Introduction
L’intelligence artificielle s’est diffusée dans les organisations à une vitesse rarement observée pour une technologie de travail. Microsoft et LinkedIn rapportaient en 2024 que 75 % des knowledge workers utilisaient déjà l’IA au travail, tandis que 78 % des utilisateurs d’IA apportaient leurs propres outils au travail. Ce décalage entre adoption rapide et gouvernance insuffisamment structurée crée un phénomène désormais central dans les discussions de cybersécurité, de conformité et de management : le Shadow AI.
Le sujet ne relève plus du simple signal faible. Netskope indiquait dans son rapport 2025 que 94 % des organisations utilisaient déjà des applications de GenAI, avec une moyenne de 9,6 applications par organisation. En d’autres termes, l’IA n’entre pas dans l’entreprise par un seul canal officiel ; elle se diffuse aussi par des usages multiples, parfois personnels, parfois non déclarés, souvent mal cartographiés.
Dans ce contexte, parler de Shadow AI ne consiste pas seulement à pointer une dérive technique. Il s’agit d’analyser un problème de gouvernance organisationnelle. C’est précisément ce qui rend ISO/IEC 42001 pertinente : la norme est présentée par l’ISO comme le premier standard international de système de management de l’IA, applicable aux organisations qui développent, fournissent ou utilisent des systèmes d’IA. Elle vise à faire passer les usages d’IA d’une logique ad hoc à une logique structurée, traçable et améliorable.
Qu’est-ce que le Shadow AI ?
Le Shadow AI désigne l’usage d’outils, de services ou de systèmes d’intelligence artificielle sans validation formelle, sans supervision suffisante ou en dehors des mécanismes de gouvernance de l’organisation. Cette notion prolonge le Shadow IT, mais s’en distingue par la nature des risques : l’IA ne se contente pas de stocker ou transmettre des données, elle peut aussi produire des contenus, influencer des décisions, reformuler des informations sensibles et intégrer des traitements opaques. Cette lecture est cohérente avec les travaux académiques récents sur la GenAI et la gestion des connaissances, qui soulignent l’écart entre adoption rapide et cadres de gouvernance encore immatures.
En pratique, le Shadow AI recouvre par exemple :
- l’usage de ChatGPT, Copilot ou d’un autre assistant externe pour traiter des données internes
- la génération de comptes rendus, d’analyses ou de contenus marketing avec des outils non approuvés
- l’utilisation de comptes personnels pour contourner les restrictions de l’entreprise
- la création de workflows métiers s’appuyant sur des outils d’IA non documentés.
Le terme voisin BYOAI (Bring Your Own AI) décrit le fait que les salariés apportent leurs propres outils d’IA au travail. Tout BYOAI n’est pas nécessairement du Shadow AI, mais dans la réalité des entreprises, les deux phénomènes se recoupent largement. Microsoft relie explicitement cette dynamique à l’absence de vision claire ou de plan d’implémentation dans de nombreuses organisations.
Pourquoi le Shadow AI se développe si vite
Le Shadow AI progresse d’abord parce que l’IA générative est devenue extrêmement accessible. Les outils sont disponibles en quelques clics, souvent gratuits ou déjà connus des collaborateurs dans leur vie personnelle. À cela s’ajoute un effet de productivité immédiate : résumé, rédaction, traduction, génération de code, recherche d’idées, préparation de supports. Quand le gain individuel est visible dès les premières minutes, l’adoption précède presque toujours la formalisation des règles.
Les chiffres disponibles décrivent bien cette dynamique. Le Work Trend Index 2024 de Microsoft et LinkedIn indique que 46 % des utilisateurs d’IA au travail ont commencé à l’utiliser depuis moins de six mois au moment de l’enquête. Le même rapport montre aussi que 52 % des personnes qui utilisent l’IA pour le travail hésitent à admettre qu’elles s’en servent pour leurs tâches les plus importantes. Ce point est central : le Shadow AI n’est pas seulement un usage non autorisé, c’est souvent aussi un usage non assumé, donc difficile à cartographier, à encadrer et à auditer.
Les risques concrets du Shadow AI en entreprise
1. Le risque de fuite d’information
Le premier risque est celui de l’exposition de données sensibles dans des prompts, des documents joints ou des contenus générés. Dès lors qu’un collaborateur saisit dans un outil tiers des informations internes, des données clients, des livrables stratégiques ou du code source, l’organisation perd une partie de sa maîtrise informationnelle. Netskope insiste d’ailleurs sur le fait que la généralisation des usages GenAI s’accompagne d’un enjeu fort de contrôle des flux de données vers ces applications.
