Le Shadow AI est déjà dans votre entreprise. Voici comment le gérer.

Une boulangère de Gand nous racontait récemment un moment qui l'a fait réfléchir. Son assistante à temps partiel avait rédigé un superbe e-mail d'excuses pour une cliente dont le gâteau d'anniversaire était arrivé en retard. L'e-mail était si bien tourné — trop bien, en fait. La boulangère a demandé comment elle l'avait écrit. « Oh, j'ai utilisé ChatGPT. Je le fais toujours. »

Cette assistante avait collé le nom de la cliente, son adresse, ses notes d'allergie et son historique de commandes dans un compte ChatGPT personnel pour trouver le bon ton. Personne ne lui avait dit que c'était interdit. Personne ne lui avait dit que c'était permis. Elle essayait simplement de bien faire son travail.

C'est ça, le shadow AI. Et si vous dirigez une petite entreprise en Europe, cela se passe presque certainement déjà sous votre toit.

Les 45 % que vous devez connaître

Une enquête récente de Gusto a révélé que 45 % des salariés utilisent des outils d'IA au travail sans en parler à leur employeur. Environ un tiers d'entre eux ont déjà collé des données de leur entreprise dans des modèles d'IA publics. Un sur quatre a partagé des informations financières ou commerciales. L'article du Harvard Business Review du 14 avril parlait de « la demande cachée d'IA dans votre entreprise » — une vague silencieuse de salariés qui utilisent Claude, ChatGPT, Gemini et une douzaine d'autres outils pour aller plus vite, le plus souvent sans que personne ne le remarque.

Pour une PME, les enjeux sont concrets et personnels. Vous n'avez pas une équipe IT de cinquante personnes. Vous n'avez probablement personne dont le titre inclut le mot « conformité ». Et pourtant, les risques atterrissent sur votre bureau.

Quatre risques qui paraissent petits jusqu'à ce qu'ils ne le soient plus

Exposition au RGPD. Quand votre comptable dépose une facture client dans un outil d'IA gratuit pour « résumer les lignes », cette facture est une donnée personnelle au sens du RGPD. Certains outils gratuits entraînent leurs modèles sur ce que vous soumettez. D'autres conservent les requêtes indéfiniment. Une autorité de protection des données n'acceptera pas « je ne savais pas » comme défense, et les amendes sont calculées sur le chiffre d'affaires global de l'entreprise.

Obligations de l'AI Act. À partir du 2 août 2026, les obligations qui pèsent sur les déployeurs au titre de l'AI Act entrent pleinement en vigueur. Si votre personnel utilise un système d'IA pour trier des candidatures, évaluer la solvabilité de clients ou prendre d'autres décisions qui affectent des personnes, vous avez des obligations légales — que vous ayez conçu l'outil ou non. Beaucoup de dirigeants de PME pensent encore que l'AI Act ne concerne que les entreprises qui construisent de l'IA. Il concerne aussi celles qui l'utilisent, dans certains cas précis.

Qualité inégale. Quand cinq salariés utilisent cinq outils d'IA différents avec cinq styles de prompts différents, vos e-mails clients ne ressemblent plus à votre marque. Vos devis varient fortement. Vos réponses au support donnent l'impression de venir de cinq entreprises différentes. Vous perdez la seule chose qu'une petite entreprise a de plus qu'une grande : une voix distincte et cohérente.

Apprentissage perdu. Voici le risque le plus discret. Quand les salariés cachent leur usage de l'IA, vous n'apprenez jamais pour quelles tâches l'IA fonctionne bien dans votre entreprise précisément. Les schémas qui pourraient vous faire gagner dix heures par semaine restent invisibles. BBVA, l'une des plus grandes banques d'Europe, l'a compris et a cessé de faire comme si le shadow AI n'existait pas. Ils en ont fait un déploiement structuré et recensent aujourd'hui 4 800 outils d'IA internes construits par leurs propres salariés. Gain de temps : deux à cinq heures par salarié, par semaine.

Votre boulangerie n'est pas BBVA. Mais le principe tient : un usage d'IA invisible, c'est du signal gaspillé.

La politique d'une page qui fonctionne vraiment

Oubliez le modèle de politique d'entreprise de 40 pages. Voici ce qu'une politique de PME doit couvrir, et cela tient sur une face de A4.

Liste verte. Nommez les outils que vous avez approuvés. Pour la plupart des PME, la liste est courte : une IA généraliste (ChatGPT Team, Claude Pro, ou une option européenne comme Mistral Le Chat Pro), un preneur de notes de réunion, et les fonctions d'IA intégrées aux outils que vous payez déjà (Microsoft 365 Copilot, Gemini dans Google Workspace, l'add-on IA de votre CRM).

Liste rouge. Nommez ce qui est interdit. Clairement. La règle la plus simple : ne collez jamais de données clients, de contrats fournisseurs, de chiffres financiers ou d'informations personnelles de salariés dans un outil d'IA qui n'est pas sur la liste verte. Pas d'exception « juste pour cette fois ».

Le test du copier-coller. Avant de coller quoi que ce soit dans un outil d'IA, les salariés se posent une question : « Serais-je à l'aise si ce texte apparaissait dans une réponse générée par l'IA d'un concurrent la semaine prochaine ? » Si non, on ne colle pas. Si peut-être, on réécrit pour enlever les détails identifiants.

