Ce que tes équipes font déjà avec l'IA, que tu le veuilles ou non
Un collaborateur qui colle un contrat client dans ChatGPT pour en tirer un résumé. Une RH qui passe des CV dans un outil gratuit pour gagner du temps sur le tri. Un commercial qui reformule une offre avec un assistant en ligne. Rien de malveillant là-dedans. Juste des gens qui cherchent à travailler plus vite, avec les moyens qu'ils trouvent.
Le terme "shadow IA" fait penser à quelque chose de sombre, presque intentionnel. Mais ce que j'observe ressemble davantage à un réflexe qu'à une transgression. Personne ne se dit "je vais contourner la politique de sécurité". La plupart du temps, il n'y a tout simplement pas de politique à contourner. Et c'est là que la situation devient intéressante d'un point de vue stratégique. Parce que le problème n'est pas que les gens utilisent l'IA. Le problème, c'est qu'ils le font dans un vide total de cadre, sans savoir ce qu'ils peuvent ou ne peuvent pas y mettre, ni où partent les données qu'ils saisissent.
Fais le calcul toi-même. Combien de personnes dans ton équipe ont un compte ChatGPT personnel. Même sur 20 collaborateurs, si 5 l'utilisent une fois par semaine avec des données liées à ton activité, ça fait 260 interactions par an où des informations sortent de ton périmètre sans aucune traçabilité. Multiplie par le nombre de documents, noms de clients, chiffres internes qui transitent. Le volume n'est pas anodin, même dans une structure de 15 personnes.
La LPD révisée ne fait pas de distinction entre IA autorisée et IA sauvage
Depuis le 1er septembre 2023, la Loi fédérale sur la protection des données révisée s'applique en Suisse. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a clarifié les obligations. Tu es responsable du traitement des données personnelles que ton entreprise manipule, y compris quand un collaborateur les transmet à un service tiers comme OpenAI, Gemini ou n'importe quel autre outil en ligne.
Ce point mérite qu'on s'y arrête. La LPD ne distingue pas entre un outil que tu as officiellement déployé et un outil qu'un employé utilise de sa propre initiative. Si des données personnelles de clients, de candidats ou de partenaires finissent sur des serveurs hors Suisse sans base légale ni mesures de protection adéquates, c'est ton entreprise qui porte la responsabilité. Pas le collaborateur. Pas OpenAI.
La question de la confidentialité des données et de l'hébergement en Suisse devient alors très concrète. Est-ce que tu sais aujourd'hui où vont les données que tes équipes saisissent dans des outils IA gratuits. Est-ce que tu as vérifié les conditions d'utilisation de ces services, notamment les clauses sur la réutilisation des données pour l'entraînement des modèles. La plupart des versions gratuites de ces outils se réservent ce droit. Ce qui signifie que les données de tes clients pourraient servir à améliorer un modèle accessible à tout le monde.
Je ne dis pas ça pour faire peur. Je le dis parce que c'est un angle mort fréquent. Et parce que la LPD prévoit des sanctions qui peuvent toucher personnellement les dirigeants, avec des amendes allant jusqu'à 250 000 CHF pour les personnes physiques responsables.
Interdire l'IA dans ta boîte, c'est reporter le problème de deux ans
Il y a une tentation compréhensible face au shadow IA. Verrouiller. Bloquer les accès. Envoyer un mail à toute l'équipe pour dire que l'utilisation de ChatGPT est interdite jusqu'à nouvel ordre. Ça rassure sur le moment. Ça donne l'impression de reprendre le contrôle.
Mais regarde ce qui se passe ensuite. Les gens continuent, juste sur leur téléphone personnel. Ou avec un autre outil que tu n'as pas identifié. L'interdiction pure ne supprime pas l'usage, elle le rend invisible. Et un usage invisible est bien plus dangereux qu'un usage encadré, parce que tu perds toute capacité à savoir ce qui circule et où.
D'un point de vue stratégique, interdire l'IA aujourd'hui revient à dire à ton équipe que tu refuses un outil que la majorité du marché adopte. Dans deux ans, tu te retrouves avec des collaborateurs frustrés, un retard opérationnel, et le même problème de gouvernance à résoudre, mais avec plus d'urgence et moins de marge de manœuvre. La question n'est donc pas "faut-il autoriser l'IA" mais "à quel moment tu investis dans un cadre qui te protège tout en laissant ton équipe avancer".
C'est un arbitrage de timing, pas de principe. Et comme beaucoup d'arbitrages de timing en entreprise, le coût de l'attente est rarement visible avant qu'il soit trop tard. Tu ne verras pas la fuite de données le jour où elle arrive. Tu la découvriras quand un client posera la question, ou quand ton assurance refusera de couvrir un incident lié à un outil non référencé.
