Shadow AI dans les institutions : quand l'Europe découvre que ses données travaillaient gratuitement pour d'autres
Date Published

# Shadow AI dans les institutions : quand l'Europe découvre que ses données travaillaient gratuitement pour d'autres
*En 2026, le shadow AI n'est plus un phénomène marginal. Dans les couloirs de l'Assemblée nationale, du Parlement européen ou des grandes administrations, des agents publics utilisent depuis des mois des outils d'IA non référencés — souvent américains — pour rédiger, synthétiser, traduire. Un DSI d'une institution parlementaire européenne, sous couvert d'anonymat, revient sur ce que cette prise de conscience a changé concrètement dans sa façon de piloter son SI et ses budgets.*
Quand vous avez commencé à mesurer l'ampleur du shadow AI dans votre institution, qu'est-ce qui vous a frappé en premier — sur le plan budgétaire ?
Ce qui m'a frappé, c'est précisément ce que ça ne coûtait pas — en apparence. Les agents utilisaient des versions gratuites ou freemium d'outils américains. Zéro ligne dans mon budget IT. Mais quand j'ai commencé à cartographier les flux de données qui sortaient de notre périmètre, j'ai compris que le coût réel était ailleurs : dans la valeur des données que nous offrions, sans le savoir, à des modèles entraînés hors de notre juridiction. Des données législatives, des projets de textes, des notes d'analyse politique. Le modèle économique de ces outils, c'est souvent ça : la gratuité contre la donnée. Nous payions, mais pas en euros.
Comment avez-vous traduit ce risque en argument budgétaire face à votre direction ?
J'ai arrêté de parler de cybersécurité abstraite. J'ai posé une question simple à ma direction : si demain un acteur américain décide de monétiser les données collectées via ses outils gratuits, ou de modifier ses conditions d'utilisation, quel est notre recours juridique ? La réponse est connue. Aucun, ou presque. Ensuite, j'ai simulé un scénario de migration forcée : qu'est-ce que ça nous coûte si, dans dix-huit mois, l'outil sur lequel nos équipes sont devenues dépendantes double ses tarifs ou ferme son accès européen pour des raisons réglementaires ? Ce n'est pas de la paranoïa — c'est de la gestion de risque tarifaire. Et là, les arbitrages budgétaires deviennent beaucoup plus faciles à justifier.
Concrètement, comment avez-vous structuré la réponse sur le plan opérationnel sans exploser votre budget ?
On a fait un choix que je résumerais ainsi : pas de big bang, mais plus aucune tolérance zéro coût. Tout outil d'IA qui touche des données institutionnelles doit passer par une procédure de référencement. Ça a l'air administratif, mais c'est en réalité une bascule culturelle. On a ensuite alloué un budget dédié — modeste au départ — pour tester des alternatives souveraines sur les usages les plus sensibles : synthèse de documents, aide à la rédaction juridique, traduction interne. Nous travaillons notamment avec Clever Cloud pour l'hébergement de nos expérimentations, parce que c'est une infrastructure européenne qualifiée, avec des garanties contractuelles qui tiennent la route face au Cloud Act américain. Ce n'est pas parfait, mais c'est auditable. Et l'auditabilité, pour une institution publique, c'est non négociable.
Le risque tarifaire des hyperscalers, vous l'avez vécu directement ou c'est encore théorique pour vous ?
Direct. Pas sur l'IA spécifiquement, mais sur des services cloud sous-jacents. On a subi une révision tarifaire en cours de contrat — dans les marges contractuellement prévues, donc légale — qui a représenté une hausse significative sur une ligne budgétaire que j'avais gelée. Ce qui m'a le plus choqué, ce n'est pas la hausse en elle-même : c'est que je n'avais aucun levier de négociation réel, parce que la migration aurait coûté bien plus cher que d'accepter. C'est le piège de la dépendance. Sur l'IA, le mécanisme est identique, mais amplifié : les coûts de sortie sont exponentiels dès que vos équipes ont été formées sur un outil spécifique, que vos workflows sont construits autour de lui, que vos données ont été structurées pour l'alimenter. La captation de valeur se passe à ce moment-là, pas au moment de l'abonnement.
Les alternatives européennes sont-elles réellement à la hauteur pour des usages institutionnels en 2026, ou on raisonne encore en compromis ?
On raisonne encore partiellement en compromis, soyons honnêtes. Mais le delta s'est drastiquement réduit. Sur la traduction, sur la synthèse documentaire, sur l'assistance à la rédaction de textes standardisés, les solutions européennes sont opérationnelles. Ce n'est plus un débat sur la qualité technique — c'est un débat sur la maturité de l'offre commerciale et sur l'accompagnement. Là où les acteurs américains sont très forts, c'est dans l'expérience d'intégration : onboarding rapide, documentation irréprochable, support réactif. Les acteurs européens doivent encore monter en puissance sur ces dimensions. Mais j'observe que ça bouge vite. Et franchement, pour une institution comme la nôtre, un outil souverain qui couvre 80 % du besoin avec une garantie juridique solide vaut mieux qu'un outil américain qui couvre 100 % du besoin avec zéro garantie sur ce qui se passe derrière.
Que recommanderiez-vous à un DSI d'ETI qui lit ceci et qui se dit que ses moyens ne sont pas ceux d'une institution parlementaire ?
Je lui dirais que la contrainte budgétaire est en réalité un avantage tactique. Une institution comme la mienne a des processus lourds, des appels d'offres interminables, des comités de validation. Une ETI peut décider en six semaines de basculer un cas d'usage sensible sur une solution souveraine. La première chose à faire, c'est d'identifier ses deux ou trois flux de données les plus stratégiques — pas les plus visibles, les plus stratégiques. Offres commerciales, R&D, données RH sensibles. C'est là que le shadow AI fait le plus de dégâts silencieux. Ensuite, ne pas chercher à tout résoudre d'un coup. Un périmètre maîtrisé avec des données sous contrôle vaut infiniment mieux qu'un grand plan de transformation qui ne démarre jamais parce qu'il est trop ambitieux. La souveraineté numérique, pour un DSI de PME, ça commence par une décision concrète sur un périmètre concret. Pas par un projet de trois ans.
*Entretien réalisé à Bruxelles, mars 2026. L'identité de notre interlocuteur est préservée à sa demande.*
Cet article vous a été utile ?
Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.
Pas de spam. Désinscription en un clic. Données hébergées en Europe.