L'essentiel en 30 secondes
- Shadow IA : 40 % des PME utilisent des outils d'IA sans déclaration (étude 2025)
- EU AI Act : sanctions jusqu'à 7 % du CA pour non-conformité (Article 83 du Règlement (UE) 2024/1689)
- ISO 42001 : guide pour l'audit interne des systèmes d'IA non déclarés
- CNIL : amendes possibles jusqu'à 150 millions d'euros pour violations RGPD-IA
- Deadline 2026 : obligation de conformité pour tous les acteurs utilisant l'IA
- Solution : cartographier les outils IA et former les équipes dès maintenant
Dans la plupart des PME françaises, le directeur général ne connaît pas la moitié des outils d'IA utilisés par ses collaborateurs. L'assistante commerciale utilise ChatGPT pour rédiger ses propositions. Le comptable a branché un outil de catégorisation automatique sur l'ERP. Le responsable RH teste un logiciel de présélection de CV depuis trois mois. Aucun de ces outils n'est référencé, évalué ni documenté. C'est exactement ça, la Shadow IA. Et depuis le 2 août 2026, c'est un risque juridique chiffrable.
1. Qu'est-ce que la Shadow IA ?
La Shadow IA désigne l'ensemble des outils d'intelligence artificielle utilisés au sein d'une organisation sans déclaration formelle, sans évaluation des risques et sans contrôle de la direction ou du service informatique.
La notion est calquée sur celle du "Shadow IT" qui s'est développée dans les années 2010 avec la démocratisation des logiciels SaaS. Mais la Shadow IA présente des risques spécifiques plus graves : les systèmes d'IA prennent des décisions, génèrent des recommandations et traitent des données sensibles de manière opaque, sans que personne dans l'entreprise ne soit en mesure d'expliquer les résultats produits.
Les exemples courants dans les PME : les chatbots génériques accessibles en ligne (ChatGPT, Claude, Gemini) utilisés pour traiter des informations confidentielles sur des clients ou des salariés, les logiciels de prédiction non certifiés intégrés dans des tableaux Excel, les modules d'automatisation IA intégrés dans des outils SaaS sans que la fonctionnalité ait été évaluée par l'entreprise, les outils de génération de contenu utilisés pour produire des communications officielles sans supervision.
L'impact potentiel dépasse le seul cadre juridique. Un outil non déclaré est un outil dont la qualité, la sécurité et l'équité ne sont pas garanties. Il peut introduire des biais dans vos décisions commerciales, exposer des données confidentielles à des serveurs situés hors de l'UE, et créer des précédents dans vos processus RH ou commerciaux difficiles à corriger a posteriori.
Pour comprendre comment l'EU AI Act classifie ces outils selon leur niveau de risque, consultez notre guide AI Act pour PME françaises.
2. Les enjeux juridiques de la Shadow IA
L'EU AI Act crée trois catégories d'enjeux juridiques directement liés à la Shadow IA.
La classification des risques ignorée. Le Règlement (UE) 2024/1689 classe les systèmes d'IA en quatre niveaux : interdit, haut risque, risque limité, risque minimal. Un outil non déclaré n'a pas été soumis à cette classification. S'il s'avère relever du niveau "haut risque" — parce qu'il prend des décisions en matière d'emploi, de crédit ou d'accès à des services — l'entreprise est en infraction depuis son premier jour d'utilisation.
Les sanctions de l'Article 83. L'Article 83 du Règlement (UE) 2024/1689 prévoit des amendes administratives pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations les plus graves, notamment l'utilisation de systèmes d'IA interdits. Pour les systèmes à haut risque utilisés sans les procédures obligatoires, les amendes atteignent 15 millions d'euros ou 3 % du CA annuel. Ces sanctions s'appliquent à l'entreprise qui déploie l'outil, même si c'est un fournisseur qui l'a développé.
Le RGPD et les données personnelles. Chaque outil d'IA qui traite des données personnelles — ce qui inclut les noms de clients, les profils de salariés, les adresses e-mail — doit être déclaré dans le registre des activités de traitement prévu par l'Article 30 du RGPD. Un outil Shadow IA qui traite ces données sans déclaration constitue une violation du RGPD, exposant l'entreprise à des amendes allant jusqu'à 20 millions d'euros ou 4 % du CA annuel selon l'Article 83 du Règlement (UE) 2016/679.
Consultez notre page sur les sanctions cumulées AI Act et RGPD pour évaluer votre exposition réelle selon le type d'outils utilisés.
3. Les risques opérationnels
Au-delà du cadre légal, la Shadow IA génère trois catégories de risques opérationnels qui peuvent affecter votre activité indépendamment de tout contrôle réglementaire.
