L’histoire se répète, mais cette fois à grande vitesse ! Alors que les projets d’IA officiels mettent des mois à se concrétiser, les utilisateurs ont déjà massivement adopté les IA génératives, souvent de manière « clandestine ». Les équipes Support sont les mieux placées pour détecter ces usages, non pour les interdire, mais pour les « dérisquer » et institutionnaliser le partage des meilleures pratiques.

Vouloir interdire les IA génératives en entreprise est un combat perdu d’avance : dans toutes les organisations, les pratiques spontanées des collaborateurs se multiplient dans des interstices qui échappent à la gouvernance IT. Le phénomène bien connu du shadow IT semble se reproduire, mais à un rythme et à une échelle sans commune mesure, et avec des implications bien plus profondes.

1. L’IA « officielle » est à la traîne

L’écart entre les usages réels et les déploiements officiels est saisissant : seuls 9 % des salariés déclarent que leur entreprise met des outils d’IA générative à leur disposition, et près de la moitié affirment que leur organisation n’a pas l’intention de le faire (Baromètre Ifop/Talan, avril 2025). Pourtant, les usages discrets ou délibérément cachés explosent !

Ce décalage tient à une asymétrie fondamentale. D’un côté, des projets institutionnels qui progressent lentement : achat et déploiement de licences d’IA générative pour les collaborateurs, création d’assistant IA « maison », intégration d’assistants et de briques IA dans les suites bureautiques et les logiciels métiers du fait des éditeurs… Ces projets suivent les cycles habituels de validation, de formation et de mise en conformité. De l’autre côté, l’accès immédiat, sans friction, à des outils gratuits ultraperformants. Lorsqu’un collaborateur ouvre ChatGPT ou Mistral dans son navigateur pour préparer une réunion ou synthétiser un rapport, il n’a besoin d’aucune autorisation et obtient sur-le-champ un résultat.

2. Des enjeux de sécurité, bien sûr…

Les usages réels de l’IA échappent largement aux radars habituels de la DSI, avec ce que cela implique en termes de cybersécurité et de confidentialité des données : selon une étude réalisée fin 2024 par Harmonic Research, 8,5 % des prompts adressés à ces outils contenaient des données sensibles engageant la responsabilité des organisations. Il s’agissait en premier lieu de données relatives aux clients et aux employés. S’y ajoutent la divulgation d’informations juridiques et financières, de données business stratégiques et, dans le cas de la production de code, de propriété intellectuelle. Et comme en un peu plus d’un an les usages « sauvages » se sont à la fois intensifiés et diversifiés, début 2026, le pourcentage de prompts « à risque » a significativement augmenté, notamment avec la possibilité offerte aux utilisateurs de charger toutes sortes de documents internes pour fournir de la matière à leur IA générative favorite.

3. Des conséquences organisationnelles sous-estimées

Les effets les plus insidieux du Shadow AI sont organisationnels. Lorsqu’un collaborateur délègue à une IA les échanges qu’il aurait auparavant eus avec des collègues pour relire un document ou co-construire une réponse, les partages informels, les confrontations d’idées et les transmissions de savoirs tacites s’effondrent. Or c’est précisément de tout cela que résultent la culture d’une entreprise et son intelligence collective. En substituant silencieusement le modèle au collègue, en isolant chacun dans des échanges sans contradiction avec des outils lisses et toujours bienveillants, le shadow AI érode à grande vitesse ce capital immatériel sans que personne s’en aperçoive et sache, à ce stade, en mesurer les implications individuelles et collectives.

4. Sortir du régime de la dissimulation

L’engouement général des utilisateurs pour les outils d’IA générative ne tient pas tant à la qualité des résultats qu’à la rapidité et la facilité d’utilisation. Les études récentes montrent que leur satisfaction résulte davantage du sentiment de pouvoir « faire plus vite » que de « faire mieux ». Intervient ici ce qui distingue véritablement le shadow AI du shadow IT : la dimension psychologique et morale. Derrière l’usage clandestin d’un outil SaaS non référencé, il y a rarement une charge morale. Derrière l’usage dissimulé d’une IA générative pour rédiger un rapport, préparer une présentation ou générer du code, il y en a une très lourde. En avouant qu’ils utilisent ces outils pour s’acquitter de leurs tâches, les employés craignent d’être perçus comme tricheurs, moins compétents, paresseux. Ils redoutent les conséquences si leurs pratiques venaient à être connues de leur manager. Oscillant entre syndrome de l’imposteur, culpabilité et cynisme, ils perpétuent un régime de dissimulation qui gagne tous les niveaux hiérarchiques et toutes les fonctions de l’entreprise.

