L’IA clandestine expose salariés et entreprises à des risques majeurs

Ils sont consultants, ingénieurs, chargés de mission ou assistants RH. Ils utilisent ChatGPT, Gemini ou Claude au travail, parfois tous les jours. Mais sans le dire. En France, l’usage clandestin de l’intelligence artificielle générative explose. Derrière le gain de productivité, une ligne de faille s’ouvre entre salariés, directions et réglementation. Enquête sur un phénomène de plus en plus difficile à ignorer.

Une progression explosive

En 2023, ils étaient 25 % à utiliser une IA générative tous les jours. En 2025, ils sont 45 %, selon la 3ᵉ vague du baromètre IFOP-Talan. Une progression de 60 % en un an, à l’échelle de la population active. Et une dynamique qui ne montre aucun signe de ralentissement. L’usage se diffuse, se banalise — mais il se fait souvent dans l’ombre.

Le phénomène n’épargne aucun secteur, mais il révèle une fracture générationnelle nette : 70 % des 18-24 ans y recourent contre seulement 22 % des 35 ans et plus. Ce fossé ne s’explique pas uniquement par des compétences techniques. Il traduit aussi une réticence culturelle : pour beaucoup de profils expérimentés, utiliser une IA générative au travail semble encore « non légitime », comme si cela affaiblissait leur expertise.

Romain, consultant chez BearingPoint, cabinet de conseil en stratégie et transformation, raconte son quotidien : « Je l’utilise pour structurer, rédiger et affiner les livrables destinés aux clients. Notes de synthèse, présentations stratégiques… tout y passe. Une première version en quelques minutes, c’est un gain de temps considérable. »

Une appropriation individuelle devant le vide organisationnel

Face à l’absence de directives claires, les collaborateurs prennent l’initiative. C’est le principe du BYOAI — Bring Your Own AI. Chacun utilise sa propre IA sans validation de la DSI. Selon une étude Salesforce de 2024, 58 % des salariés français ont recours à ces outils hors de tout cadre défini par l’employeur.

Pourquoi prendre ce risque ? La réponse est pragmatique : un gain de productivité estimé à 38 % par les utilisateurs, selon le Workforce Lab de Slack. Et une passion au travail accrue de 29 %. Résultat : même en l’absence d’autorisation explicite, les collaborateurs persistent.

« Officiellement, rien n’est dit. Officieusement, c’est devenu un réflexe », confie Victor, ingénieur système chez Stellantis. « On ne sait pas ce qui est autorisé ou non. Alors, on utilise discrètement. »

C’est précisément ce qui caractérise l’usage clandestin de l’IA : une pratique non encadrée, non visible, mais de plus en plus systématique — et structurelle. Une évolution est néanmoins perceptible. En 2023, seuls 25 % des utilisateurs informaient leur hiérarchie. En 2024, ils sont 36 %. Un chiffre en hausse de 44 %, qui pourrait marquer les prémices d’une normalisation.

Un usage aussi divers que les métiers

L’IA infiltrée dans les organisations prend de nombreuses formes. Le Shadow AI ne se limite pas à la génération de texte. Il s’insinue dans tous les départements :

Support client : rédaction automatisée de réponses personnalisées
Marketing : reformulation SEO, traduction multilingue
Technique : génération de code, commentaires de fonctions
Ressources humaines : synthèse d’entretiens, rédaction d’offres d’emploi
Juridique : reformulation de clauses sensibles

Cette diversité rend le phénomène difficile à canaliser. Et encore plus complexe à interdire sans alternative crédible.

Risques juridiques et sécuritaires : une IA hors contrôle

Ce qui commence comme un outil de productivité peut rapidement devenir une IA hors contrôle, si elle est utilisée sans cadre, sans supervision, et sans sensibilisation aux risques.

Fuites de données : ChatGPT au cœur des vulnérabilités

Selon l’étude Harmonic Security publiée au premier trimestre 2025, 79,1 % des données sensibles exposées via des IA génératives transitent par ChatGPT. Les types de données les plus exposées sont :

Données clients : 45,8 %
Données RH : 26,8 %
Documents juridiques : 30,8 %, en hausse de 106 % en un an

La version gratuite de ChatGPT, utilisée par 63,8 % des salariés, alimente automatiquement les modèles d’entraînement. Les informations saisies deviennent potentiellement exploitables, y compris par des tiers, échappant totalement à l’entreprise.

RGPD + RIA : double pression réglementaire

Depuis août 2024, les entreprises opérant en Europe sont soumises au Règlement européen sur l’intelligence artificielle (RIA), qui exige traçabilité, documentation, transparence. En cas de manquement, les amendes peuvent atteindre 4 % du chiffre d’affaires mondial. Combiné au RGPD, le cadre impose une vigilance constante.

Un autre risque émerge : 71 % des salariés reconnaissent avoir présenté des contenus IA comme leur propre production. En cas d’erreur, de plagiat ou de divulgation involontaire, l’employeur peut être tenu responsable.

Même sans directive explicite, le salarié reste soumis à une obligation de loyauté. Transmettre des données confidentielles à un outil non contrôlé par l’entreprise peut être considéré comme une faute grave. Et ce, même si l’intention était de « bien faire ».

Réponses stratégiques : former, encadrer, souverainiser

Face à ces risques croissants, quelques organisations prennent de l’avance. Danone a par exemple étendu son programme de formation bien au-delà du projet pilote. Grâce à son partenariat avec Microsoft, 50 000 salariés ont aujourd’hui accès à des outils comme Copilot via la Danone Microsoft AI Academy. L’objectif : atteindre 100 000 collaborateurs formés d’ici 2026. Le pari repose autant sur l’acculturation que sur la maîtrise des risques.

Le ministère a développé sa propre IA générative interne : GenIAl.intradef. Utilisée par 35 000 agents, elle permet la traduction, la synthèse documentaire et la génération d’images dans un environnement entièrement souverain. Objectif : répondre aux besoins réels sans ouvrir la porte à l’usage clandestin de l’IA grand public.