Selon Capital, près de deux salariés sur trois utilisent des outils d’intelligence artificielle comme ChatGPT, Claude ou Gemini au travail sans l’aval de leur employeur, un phénomène baptisé « Shadow AI ». Cette pratique, souvent perçue comme anodine, expose pourtant les entreprises à des risques majeurs en matière de confidentialité, de cybersécurité et de conformité réglementaire.

Ce qu'il faut retenir

  • 61 % des collaborateurs utilisant l’IA en entreprise recourent à des outils non autorisés au moins une fois par semaine, selon une étude Microsoft France publiée en 2026.
  • L’envoi de données sensibles (contrats, fichiers RH, code source) vers des IA grand public peut entraîner des fuites d’informations ou des sanctions disciplinaires.
  • Les entreprises peuvent bloquer l’accès à ces outils, mais la solution la plus efficace reste de proposer des alternatives internes sécurisées.
  • Le RGPD et la loi sur le secret des affaires encadrent strictement l’utilisation de l’IA, avec des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires.
  • Les employeurs s’appuient sur l’obligation de loyauté des salariés (article L.1222-1 du Code du travail) pour justifier des sanctions en cas d’usage non autorisé.

Une pratique généralisée malgré les risques

Le recours à des outils d’IA non validés par l’entreprise, ou « Shadow AI », s’est largement répandu dans les organisations. Selon une étude Microsoft France publiée en 2026, 61 % des collaborateurs utilisant l’IA en entreprise se tournent vers des solutions comme ChatGPT, Claude ou Gemini via des comptes personnels au moins une fois par semaine. Ce chiffre illustre une tendance forte, confirmée par Nicolas Gaudemet, Chief AI Officer de Onepoint : « Il y a près de 50 % des Français qui utilisent chaque mois ChatGPT. Forcément, ces Français travaillent aussi. Ils sont dans l’entreprise et vont se connecter de temps en temps à ChatGPT pour certains usages », déclare-t-il.

Cette adoption massive ne se limite pas à OpenAI. Nicolas Gaudemet souligne également la popularité de Gemini, intégré progressivement dans les outils Google, ainsi que de Claude ou Codex chez les développeurs. Pour Jean-Noël Chaintreuil, expert en IA appliquée aux ressources humaines, ce phénomène reflète un décalage entre les besoins des salariés et les outils mis à leur disposition : « Quand un salarié contourne l’outil maison, c’est presque toujours parce que la solution officielle le ralentit. On sanctionne le symptôme en croyant traiter la cause ».

Des outils grand public peu adaptés aux données sensibles

Si des solutions comme Microsoft Copilot s’imposent dans les entreprises, c’est notamment parce qu’elles s’intègrent naturellement aux suites bureautiques existantes. Nicolas Gaudemet explique : « Microsoft est déjà très présent dans les entreprises avec la suite Office. Copilot est une voie d’entrée naturelle parce qu’il s’ancre dans les e-mails, les réunions ou les espaces SharePoint ». Certaines entreprises, comme Onepoint, ont développé leurs propres plateformes sécurisées, comme Neo, utilisé par plusieurs milliers de collaborateurs. L’objectif ? Permettre l’accès à plusieurs modèles d’IA tout en garantissant la maîtrise des données.

Mais pour les experts, le principal danger ne réside pas dans l’outil lui-même, mais dans les informations qui lui sont confiées. « Le risque dépend moins de l’outil que de ce qu’on y met », résume Jean-Noël Chaintreuil. Un salarié qui utilise ChatGPT pour reformuler un mail anodin ne s’expose pas aux mêmes risques qu’un collaborateur qui y saisit un contrat client, un fichier de paie ou un code propriétaire. Dans ce cas, les données quittent le système d’information de l’entreprise pour se retrouver dans des services externes, souvent sans garantie de confidentialité.

Un cadre légal flou, mais des sanctions possibles

L’utilisation de ChatGPT, Claude ou Gemini n’est pas interdite par la loi. En revanche, une entreprise peut encadrer – voire interdire – leur usage via une charte informatique, une note de service ou son règlement intérieur. « La sanction suppose une règle claire, connue et opposable. Si une charte informatique ou une note de service interdit explicitement ces usages, le manquement peut justifier une sanction », rappelle Jean-Noël Chaintreuil. Les employeurs s’appuient sur plusieurs fondements juridiques pour justifier des mesures disciplinaires :

  • Le non-respect d’une charte informatique ou d’une politique interne relative à l’IA ;
  • L’obligation de loyauté (article L.1222-1 du Code du travail), qui impose au salarié d’agir de bonne foi et de préserver les intérêts de l’entreprise ;
  • Le secret des affaires, protégé par la loi du 30 juillet 2018.

