise des outils agiles et puissants dans sa vie privée va de moins en moins tolérer les processus internes lourds ou les logiciels dépassés, perçus comme un frein".
Lire aussi : Rapprocher les professionnels de l’information et de la donnée avec des jeux sérieux et des mises en situation
Mais la confiance n’exclut pas le contrôle
Faire confiance à ses salariés pour respecter une politique claire et formalisée des usages de l’IA est le point d’entrée incontournable. Mais leur faire totalement confiance, sans aucun moyen de contrôle, risque de se révéler quelque peu naïf.
Quelques outils et méthodes seront donc nécessaires pour s’assurer de leur compréhension et du respect des règles édictées. Ces outils et techniques ne sont pas exclusifs, ils se combinent les uns aux autres, et répondent ainsi aux trois axes essentiels à surveiller : détecter, prévenir et canaliser. L’ensemble peut être piloté via un outil de supervision de la gouvernance, tel que SmartCockpit.
- Découverte, inventaire et analyse du trafic réseau
Déployer un Cloud Access Security Broker (CASB) et/ou un proxy/SWG (Secure Web Gateway) pour identifier les flux sortants vers des services d’IA générative connus (ChatGPT, Claude, Gemini, Copilot, Mistral, Perplexity, etc.). Coupler cela à une analyse des logs DNS/firewall permet de cartographier les usages réels et de repérer les pics anormaux.
- LP (Data Loss Prevention) ciblé sur les prompts
Mettre en place des règles du navigateur ou du proxy pour détecter et bloquer l’envoi de données sensibles dans les prompts : PII, code source propriétaire, données clients, secrets/API keys, données réglementées (RGPD, secret médical, données financières). Microsoft Purview, Netskope, Zscaler ou Forcepoint proposent désormais des modules dédiés à l’IA générative.
- Politique d’usage acceptable (AUP) et liste blanche d’outils approuvés
Formaliser une politique d’usage de l’IA (voir ci-dessus) qui précise les outils autorisés, les types de données interdits en input, les cas d’usage permis et les obligations de validation humaine. Cette politique doit être adossée à un programme de sensibilisation récurrent, car beaucoup de shadow AI relève d’un manque d’information plus que d’une volonté de contournement. Référence : ISO/IEC 42001 (clauses sur la gouvernance).
- Contrôle des identités et des accès
Centraliser l’authentification aux outils SaaS via Single Sign-On (SSO) et configurer des politiques d’accès qui bloquent les inscriptions à des services d’IA non approuvés avec l’e-mail d’entreprise. Compléter avec une supervision des dépenses (cartes corporate, notes de frais) pour repérer des abonnements individuels à des services IA payants, signal classique de shadow AI.
- Offre d’alternatives sanctionnées ("paved road")
Le contrôle le plus efficace contre le shadow AI reste de proposer une alternative officielle, performante et facilement accessible : instance d’entreprise de ChatGPT/Claude/Copilot avec garanties contractuelles (no-training, isolation des données, conformité RGPD), gateway IA interne, ou plateforme RAG sur les données internes. Sans cela, les contrôles purement restrictifs poussent les utilisateurs à contourner via leurs équipements personnels (BYOD), zone aveugle pour la DSI.
Détecter, informer, encadrer, puis contrôler (et même éventuellement sanctionner) : voici les étapes à suivre dès aujourd’hui pour mettre en place une gouvernance de l’intelligence artificielle, avant qu’il ne soit trop tard.
Les 7 paragraphes d’une politique des usages de l’IA simple
- Objet et portée : de quoi s’agit-il, à qui est-elle destinée ?
- Quels sont les outils d’IA autorisés et ceux qui sont interdits ?
- Quels sont les usages autorisés de l’IA et ceux qui sont interdits ?
- Qui est responsable de l’interprétation de cette politique et comment le/la contacter ?
- Avez-vous prévu des formations (obligatoires ?) pour l’ensemble des salariés ?
- Vous constatez un incident : quelle est la démarche à suivre ?
- Fréquence de mise à jour de cette politique et comment accéder à la dernière version à jour.
Philippe Nieuwbourg
