Javascript is required
logo-dastralogo-dastra

Comment lutter contre le Shadow AI

Comment lutter contre le Shadow AI
Leïla Sayssa
Leïla Sayssa
27 août 2025·6 minutes de lecture

Depuis le 2 février 2025, l'AI Act impose aux fournisseurs et déployeurs de systèmes d’intelligence artificielle de s’assurer que leur personnel et les utilisateurs de ces systèmes disposent d’un niveau de connaissances suffisant et d'une bonne maîtrise de l'IA (Article 4 de l'AI Act).

Cette exigence varie en fonction des compétences techniques, de l’expérience, du niveau d’éducation et du contexte d’utilisation des systèmes d’IA, ainsi que des personnes ou groupes concernés.

Quelles sont les conséquences du non-respect des obligations en matière de formation à l’IA ?

Bien que l’obligation ait commencé à s’appliquer le 2 février 2025, son application effective par les autorités nationales compétentes ne débutera qu’en août 2025. Les États membres disposent jusqu’à cette date pour désigner leurs autorités nationales compétentes.

Bien qu’aucune sanction ne soit spécifiquement liée à l’article 4, un non-respect flagrant pourrait être souligné lors d’enquêtes réglementaires et utilisé comme facteur aggravant des violations de la loi (par exemple en cas de manque de diligence raisonnable dans la gestion des biais).
À l’inverse, proposer au moins une formation de base permettrait de mieux se défendre en cas de contrôle réglementaire ou de poursuites.

Toutefois, à compter du 2 août 2026, lorsque les dispositions relatives aux sanctions entreront en vigueur, les fournisseurs et déployeurs de systèmes d’IA pourront engager leur responsabilité civile si l’absence de formation adéquate entraîne un préjudice pour les consommateurs, les partenaires commerciaux ou d’autres tiers.

Que peuvent faire les organisations dès maintenant ?

Développer la maîtrise de l'IA au sein d'une organisation devient un levier essentiel de gouvernance. Il ne s’agit pas simplement de former les équipes à manipuler des outils, mais de leur donner une compréhension claire des enjeux suivants :

  • fonctionnement et limites des systèmes d’IA,

  • risques de biais, d’erreurs et d’hallucinations,

  • conséquences en matière de protection des données, de sécurité et de non-discrimination,

  • bonnes pratiques adaptées à chaque métier et niveau de responsabilité.

Le "Living repository" du bureau de l'IA, s’inscrit dans une initiative visant à soutenir la mise en œuvre de l’article 4 de l’AI Act. Bien que la reproduction des pratiques recensées dans ce référentiel ne confère pas automatiquement une présomption de conformité, celui-ci vise à encourager l’apprentissage et les échanges entre différents acteurs de la chaîne.

Approches pratiques pour améliorer la maîtrise de l'IA

  • Évaluer les besoins en formation à l’IA : Analysez les programmes existants afin d’identifier les éventuelles lacunes en matière de connaissances sur l’IA.

  • Adopter une approche différenciée : Tous les employés n’ont pas besoin du même niveau de compétence en IA. Mettez en place une formation de base pour l’ensemble du personnel, complétée par des modules plus avancés ou adaptés à certains rôles selon une progression ciblée.

    • Par exemple: formations spécifiques selon les rôles :

      • Développeurs : apprendre à détecter les biais dans le code.

      • Dirigeants : savoir interpréter un rapport de risques liés à l’IA.

      • Équipes commerciales : comprendre ce qu’il ne faut pas promettre aux clients sur les capacités de l’IA

  • Réaliser des simulations : mener des exercices pratiques : « Notre chatbot vient de divulguer des données clients — que faisons-nous ? »

  • Documenter les initiatives mises en place : Conservez des traces des formations et ressources proposées pour justifier la conformité en cas de contrôle.

Risque d'une mauvaise maîtrise de l'IA : le Shadow AI

La généralisation des outils d’intelligence artificielle (IA) au sein des organisations, sans une bonne maîtrise de l'IA, s'accompagne d'un phénomène préoccupant : le Shadow AI, c’est-à-dire l’usage non autorisé d’outils d’IA par les collaborateurs, en dehors de toute supervision des équipes IT, juridiques ou de conformité.

Le Shadow AI, qui reprend les problématiques du Shadow IT en ajoutant des risques spécifiques à l'IA, est le signal précoce d’un décalage entre la vitesse d’innovation en matière d’IA et la gouvernance organisationnelle.

En pratique, des collaborateurs peuvent par exemple utiliser un chatbot pour traiter des informations confidentielles ou un générateur de contenu pour rédiger des documents internes, sans se rendre compte des conséquences juridiques et techniques de ces usages.

Parmi les risques, nous pouvons citer :

  • la fuite de données sensibles via des outils externes non sécurisés ;

  • des transferts de données vers des territoires étrangers, sans contrôle adéquat ;

  • une exposition accrue aux violations de données et aux litiges ;

  • des atteintes à la réputation en cas d’incidents publics ;

Exemples concrets de risques liés à une IA non maîtrisée

  • Incident de sécurité interne : une entreprise comme Samsung a vu son code propriétaire fuiter après que des ingénieurs l’ont partagé avec ChatGPT.

  • Déficits de responsabilité : un grand cabinet d’avocats a dû publier des lignes directrices sur sa maîtrise de l'IA après que certains avocats n’ont pas pu justifier leurs sources lors de recherches juridiques assistées par IA.

Evaluer et maîtriser le Shadow AI

  1. Lancer un sondage confidentiel avec des questions clés (Quels outils d’IA utilisez-vous ? Quels types de données partagez-vous ? Comment intégrez-vous les résultats de l’IA dans vos livrables ?). Prévoir une période de divulgation sans sanction.

  2. Dialoguer avec les départements : rencontrer les responsables pour identifier les outils utilisés, les processus d’approbation, et la valeur perçue de l’IA.

  3. Mettre en place des zones d’accès graduées :

    • Zone verte : données non sensibles, outils pré-approuvés ;

    • Zone jaune : revue préalable nécessaire ;

    • Zone rouge : interdiction stricte (ex. systèmes entièrement autonomes de prise de décision).

      L’accès à certaines zones doit être conditionné à une formation préalable obligatoire.

  4. Fournir aux collaborateurs des outils approuvés et sécurisés afin de limiter le recours aux solutions non autorisées ;

  5. Démarrer par un pilote : sélectionner un département avec des « champions IA » pour établir de bonnes pratiques et sensibiliser leurs collègues, puis élargir progressivement à l’ensemble de l’organisation.

  6. Impliquer les juristes et les responsables conformité dès la conception des projets ;

  7. Développer des outils d’analyse : suivre l’adoption, la conformité et l’impact business de l’IA dans l’organisation.

En bref: ignorer les obligations de maîtrise de l'IA au sein de l'organisation, c’est s’exposer à plusieurs dangers majeurs telles que des sanctions potentielles, un déficit de gouvernance et un terrain fertile pour le Shadow AI. Les organisations qui anticipent et agissent dès aujourd’hui se dotent d’un véritable bouclier juridique et stratégique, réduisent leurs risques et gagnent un avantage compétitif fondé sur la confiance.

A propos de l'auteur
Dastronaut
Leïla Sayssa
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.