À qui demander. Un seul nom et un e-mail. Si un salarié veut essayer un nouvel outil, il envoie un message. Vous répondez dans la journée. Pas de formulaire, pas de comité.

Le registre. Un document partagé — un Google Sheet suffit — où les salariés ajoutent les outils d'IA qu'ils utilisent et pour quelles tâches. Mise à jour mensuelle. Cela devient votre véritable cartographie d'IA.

Voilà. Cinq sections. Une page. Signée par chaque salarié.

Comment remplacer le shadow AI par une IA encadrée

Interdire les outils ne fonctionne pas. Si votre équipe obtient de meilleurs e-mails avec ChatGPT, elle utilisera ChatGPT — politique ou pas. La solution est de lui donner quelque chose d'équivalent ou de mieux, mais que vous contrôlez vraiment.

Commencez par un compte équipe payant. ChatGPT Team coûte 25 € par utilisateur et par mois. Claude Team est dans la même fourchette. Les deux offrent des garanties de protection des données : vos prompts ne sont pas utilisés pour l'entraînement, les conversations sont chiffrées, et vous avez une console d'administration. Cette seule étape règle le problème du copier-coller dans environ 80 % des cas de shadow AI.

Officialisez un preneur de notes. Les réunions sont la deuxième zone de shadow AI. Choisissez-en un — Fireflies, tl;dv, Otter, ou l'option intégrée de votre plateforme visio — et faites-en la valeur par défaut. Paramétrez-le pour supprimer les transcriptions après 90 jours, sauf marquage explicite de conservation.

Utilisez les fonctions d'IA que vous payez déjà. La plupart des PME découvrent qu'elles possèdent déjà la moitié des capacités d'IA dont elles ont besoin. Microsoft 365 Copilot, Gemini dans Workspace, l'assistant IA de HubSpot, Pipedrive AI — tous tournent sur des contrats que vous avez déjà signés, avec des conditions de traitement des données que vous avez déjà acceptées. Activez-les. Formez votre équipe. La moitié du problème du shadow AI disparaît le jour où vous réalisez que vos salariés payaient personnellement ce que l'entreprise possédait déjà.

Créez deux ou trois prompts partagés. Un bon prompt « rédige une réponse client » pour votre métier, sauvegardé dans un document partagé, résout plus de problèmes de cohérence qu'une charte de style. Faites-le écrire par votre équipe autour d'un café. Elle s'en servira parce que c'est la sienne.

Le contexte européen : pourquoi c'est encore plus important ici

Les petites entreprises en Europe sont dans une position particulière. Vous opérez sous le régime de protection des données le plus strict au monde (RGPD), vous allez opérer sous le régime d'IA le plus strict au monde (AI Act), et la plupart des outils d'IA que vous utilisez sont construits par des entreprises américaines qui ne comprennent pas toujours l'un ou l'autre cadre par défaut.

La bonne nouvelle : l'Europe n'essaie pas d'écraser les petites entreprises avec ça. L'AI Act contient des dispositions explicites pour les PME — accès prioritaire aux bacs à sable réglementaires, formations gratuites à la conformité, frais proportionnés, et réductions automatiques de 75 % des amendes pour les micro-entreprises. L'AI Act Service Desk de l'UE est gratuit et peut vous éviter les 25 000 à 50 000 € de frais juridiques que vous dépenseriez autrement à déterminer si votre usage est à haut risque.

La mauvaise nouvelle : rien de tout cela ne vous aide si vous ne savez pas déjà quelle IA vos salariés utilisent.

Ce qu'il faut faire cette semaine

Si vous êtes arrivé jusqu'ici en vous disant « bon, je devrais sans doute faire quelque chose » — voici la version en 60 minutes.

Demain matin, envoyez un seul message à votre équipe : « J'aimerais savoir quels outils d'IA chacun utilise pour le travail. Aucun jugement, simple curiosité. Répondez avec une liste — comptes personnels ou professionnels, tout ce qui compte. Je m'en servirai pour décider de ce qu'on devrait standardiser. »

Cet unique e-mail fait trois choses. Il dévoile la vraie carte d'IA de votre entreprise. Il indique que l'usage d'IA est bienvenu, pas caché. Et il vous donne la liste dont vous avez besoin pour rédiger une politique d'une page qui colle vraiment à ce qui se passe chez vous.

Ensuite, la semaine suivante, choisissez un compte équipe payant (ChatGPT, Claude ou une option européenne) et activez-le pour tous ceux qui payaient déjà personnellement. Vous gagnerez en bonne volonté, en qualité de traitement des données, et probablement en facture totale.

Chez Cresly, nous aidons les petites entreprises européennes à devenir AI-ready sans le casse-tête de la conformité. Notre AI Readiness Scan commence par un audit gratuit de votre site web et montre à quel point votre activité est déjà compatible avec l'IA. Si vous voulez un second regard sur votre politique IA ou votre pile d'outils actuelle, c'est une conversation que nous aurons avec plaisir. L'ombre n'est pas obligée de rester dans l'ombre.