Les sanctions peuvent aller du simple rappel à l’ordre à l’avertissement, voire à la mise à pied disciplinaire. Dans les cas les plus graves, un licenciement peut être envisagé, notamment si l’usage de l’IA a conduit à une fuite d’informations confidentielles ou à un manquement aux obligations de sécurité. À ce jour, aucune jurisprudence française ne traite spécifiquement du licenciement pour usage non autorisé d’une IA générative. Les éventuelles sanctions reposent donc sur l’application du droit du travail classique et des règles internes de l’entreprise.

RGPD, secret des affaires : les enjeux juridiques

L’utilisation d’outils d’IA non maîtrisés peut exposer l’entreprise à des risques juridiques majeurs. Lorsqu’un salarié saisit dans une IA des données personnelles (clients, candidats, collaborateurs), il crée un risque de non-conformité au RGPD. « Transmettre des données personnelles à un outil non maîtrisé, sans base légale ni encadrement du transfert, peut constituer un manquement », explique Jean-Noël Chaintreuil. Les sanctions encourues par l’entreprise peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.

Au-delà du RGPD, l’envoi de données sensibles vers des IA grand public pose un problème au regard du secret des affaires. Depuis la loi de 2018, les entreprises doivent démontrer qu’elles ont pris des mesures raisonnables pour protéger leurs informations stratégiques. « Coller un plan stratégique dans une IA publique, c’est l’exact contraire d’une mesure raisonnable », souligne l’expert. Nicolas Gaudemet ajoute que certaines données personnelles sont soumises à des contraintes géographiques strictes : « Les données personnelles doivent être traitées en Europe. Un transfert aux États-Unis nécessite une analyse d’impact ».

Comment les entreprises tentent de limiter les risques

Face à l’essor du Shadow AI, certaines entreprises choisissent de bloquer complètement l’accès à ces outils. D’autres surveillent les flux réseau ou mettent en place des outils de prévention des pertes de données. Nicolas Gaudemet précise : « Les Directions des systèmes d’information ont des outils qui permettent de voir lorsque des connexions sont réalisées vers des services à l’entreprise. Elles peuvent mesurer l’usage des collaborateurs à certaines IA du marché ». Pourtant, cette surveillance a ses limites : « Vous bloquez un domaine, le salarié bascule sur son téléphone personnel. Le vrai levier, c’est l’alternative crédible. Les gens contournent ce qui les ralentit, pas ce qui les aide », conclut Jean-Noël Chaintreuil.

Pour les entreprises, la solution la plus efficace reste donc de proposer des plateformes internes sécurisées, comme Neo chez Onepoint, ou de négocier des licences d’entreprise (ChatGPT Enterprise, Gemini Enterprise) offrant les mêmes fonctionnalités que les versions grand public, mais avec des garanties contractuelles renforcées.

Et maintenant ?

D’ici la fin de l’année 2026, les entreprises devraient renforcer leurs politiques internes en matière d’IA, sous la pression des régulateurs et des risques juridiques. Plusieurs secteurs, comme la finance ou la santé, pourraient être les premiers à imposer des restrictions strictes. Reste à voir si les salariés, habitués à l’usage flexible des outils grand public, accepteront ces nouvelles contraintes sans contournement. Une chose est sûre : le « Shadow AI » ne disparaîtra pas du jour au lendemain.

Cette pratique interroge aussi sur l’équilibre entre innovation et sécurité. Faut-il privilégier la rapidité et la flexibilité au risque de fragiliser la protection des données ? Ou au contraire, imposer des garde-fous stricts qui pourraient freiner l’adoption de l’IA dans certains métiers ?

Oui, mais uniquement si l’usage de l’IA s’accompagne d’un manquement à ses obligations professionnelles, comme le non-respect d’une charte informatique ou une fuite de données. Les sanctions dépendent du cadre légal interne et des dommages causés. Aucune jurisprudence française ne traite encore spécifiquement de ce cas, mais les employeurs s’appuient sur le droit du travail classique et l’obligation de loyauté.

L’entreprise s’expose à plusieurs risques : une fuite de données (perte de confidentialité), une violation du RGPD (amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires), et une atteinte au secret des affaires. Les données personnelles des clients pourraient être transférées hors de l’UE, ce qui nécessite une analyse d’impact. Enfin, l’entreprise doit prouver qu’elle a pris des mesures raisonnables pour protéger ses informations stratégiques.