Le Shadow AI sera votre prochaine fuite

Le risque que vous avez approuvé n'est pas celui que vous courez

La plupart des conseils d'administration se représentent encore le risque lié à l'IA comme une décision qu'ils prennent: quel modèle acquérir sous licence, quel fournisseur croire, quel contrat signer. Cette représentation est désormais erronée. L'exposition qui compte le plus est celle que personne n'a approuvée. Le rapport 2026 de Verizon sur les violations de données révèle que l'usage régulier de l'IA sur les appareils d'entreprise a triplé en douze mois, passant de 15 à 45 pour cent des salariés, et que deux tiers de ces personnes accèdent aux outils via des comptes personnels totalement hors du contrôle de l'entreprise.

Voilà le Shadow AI: des logiciels puissants adoptés plus vite qu'aucune politique ne peut suivre. C'est aujourd'hui la troisième action interne non malveillante la plus signalée par les systèmes de prévention des pertes de données, soit une multiplication par quatre en une seule année. Les personnes concernées ne sont pas négligentes. Ce sont des salariés productifs qui résolvent de vrais problèmes avec le meilleur outil à leur portée. C'est précisément pour cela qu'une simple note de service ne l'arrêtera pas.

Votre code source est la première chose à fuir

Quand ce même rapport classe ce que les salariés collent réellement dans les outils d'IA publics, le code source devance largement toutes les autres catégories, loin devant les images et les données structurées. La lecture brutale de ce constat est la suivante: un code source dans un modèle public, c'est de la propriété intellectuelle dans le pipeline d'entraînement d'un tiers. Pour une entreprise dont l'avantage repose sur son code, sa logique tarifaire ou ses dossiers clients, ce n'est pas une hypothèse. C'est un transfert quotidien et invisible des actifs que vous êtes chargé de protéger.

Le préjudice ne s'annonce pas. Pas de notification de violation, pas de demande de rançon, pas de panne spectaculaire. Un modèle devient simplement un peu plus apte à reproduire ce que vous pensiez vous appartenir, et un jour la requête d'un concurrent restitue quelque chose qui vous semble familier. À ce stade, la question n'est plus de savoir comment récupérer les données. Elle est de savoir si vous pouvez seulement prouver qu'elles sont parties.

Le régulateur vous a déjà dit quoi faire

Le 15 juin 2026, le Contrôleur européen de la protection des données a recadré le Shadow AI comme un problème de conformité, et non comme une affaire de support technique. Les données saisies dans des outils non approuvés tombent dans un angle mort réglementaire: aucun accord sur la base légale du traitement, aucune clarté sur la conservation, aucune garantie pour les transferts internationaux, aucune transparence sur le fait qu'elles entraînent ou non un modèle. Sous le RGPD, un angle mort n'est pas une défense. C'est un constat ouvert qui attend un auditeur.

Ce que le CEPD n'a pas recommandé, c'est une interdiction. Il affirme que la réponse est une gestion active: définir quels usages de l'IA sont autorisés, classifier les données qui ne doivent jamais sortir, imposer des contrôles techniques, et offrir aux équipes un outil approuvé assez bon pour qu'elles cessent de se tourner vers celui qui ne l'est pas. La prohibition échoue parce qu'elle ne change pas l'incitation. Elle ne fait que déplacer le même comportement là où vous ne pouvez plus le voir.

À lire ensuite: Votre agent IA peut désormais dépenser votre argent. Le plus difficile, c'est tout ce qui se passe ensuite.  ·  Un tribunal vient de juger que les réponses de votre IA sont vos propres mots. La responsabilité vous incombe désormais.