Ce que gouverner l'IA veut dire quand on est 20 et pas 2000
Dans les grandes structures, la gouvernance IA passe par des comités, des chartes de 40 pages, des outils de monitoring réseau. Rien de tout ça n'a de sens dans une entreprise de 15 à 50 personnes. Et c'est tant mieux, parce que la taille te donne un avantage que les grands groupes n'ont pas. Tu peux parler directement aux gens. Tu peux poser un cadre simple, le communiquer en une réunion, et l'ajuster au fil de l'eau.
Gouverner l'IA dans une structure comme la tienne, ça peut commencer par trois choses. D'abord, une liste claire de ce qui ne doit jamais entrer dans un outil IA externe. Données personnelles de clients, informations financières non publiques, documents sous NDA. Ensuite, un ou deux outils validés, avec des comptes professionnels dont tu maîtrises les paramètres de confidentialité. Les versions payantes de la plupart des assistants IA offrent des garanties contractuelles sur la non-réutilisation des données, ce qui change radicalement la donne par rapport aux versions gratuites. Enfin, une personne référente dans l'équipe, pas forcément technique, qui centralise les questions et les retours d'usage.
Ce n'est pas un projet à 50 000 CHF. C'est une décision de direction qui prend une demi-journée à formaliser et une heure à communiquer. Le vrai frein, ce n'est pas le budget ni la complexité. C'est de s'asseoir et de décider que c'est maintenant qu'on s'en occupe, avant que le vide de cadre ne produise un incident qu'on aurait pu éviter.

Transformer l'IA clandestine en pratique assumée, sans tout casser
Il y a quelque chose de contre-intuitif dans la gestion du shadow IA. Les collaborateurs qui utilisent l'IA en douce sont souvent les plus motivés, les plus curieux, ceux qui cherchent activement à améliorer leur travail. Les sanctionner ou les ignorer, c'est gâcher une énergie qui pourrait servir toute l'entreprise.
Une approche qui me semble plus intéressante consiste à rendre l'usage visible et partagé. Demander à chacun ce qu'il utilise, pour quoi, et ce que ça lui apporte. Pas dans un esprit de contrôle, mais d'inventaire. Tu vas probablement découvrir des usages auxquels tu n'avais pas pensé, et d'autres qui posent un vrai problème de confidentialité. Les deux informations ont de la valeur.
À partir de là, tu peux construire une politique d'utilisation de l'IA qui reflète la réalité de ton équipe plutôt qu'un idéal théorique. Un audit de maturité IA peut aider à cartographier ces usages et à identifier les zones de risque, mais même sans accompagnement externe, l'exercice de transparence interne a déjà un effet. Il légitime les bons usages, il met en lumière les mauvaises pratiques, et il ouvre une conversation que beaucoup d'équipes attendent sans oser la lancer.
Le passage du shadow à la lumière ne se fait pas en un jour. Mais il commence toujours par la même chose. Poser la question ouvertement, sans jugement, et écouter ce qui revient. C'est un geste de management avant d'être un projet technique.
Où le cadre IA s'insère dans ta stratégie des 3 prochaines années
Si tu prends du recul, la question du shadow IA n'est qu'un symptôme d'une transition plus large. L'IA va s'intégrer dans de plus en plus d'outils que ton équipe utilise déjà. Ton CRM, ta suite bureautique, tes outils de gestion de projet, tous embarquent ou embarqueront des fonctions d'intelligence artificielle. La frontière entre "utiliser l'IA" et "utiliser ses outils de travail" va s'effacer progressivement.
Dans ce contexte, investir maintenant dans un cadre de gouvernance, même minimal, c'est poser une fondation qui va servir pendant des années. Pas parce que le cadre restera figé, mais parce que l'habitude de réfléchir à ce qu'on met dans l'IA, et comment, deviendra un réflexe collectif. C'est la même logique que pour la sécurité informatique il y a quinze ans. Les entreprises qui ont pris le sujet tôt n'ont pas eu besoin de rattraper dans l'urgence quand les premières attaques sont arrivées.
Je ne sais pas exactement à quelle vitesse l'IA va transformer ton secteur. Personne ne le sait avec certitude. Mais ce que j'observe, c'est que les entreprises qui posent un cadre clair aujourd'hui se donnent la liberté d'aller plus vite demain. Celles qui attendent se retrouvent coincées entre la peur du risque et la pression de la concurrence. Et c'est une position inconfortable pour prendre de bonnes décisions.
L'enjeu n'est pas de devenir une entreprise "IA-first" ou de déployer des agents IA partout. L'enjeu, c'est d'avoir suffisamment de visibilité sur ce qui se passe dans ta propre boîte pour pouvoir arbitrer sereinement. Entre ce qu'on autorise, ce qu'on encadre, et ce qu'on refuse. Entre ce qu'on fait maintenant et ce qu'on planifie pour dans un an. C'est ça, la gouvernance IA à l'échelle d'une entreprise de 20 ou 40 personnes. Pas un programme, pas un comité. Une posture de direction qui dit "on y va, mais on sait où on met les pieds".