S’il n’est pas combattu, ce régime empêche toute remontée d’information, tout partage d’expérience, toute mutualisation des apprentissages, toute capitalisation des savoirs. Il renforce les stratégies de gains individuels, qui elles-mêmes renforcent le silence — un cercle vicieux parfaitement identifié, mais encore trop rarement désamorcé. Un collaborateur qui a trouvé une façon intelligente d’utiliser un outil d’IA pour améliorer ses livrables ne le partagera pas avec ses pairs si cette pratique lui paraît illégitime. Idem si elle lui confère un avantage sur ses collègues ou un prestige personnel qu’il s’efforcera de préserver …

En raison de ces réflexes de dissimulation, des résultats générés par l’IA sont intégrés dans des documents de travail sans que personne le sache si bien que leur qualité et leur fiabilité deviennent invérifiables. De fait, quand 44 % des utilisateurs reconnaissent reprendre les résultats générés par IA sans les modifier (Baromètre Ifop/Talan, 2024), des hallucinations et des erreurs peuvent se glisser dans des décisions métiers et business sans laisser la moindre trace technique.

5. Le Support en première ligne d’une approche constructive

En l’état actuel des pratiques, il ne s’agit plus seulement de détecter et bloquer les usages non-conformes de l’IA, mais de comprendre pourquoi ces usages se développent, dans quelles conditions, et avec quelles conséquences pour les personnes concernées. La détection technique n’est qu’une partie de la réponse. L’autre partie, plus exigeante, est humaine et les équipes du Support sont les mieux placées pour la prendre en charge. Elles sont en effet la seule interface où les usages réels remontent, où les frustrations s’expriment, où les bricolages deviennent visibles. À condition, bien sûr, de créer les conditions pour que cette remontée soit possible et exempte de représailles.

Concrètement, cela signifie que le Support doit avoir un mandat clair pour agir dans ce sens et que les techniciens doivent développer deux compétences nouvelles. La première est technique : savoir identifier les outils d’IA générative utilisés de manière non institutionnalisée, évaluer les risques associés à ces usages (nature des données partagées, conformité RGPD, dépendances aux fournisseurs, …), et proposer des alternatives validées. La seconde est relationnelle et culturelle : créer un espace de confiance où les collaborateurs peuvent signaler leurs pratiques sans craindre d’être jugés, accompagner l’acculturation aux usages responsables de l’IA, et faire remonter à la DSI et aux directions métiers une vision précise de ce qui se passe réellement sur le terrain.

6. Agir maintenant pour construire un avenir viable avec l’IA

Cette mission va prendre une dimension encore plus critique dans les mois et années à venir, avec le développement fulgurant des agents IA. Là où l’IA générative reste un outil que le collaborateur sollicite, l’agent IA est un système autonome qui agit : il envoie des e-mails, exécute des requêtes, accède à des bases de données, pilote des processus. Des plateformes no-code comme Make, n8n ou les capacités natives de Microsoft Copilot permettent déjà à des non-développeurs de créer leurs propres agents en quelques heures, sans passer par la DSI.

Les risques associés changent radicalement de nature. Un collaborateur qui utilise ChatGPT en dehors des canaux validés expose des données. Un collaborateur qui déploie un agent personnel connecté à son CRM, à son agenda et à sa messagerie crée un point d’entrée persistant, autonome et potentiellement incontrôlable dans le système d’information de l’entreprise. Ce n’est plus du shadow AI : c’est du shadow automation, avec des implications de sécurité, de conformité et de gouvernance bien plus graves. Les équipes Support qui n’auront pas développé les compétences pour détecter et comprendre ces pratiques seront les premières en difficulté et leurs organisations avec elles.

La question n’est plus de savoir si les collaborateurs utilisent des outils d’IA. Ils le font déjà, à grande échelle, souvent en silence. La question est de savoir si les organisations vont se donner les moyens de transformer ce phénomène d’ampleur en avantage collectif, plutôt que de le laisser fragmenter le savoir, affaiblir la confiance et ouvrir des brèches dans les systèmes. Les équipes de support, bien formées et bien positionnées, sont au cœur de cette transformation. Elles deviennent un acteur clé de la gouvernance de l’IA dans l’entreprise et des bénéfices que tous les utilisateurs peuvent en retirer, non plus dans l’ombre mais en pleine lumière.