Shadow AI en PME : le diagnostic que personne ne fait
Le shadow AI désigne l'utilisation d'outils d'intelligence artificielle par les salariés d'une entreprise sans que la direction ou le service informatique en ait connaissance. Depuis 2024, Optimia a audité plus de 20 PME françaises sur leurs usages IA. Le constat est systématique : en moyenne, on découvre 5,3 outils IA non déclarés par entreprise, 2 100 euros de dépenses IA cachées par mois, et 68% des utilisateurs IA ne sont pas identifiés comme tels par leur direction. Le shadow AI n'est pas un problème de grands groupes. C'est une réalité quotidienne dans les PME, et la plupart des dirigeants n'en ont pas conscience.
Ce qu'on découvre à chaque audit
C'est la donnée la plus constante dans nos missions. Chaque audit révèle des outils IA que la direction ignorait, des dépenses invisibles, et un décalage profond entre la perception des dirigeants et la réalité des usages.
5,3 outils IA non déclarés en moyenne par entreprise
Ce chiffre revient dans chacune de nos missions. Les salariés utilisent des outils IA que la direction ne connaît pas : ChatGPT sur des comptes personnels, des extensions de navigateur qui résument des emails, des outils de transcription de réunions, des assistants de rédaction intégrés à des logiciels qu'ils utilisent déjà. La plupart du temps, ce n'est pas de la malveillance. C'est de la débrouille. Un salarié découvre un outil qui lui fait gagner 30 minutes par jour, il l'adopte, et personne ne le sait.
Ce chiffre est cohérent avec les observations à plus grande échelle. Selon le rapport Reco 2025 sur le shadow AI, les petites entreprises (11 à 50 salariés) comptent en moyenne 269 outils IA non déclarés pour 1 000 employés. Selon Gartner, 68% des salariés utilisent des outils IA non autorisés au travail, un chiffre qui a bondi depuis 41% en 2023.
2 100 euros de dépenses IA cachées par mois
C'est le coût moyen que nous constatons en additionnant les abonnements personnels (ChatGPT Plus, Notion AI, Otter.ai, Midjourney, etc.), les doublons (trois services différents qui font la même chose) et les licences inutilisées. La plupart des dirigeants de PME pensent dépenser quelques centaines d'euros par mois en IA. La réalité est souvent trois fois supérieure. Et ce montant n'inclut pas le coût des risques : une fuite de données via un outil non sécurisé coûte infiniment plus cher que l'abonnement lui-même.
68% des utilisateurs IA ne sont pas identifiés
Quand on demande à un dirigeant de PME "combien de personnes utilisent l'IA dans votre entreprise ?", la réponse typique est "deux ou trois, peut-être". La réalité qu'on découvre en audit : c'est souvent la moitié de l'entreprise. Le décalage entre la perception de la direction et l'usage réel est le signe le plus clair que le shadow AI est installé. Selon une étude BlackFog de janvier 2026, 86% des salariés utilisent des outils IA au moins une fois par semaine pour des tâches professionnelles.
Les 5 scénarios qu'on voit le plus souvent
Voici cinq situations concrètes, anonymisées, tirées de nos missions terrain. Ce ne sont pas des hypothèses : on les retrouve dans la majorité des PME que nous auditons.
Le commercial qui colle ses devis dans ChatGPT
Il veut reformuler un texte pour le rendre plus convaincant. Il copie-colle un devis avec les noms des clients, les montants, les conditions. Le texte sort de l'entreprise et transite par les serveurs d'OpenAI. Il ne sait pas que c'est un problème.
La comptable qui utilise un outil de résumé pour ses emails
Elle a installé une extension Chrome qui résume automatiquement ses emails. L'extension lit tous ses emails, y compris ceux qui contiennent des données financières. Personne dans l'entreprise ne sait que cette extension existe.
Le responsable RH qui fait passer des CV par une IA
Il utilise un outil gratuit pour trier et résumer les candidatures. Les CV contiennent des données personnelles (nom, adresse, situation familiale). L'outil n'est pas conforme au RGPD. L'entreprise est en infraction sans le savoir.
L'équipe marketing qui génère du contenu avec trois outils différents
Chacun a son outil préféré. Aucun n'est validé par la direction. Les trois font plus ou moins la même chose. L'entreprise paie trois abonnements au lieu d'un.
Le dirigeant lui-même qui utilise ChatGPT pour préparer ses réunions
Il y colle des comptes rendus internes, des chiffres financiers, des projections. Il ne le mentionne à personne parce qu'il considère que c'est un usage personnel. Sauf que les données sont celles de l'entreprise.
Pourquoi c'est un problème (et pourquoi ce n'est pas la fin du monde)
Le shadow AI est un problème à résoudre, pas une catastrophe. Le ton compte : il s'agit de structurer, pas de faire peur.
Le risque RGPD
Quand un salarié colle des données personnelles (noms de clients, CV, données médicales) dans un outil IA non conforme, l'entreprise est potentiellement en infraction avec le RGPD. Le responsable, au sens du règlement, c'est l'entreprise, pas le salarié.
