Shadow AI : quand vos employés alimentent ChatGPT avec vos données d'entreprise
Plus de la moitié des salariés utilisent des outils d'IA générative sans autorisation. À chaque prompt, des emails clients, des numéros de téléphone et des IBAN fuient vers des serveurs tiers — sans aucune traçabilité.
Qu'est-ce que le Shadow AI ?
Le Shadow AI désigne l'utilisation d'outils d'intelligence artificielle générative (ChatGPT, Claude, Gemini, Copilot) par les employés d'une entreprise sans validation ni encadrement de la DSI ou du DPO.
C'est le pendant moderne du "Shadow IT" : au lieu d'installer des logiciels non autorisés, les collaborateurs copient-collent des données sensibles dans des chatbots IA accessibles depuis leur navigateur. Aucune installation nécessaire, aucune trace visible — et donc aucun contrôle.
Le vrai problème : ce n'est pas l'IA elle-même — c'est l'absence de protection des données qui y transitent.
Les chiffres qui font peur
Selon une étude Salesforce (2024), plus de la moitié des employés qui utilisent l'IA générative au travail le font sans approbation de leur entreprise. Et près de 7 sur 10 n'ont jamais été formés aux risques liés au partage de données sensibles.
Les risques concrets pour votre entreprise
Risque juridique
RGPD et sanctions CNIL
Envoyer des données personnelles (emails, téléphones, IBAN) à un service d'IA sans base légale constitue une violation du RGPD. L'Article 33 impose une notification à la CNIL sous 72 heures.
Fuite de données
Transmission aux serveurs tiers
Les données envoyées à ChatGPT ou Claude sont transmises aux serveurs d'OpenAI ou Anthropic. Le simple fait de transmettre des PII constitue un traitement au sens du RGPD.
Risque réputationnel
Confiance clients et partenaires
Une fuite de données clients via un outil IA fait les gros titres. Au-delà de l'amende, c'est la confiance de vos clients et partenaires qui est en jeu.
Des fuites bien réelles
Le Shadow AI n'est pas un risque théorique. Voici des incidents documentés et des scénarios courants observés en entreprise.
Cas documentés
Samsung (2023)
Des ingénieurs ont collé du code source confidentiel dans ChatGPT à trois reprises en moins d'un mois. Samsung a interdit l'outil en interne.
Source : TechCrunchMata v. Avianca (2023)
Un avocat new-yorkais a utilisé ChatGPT pour rédiger un mémoire juridique. L'IA a inventé 6 jurisprudences fictives. Le cabinet a été sanctionné par le tribunal.
Source : CNNScénarios types courants
Support client
Des agents copient-collent des conversations complètes (emails, téléphones, adresses) pour générer des réponses plus rapidement.
RH et recrutement
Des recruteurs soumettent des CV complets (nom, adresse, numéro de sécu) pour obtenir des résumés ou des évaluations.
Comment se protéger du Shadow AI
Interdire l'IA
C'est ce qu'ont fait Samsung, Apple et plusieurs banques. Problème : les employés contournent l'interdiction. Le Shadow AI existe justement parce que les outils sont interdits sans alternative.
Zéro visibilité, zéro contrôle.
Former les employés
Indispensable pour créer une conscience du risque, mais insuffisant seul. Un employé pressé par une deadline copiera quand même un email client dans ChatGPT.
L'erreur humaine reste la 1ère cause de fuite.
Protéger à la source
L'approche Privacy by Design : on intercepte les données sensibles avant qu'elles ne soient envoyées à l'IA. L'employé continue à travailler normalement, les PII sont masquées.
Protection automatique et transparente.
Sentinelle PII : la protection sans friction
Une extension Chrome qui détecte et pseudonymise automatiquement les données personnelles avant leur envoi à ChatGPT, Claude ou Gemini.
Détection
L'extension détecte en temps réel les emails, téléphones, IBAN, numéros de carte et autres PII dans la zone de saisie.
Pseudonymisation
Avant l'envoi, les données sensibles sont remplacées par des tokens anonymes ([EMAIL_1], [IBAN_1]).
Réinjection
L'IA répond normalement — puis les tokens sont remplacés par les vraies données dans la réponse affichée.
100 % local. Aucune donnée ne quitte votre navigateur.
Le résultat : vos équipes utilisent l'IA librement, votre entreprise est protégée, et votre DPO peut prouver que des mesures de protection sont en place (Article 32 du RGPD).
Protégez vos données dès maintenant
Installation en 30 secondes. Gratuit jusqu'à 10 détections par jour. Aucune configuration IT requise.