2. Le risque de non-conformité
Quand l’organisation ne sait pas quels outils sont utilisés, dans quel but, par qui, ni avec quelles catégories de données, elle se fragilise sur le plan de la conformité. Cela concerne la protection des données, la traçabilité des traitements, les exigences contractuelles, la capacité à répondre à un audit, et plus largement la démonstration d’une gouvernance effective de l’IA. L’ISO rappelle justement qu’ISO/IEC 42001 aide les organisations à gérer les risques liés à l’IA tout en soutenant la confiance, la responsabilité et l’alignement avec les attentes légales et réglementaires.
3. Le risque décisionnel
Le Shadow AI crée aussi un risque plus discret mais stratégique : celui de décisions prises à partir de contenus générés sans contrôle suffisant. Une synthèse erronée, un raisonnement biaisé ou une recommandation plausible mais inexacte peuvent être repris dans un document, une analyse RH, une note juridique ou une proposition commerciale. Les travaux académiques sur la GenAI en knowledge management soulignent précisément ces enjeux de fiabilité, de qualité de la connaissance et de préparation organisationnelle.
4. Le risque de fragmentation organisationnelle
Le Shadow AI fragmente l’entreprise en micro-pratiques locales. Chaque équipe développe ses usages, ses prompts, ses outils, parfois ses règles implicites. Cette fragmentation produit de la productivité locale, mais elle affaiblit la cohérence globale. Une organisation peut alors avoir une adoption élevée de l’IA sans disposer d’une gouvernance IA réellement mature. C’est tout le problème du passage de l’expérimentation à l’industrialisation. Microsoft souligne d’ailleurs que l’enjeu n’est plus seulement l’usage individuel, mais la transformation en impact organisationnel à l’échelle.
Ce que disent les chiffres sur l’ampleur du phénomène
Même si toutes les études ne mesurent pas exactement le Shadow AI au sens strict, elles montrent un terrain très favorable à son expansion.
Microsoft et LinkedIn rapportent trois données particulièrement importantes : 75 % des knowledge workers utilisent déjà l’IA au travail ; 78 % des utilisateurs apportent leurs propres outils ; et 60 % des dirigeants interrogés estiment que leur organisation manque d’une vision et d’un plan pour l’implémentation de l’IA. Cet écart entre pression d’adoption et manque de cadre explique directement la montée des usages hors gouvernance.
De son côté, Netskope indique que la GenAI est désormais utilisée par 94 % des organisations, que 7,8 % des personnes au sein d’une organisation utilisent en moyenne ces applications, et que le nombre moyen d’applications de GenAI utilisées atteint 9,6. Plus le nombre d’outils augmente, plus la surface de gouvernance devient complexe : fournisseurs multiples, politiques de confidentialité variées, paramétrages hétérogènes, comptes personnels et usages métiers non recensés.
Ces données ne signifient pas que 94 % des organisations sont en situation de Shadow AI incontrôlé. Elles montrent en revanche qu’un usage strictement centralisé, homogène et parfaitement maîtrisé devient improbable sans cadre de management structuré.
En intelligence artificielle, une diffusion rapide mais une base de talents encore étroite
Du côté de l’intelligence artificielle, le tableau est un peu différent, mais tout aussi tendu. Le Stanford AI Index 2025 montre que la part des offres d’emploi demandant des compétences IA a progressé dans la plupart des pays entre 2023 et 2024. Aux États-Unis, cette part est passée de 1,4% à 1,8% de l’ensemble des offres. En 2024, la France se situe à 1,10%, ce qui reste modeste en apparence, mais signale déjà une diffusion réelle de la demande en compétences IA dans l’économie.
Pourquoi ISO/IEC 42001 est directement pertinente
ISO/IEC 42001 est présentée par l’ISO comme la norme internationale de système de management de l’IA. Elle fournit des exigences et des orientations pour les organisations qui développent, fournissent ou utilisent des systèmes d’IA. L’ISO précise qu’un AI management system est un ensemble structuré de politiques, processus et contrôles permettant de gouverner la manière dont les systèmes d’IA sont conçus, développés, déployés et utilisés. L’intérêt de cette norme face au Shadow AI est majeur : elle ne traite pas l’IA comme un simple outil bureautique, mais comme un objet de gouvernance transverse. L’ISO met en avant des composantes qui répondent directement aux angles morts du Shadow AI :
- définition des responsabilités
- identification et évaluation des risques liés à l’IA
- gouvernance des données et contrôles sur le cycle de vie
- transparence et responsabilité
- évaluation des performances
- amélioration continue
Autrement dit, ISO 42001 ne “supprime” pas le Shadow AI par interdiction. Elle donne à l’organisation les moyens de transformer des usages dispersés en usages pilotés.
