IA fantôme dans nos SI : quand l'urgence de contrôler devient une question de souveraineté

# IA fantôme dans nos SI : quand l'urgence de contrôler devient une question de souveraineté

*En 2026, la shadow IT a muté. Ce ne sont plus seulement des applications grand public qui s'invitent dans les postes de travail — ce sont des outils d'intelligence artificielle, souvent connectés à des serveurs hors d'Europe, utilisés quotidiennement par des collaborateurs bien intentionnés mais non formés aux enjeux de souveraineté des données. Nous avons rencontré un DSI d'une ETI industrielle française pour parler sans détour de ce que ça implique vraiment — en interne, en termes de gouvernance, et pour l'avenir de nos organisations.*

RiffLab : En 2026, la shadow IT IA, c'est quoi concrètement dans votre quotidien ?

C'est massif, et c'est surtout invisible si on ne se donne pas les moyens de regarder. Dans notre entreprise, on a découvert — lors d'un audit interne — que des équipes commerciales, marketing, et même des assistants RH utilisaient des interfaces conversationnelles américaines pour rédiger des contrats, résumer des appels clients, synthétiser des candidatures. Personne n'avait demandé l'autorisation. Personne n'avait pensé à mal, c'est là le paradoxe. Ces outils sont fluides, disponibles, gratuits ou presque, et ils répondent à un vrai besoin de productivité. Mais ce que ces collaborateurs ne voient pas, c'est que les données qu'ils y injectent — noms de clients, clauses commerciales, éléments RH — quittent potentiellement nos frontières pour être traitées sur des infrastructures qui ne relèvent pas du droit européen. On n'est pas dans de la théorie : c'est une fuite de données en temps réel, légère, diffuse, et pour l'instant juridiquement floue. L'AI Act européen commence à structurer le cadre, mais les pratiques dans les équipes courent beaucoup plus vite que les textes.

RiffLab : Comment une organisation réagit-elle quand elle prend conscience de l'ampleur du phénomène ?

Il y a deux types de réaction, et je les ai tous les deux observés — y compris en moi-même. Le premier réflexe, c'est l'interdiction : on bloque les URLs, on sort une note de direction, on convoque les équipes. Ça ne marche pas. Les collaborateurs contournent. Le deuxième réflexe — le bon — c'est de comprendre *pourquoi* ils utilisent ces outils. Et la réponse est toujours la même : parce que les alternatives internes n'existent pas, ou parce qu'elles sont moins performantes, ou parce que personne ne les a jamais montrées. La vraie question n'est donc pas sécuritaire en premier lieu. Elle est organisationnelle. Qu'est-ce qu'on propose à nos équipes ? Quel niveau d'autonomie leur donne-t-on avec des outils souverains ? Est-ce qu'on a construit une culture de la donnée qui fait que les gens *comprennent* les enjeux plutôt que de se voir imposer des règles incompréhensibles ? La gouvernance sans pédagogie, c'est du contrôle. Et le contrôle seul ne fonctionne pas face à des outils aussi accessibles.

RiffLab : Sur le plan des compétences internes, qu'est-ce que ça change concrètement ?

Ça change tout, et c'est là que je veux être direct : nous avons sous-estimé pendant des années la nécessité de former des *relais de souveraineté numérique* au sein même des métiers. On a des RSSI, des DPO, parfois des juristes spécialisés — mais ce sont des fonctions support. Ce qu'il faut aujourd'hui, c'est des référents IA dans chaque département : des gens qui ne sont pas nécessairement des techniciens, mais qui comprennent les enjeux de classification des données, qui savent distinguer un outil conforme RGPD hébergé en Europe d'un assistant américain connecté à des serveurs de l'autre côté de l'Atlantique. Ça suppose d'investir sur des formations hybrides — droit du numérique, compréhension des modèles d'IA, gestion du risque — et de revaloriser ces compétences dans les fiches de poste. Le problème, c'est qu'on recrute encore des profils IA en les évaluant sur leurs capacités à maîtriser les outils des acteurs américains dominants. On se tire une balle dans le pied collectivement.

RiffLab : L'offre européenne est-elle à la hauteur pour remplacer ces usages ?

Je vais être honnête : en 2026, l'écart s'est réduit, mais il n'a pas disparu. Il y a des acteurs européens sérieux, des modèles de langage entraînés en Europe sur des données européennes, des solutions d'infrastructure souveraines. Ce n'est pas un désert. Mais on demande encore à nos équipes de faire un effort supplémentaire — d'apprentissage, d'adaptation — pour utiliser ces outils, alors que les interfaces américaines ont des années d'avance en termes d'expérience utilisateur et de marketing. Ce que je dis à mes équipes, c'est que cet effort est un investissement stratégique, pas une punition. Si demain les régulations américaines évoluent, si les conditions d'utilisation changent, si les prix augmentent — ce qui arrive régulièrement — nous ne serons pas en position de dépendance. L'autonomie a un coût à court terme. La dépendance a un coût à long terme, et lui n'est pas maîtrisable.

RiffLab : Comment structurer concrètement la gouvernance IA interne sans paralyser l'innovation ?

La première étape, c'est la cartographie. On ne peut pas gouverner ce qu'on ne voit pas. Il faut savoir quels outils IA sont utilisés, par qui, pour quels usages, avec quelles données. Ça semble basique, mais dans la plupart des ETI que je connais, cette cartographie n'existe pas. Ensuite, on peut construire une politique différenciée : il y a des usages à faible risque — reformulation d'un texte générique, résumé d'un article public — et des usages à risque élevé — traitement de données clients, RH, contrats. Cette gradation permet de ne pas tout interdire, tout en posant des lignes claires là où l'enjeu est réel. Enfin, il faut un processus de validation rapide pour les nouveaux outils demandés par les équipes. Si ce processus prend six mois, les collaborateurs ne l'utiliseront pas et iront chercher eux-mêmes. La gouvernance doit être agile ou elle sera contournée. Je pense qu'une cellule légère — trois à cinq personnes, DSI, RSSI, DPO, un représentant métier — capable de statuer en quelques jours sur un outil est réaliste pour une ETI de taille moyenne.

RiffLab : Un mot sur le rôle du management dans tout ça ?

C'est le nerf de la guerre, et on l'oublie trop souvent. La shadow IA, ce n'est pas un problème de collaborateurs désobéissants. C'est un problème de management qui n'a pas intégré les enjeux numériques dans ses propres priorités. J'ai vu des directeurs commerciaux encourager implicitement l'usage d'outils non audités parce que ça accélérait la production de leurs équipes. Je comprends la pression du résultat. Mais un dirigeant qui ne comprend pas que la donnée client est un actif stratégique — et que la laisser partir sur des serveurs hors juridiction européenne, c'est potentiellement la livrer à un concurrent ou à une législation étrangère — ce dirigeant prend un risque qu'il ne mesure pas. Il faut que la souveraineté numérique devienne un sujet de CODIR, pas seulement une note technique du RSSI lue en diagonale. C'est une question de compétitivité, de conformité réglementaire croissante, et franchement, d'identité : est-ce qu'on veut que nos données, notre savoir-faire, notre intelligence collective, continuent d'alimenter des modèles qui appartiennent à des acteurs sur lesquels nous n'avons aucune prise ? Moi, ma réponse est non.

*Propos recueillis par la rédaction de RiffLab Media. L'interlocuteur a souhaité conserver l'anonymat.*