Le risque financier
Les dépenses IA non contrôlées s'accumulent. Selon IBM (2025), seulement 37% des organisations ont une politique de gouvernance IA. Sans visibilité, impossible de piloter un budget IA. Les doublons d'outils et les abonnements inutilisés sont la norme, pas l'exception.
Le risque AI Act
L'article 4 du règlement européen sur l'IA impose depuis février 2025 de garantir un niveau suffisant de maîtrise IA pour le personnel. Si vos salariés utilisent des outils IA sans formation et sans encadrement, vous ne répondez pas à cette obligation. Le shadow AI est la preuve visible d'un déficit de gouvernance. Nous détaillons les implications concrètes pour les PME dans notre guide complet sur l'article 4 de l'AI Act.
Mais le shadow AI est aussi un signal positif
Vos salariés n'utilisent pas l'IA en cachette pour nuire. Ils le font parce qu'ils veulent travailler mieux et plus vite. Le shadow AI révèle des besoins réels et des cas d'usage concrets. La bonne réponse n'est pas d'interdire, c'est de structurer. Une étude Healthcare Brew (février 2026) montre que les entreprises qui fournissent des alternatives IA approuvées voient une baisse de 89% des usages non autorisés. L'interdiction ne fonctionne pas. L'accompagnement, si.
Comment faire un audit shadow AI dans une PME
Plan d'action en cinq étapes, adapté aux PME qui n'ont ni DSI, ni équipe IT dédiée.
Étape 1 : Cartographier les outils utilisés
Pas avec un scan réseau (la plupart des PME n'ont pas de DSI pour ça). Avec un questionnaire simple et anonyme auprès des salariés : "Quels outils IA utilisez-vous dans votre travail ? À quelle fréquence ? Pour quelles tâches ?" L'anonymat est important pour obtenir des réponses honnêtes. C'est la première étape de notre audit IA.
Étape 2 : Identifier les flux de données sensibles
Pour chaque outil identifié, se poser trois questions : quelles données y sont envoyées ? Où sont stockées ces données ? L'outil est-il conforme au RGPD ? C'est là que les vrais risques apparaissent.
Étape 3 : Mesurer les dépenses réelles
Additionner tous les abonnements IA, qu'ils soient sur des comptes personnels ou professionnels. Identifier les doublons. Comparer avec ce que la direction pensait dépenser. L'écart est souvent significatif.
Étape 4 : Évaluer le niveau de compétence
Qui utilise l'IA de manière pertinente et sécurisée ? Qui utilise l'IA sans comprendre les risques ? Cette cartographie des compétences est aussi la base de la conformité AI Act (article 4). C'est à ce stade qu'un programme de montée en compétence IA prend tout son sens.
Étape 5 : Structurer, pas interdire
À partir de l'audit, définir une politique IA claire : quels outils sont approuvés, quelles données peuvent y être envoyées, quelles formations sont nécessaires. Le but n'est pas de fermer les vannes, c'est de les canaliser.
Les chiffres internationaux qui confirment le phénomène
Le shadow AI n'est pas une spécificité française. Les études internationales confirment l'ampleur du phénomène.
Selon Gartner (2025), 68% des salariés utilisent des outils IA non autorisés au travail, contre 41% en 2023. L'étude BlackFog de janvier 2026, menée auprès de 2 000 personnes, révèle que 86% des salariés utilisent des outils IA au moins une fois par semaine, et que 58% de ceux qui utilisent des outils non approuvés se tournent vers des versions gratuites, sans protection entreprise. Netskope (2026) rapporte que 47% des utilisateurs d'IA générative accèdent aux outils via des comptes personnels, hors de tout contrôle de l'entreprise. Et selon IBM (2025), seulement 37% des organisations ont mis en place une politique de gouvernance IA.
Ce qui est spécifique aux PME, c'est l'absence totale de visibilité. Les grands groupes ont des équipes IT qui peuvent monitorer les flux réseau. Les PME n'ont souvent ni DSI, ni outils de monitoring, ni politique formalisée. C'est ce qui rend le diagnostic terrain indispensable.
Questions fréquentes
Sources et Références
- Données terrain Optimia : audits réalisés auprès de +20 PME françaises (2024-2025)
- Gartner Research, 2025 : statistiques shadow AI en entreprise (68% d'usage non autorisé)
- BlackFog, "Shadow AI Threat Grows Inside Enterprises", janvier 2026
- Netskope Cloud and Threat Report, 2026 : 47% d'accès via comptes personnels
- IBM, 2025 : 37% des organisations avec une politique de gouvernance IA
- Reco, "2025 State of Shadow AI Report"
- Healthcare Brew, février 2026 : réduction de 89% des usages non autorisés avec alternatives approuvées
- Règlement (UE) 2024/1689, article 4
Fondateur d'Optimia, Ambassadeur du Plan national Osez l'IA en Nouvelle-Aquitaine. Optimia accompagne les PME dans leur adoption IA, en commençant par un diagnostic qui cartographie les usages existants, les dépenses cachées et les risques.