Comment ISO 42001 permet de reprendre le contrôle
Cartographier les usages IA
La première réponse au Shadow AI consiste à rendre visibles les usages réels. L’ISO explique que le système de management de l’IA aide à gouverner les usages tout au long du cycle de vie et à gérer les risques associés. Dans la pratique, cela impose une cartographie : quels outils sont utilisés, pour quelles finalités, par quels métiers, avec quels types de données. Sans inventaire, la gouvernance reste théorique.
Clarifier les règles et responsabilités
Le Shadow AI prospère là où les règles sont floues. ISO 42001 demande un cadre plus explicite : politique IA, objectifs, leadership, rôles, responsabilités et mécanismes de contrôle. Cela permet de sortir d’une situation fréquente où les utilisateurs expérimentent seuls pendant que la DSI, la conformité, la cybersécurité et les métiers n’ont ni langage commun ni ligne de décision partagée.
Encadrer les données et les usages sensibles
L’ISO met clairement en avant la gouvernance des données, la transparence et la surveillance des systèmes. Pour une entreprise, cela se traduit concrètement par des règles sur les données admissibles dans les outils d’IA, les contextes autorisés, les usages interdits, les modalités de supervision humaine et la gestion des fournisseurs tiers. C’est là que la norme devient très opérationnelle face au Shadow AI : elle oblige à formaliser ce qui, sinon, reste implicite.
Installer une amélioration continue
Comme les autres normes de système de management, ISO/IEC 42001 repose sur une logique de progression continue. C’est essentiel car les outils, les modèles et les usages changent vite. Une charte figée ne suffit pas. Il faut réévaluer, auditer, corriger, former et ajuster. L’ISO souligne explicitement cette dimension de continual improvement dans le standard.
Le vrai enjeu : interdire l’IA ou gouverner son usage ?
Interdire frontalement l’IA en entreprise est rarement une solution durable. Quand les collaborateurs perçoivent des gains immédiats, les usages ne disparaissent pas ; ils deviennent simplement plus discrets. Le Shadow AI prospère justement dans les espaces où l’organisation n’offre pas de cadre crédible, praticable et aligné avec les besoins opérationnels. Les données de Microsoft montrent bien que les salariés n’attendent pas toujours une validation descendante pour commencer à utiliser l’IA. L’approche la plus robuste consiste donc à combiner :
- des outils approuvés
- une politique claire
- une classification des usages
- une gouvernance des données
- des rôles formalisés
- une supervision proportionnée
- une formation ciblée des équipes
C’est précisément cette logique que permet d’installer ISO/IEC 42001 à l’échelle de
l’organisation.
Conclusion
Le Shadow AI n’est plus un sujet marginal. Il désigne un basculement profond : l’IA entre dans les entreprises par les besoins métiers, la pression de productivité et l’initiative individuelle, souvent plus vite que les cadres internes de gouvernance. Les chiffres récents montrent une adoption massive des outils d’IA au travail, une diffusion forte du BYOAI et une multiplication des applications utilisées par organisation. Dans ce contexte, ISO/IEC 42001 apporte une réponse particulièrement structurante. En tant que premier standard international de système de management de l’IA, elle donne aux organisations un cadre pour sortir des usages diffus, peu visibles et difficilement auditables. Elle permet de passer d’une IA tolérée ou subie à une IA gouvernée, documentée et alignée avec les enjeux de risque, de conformité et de confiance.
Pour les entreprises, le sujet n’est donc plus seulement d’adopter l’IA. Il est de savoir comment l’adopter sans laisser se développer une zone grise incontrôlée.
Vous voulez structurer vos usages d’IA avant qu’ils ne deviennent un angle mort de gouvernance ?
DEVFORMA accompagne les organisations sur la gouvernance de l’IA, la montée en compétence des équipes et les référentiels comme ISO/IEC 42001, afin de transformer les usages d’IA en cadre maîtrisé, crédible et durable.