Le biais algorithmique non détecté. Un outil de scoring de leads ou de présélection de candidatures peut introduire des biais systématiques sans que personne ne le remarque. Si l'outil a été entraîné sur des données sous-représentant certains groupes démographiques, il reproduira et amplifiera ces inégalités dans vos décisions commerciales ou RH. Sans audit régulier, ce biais peut s'installer durablement dans vos processus.
La sécurité des données compromise. Les outils d'IA grand public opèrent sur des serveurs dont vous ne maîtrisez pas la localisation géographique ni les conditions de sécurité. Lorsqu'un collaborateur saisit des données clients confidentielles dans ChatGPT pour rédiger une proposition commerciale, ces données sont potentiellement entraînées dans les modèles futurs du fournisseur. Les clauses de confidentialité des offres gratuites ne garantissent généralement pas la protection des données personnelles au sens du RGPD.
Les coûts cachés. Un outil non déclaré est un outil non négocié. L'entreprise ne bénéficie ni des conditions tarifaires d'un contrat cadre, ni des garanties de niveau de service, ni d'un support en cas de dysfonctionnement. Les coûts de maintenance, de correction des erreurs et de formation informelle des utilisateurs restent invisibles dans les budgets, mais pèsent réellement sur la productivité.
4. Étape 1 : Cartographie des outils IA
La cartographie est le premier geste de conformité. Elle consiste à identifier, lister et décrire tous les outils d'IA utilisés dans l'entreprise, qu'ils soient déclarés ou non.
Méthode de l'audit interne par entretiens. Interrogez chaque responsable de département sur les outils qu'ils utilisent ou que leurs équipes utilisent. Posez la question de manière large : "Utilisez-vous des outils qui automatisent des tâches, suggèrent des actions ou prennent des décisions à votre place ?" Cette formulation capture les outils d'IA sans que les utilisateurs aient besoin de connaître la définition technique de l'intelligence artificielle.
Méthode technique. Votre équipe informatique peut analyser les journaux de connexion réseau pour détecter les appels vers des APIs ou des services SaaS non répertoriés. Les extensions de navigateur installées sur les postes de travail, les add-ons dans les outils collaboratifs (Slack, Teams, Gmail) et les applications mobiles professionnelles sont également des sources de Shadow IA fréquentes.
Classification par niveau de risque. Pour chaque outil identifié, attribuez provisoirement un niveau de risque selon la classification AI Act. L'ISO 42001:2023 recommande une matrice de classification intégrant trois critères : l'impact sur des personnes physiques, la réversibilité des décisions prises et le volume de données traitées. Cette classification guidera les étapes suivantes.
| Critère de classification | Risque minimal | Risque limité | Haut risque |
|---|---|---|---|
| Impact sur des personnes physiques | Aucun impact direct | Impact indirect ou réversible | Impact direct et potentiellement irréversible |
| Décisions automatisées | Aucune | Suggestions sans exécution auto. | Décisions exécutées automatiquement |
| Données personnelles traitées | Aucune | Données non sensibles | Données sensibles ou à grande échelle |
| Secteur d'application | Contenu, productivité | Recommandations commerciales | Emploi, crédit, accès aux services |
Consultez notre glossaire pour les définitions précises de chaque niveau de risque selon le texte de l'AI Act.
5. Étape 2 : Évaluation des risques
Une fois la cartographie établie, chaque outil doit faire l'objet d'une évaluation de risques structurée. Cette évaluation guide les décisions de la prochaine étape : conserver l'outil tel quel, le mettre en conformité, ou le remplacer.
Analyse des impacts sur les données sensibles. Identifiez quelles données chaque outil traite. Les données personnelles (noms, e-mails, numéros de téléphone) déclenchent les obligations RGPD. Les catégories particulières de données (santé, situation financière, opinions politiques, origine ethnique) déclenchent des obligations renforcées. Les données confidentielles de l'entreprise (projets clients, plans stratégiques) ne sont pas couvertes par le RGPD mais relèvent du secret des affaires.
Évaluation selon les critères AI Act. Pour chaque outil potentiellement à haut risque, vérifiez sa présence dans l'Annexe III du Règlement (UE) 2024/1689. La liste couvre huit domaines : biométrie, infrastructures critiques, éducation, emploi, services essentiels (crédit, assurance, services sociaux), application de la loi, gestion des migrations, administration de la justice. Tout outil opérant dans ces domaines et prenant des décisions automatisées est présumé à haut risque.
Évaluation selon les recommandations CNIL. La CNIL a publié des lignes directrices spécifiques sur l'IA et le RGPD, disponibles sur son site officiel. Ces recommandations précisent comment évaluer les risques pour la vie privée des systèmes d'IA, avec une grille d'analyse adaptée aux PME françaises.
Pour les outils les plus complexes, le service desk européen de l'AI Act propose un outil d'auto-évaluation guidée gratuit, disponible en français.
Réalisez votre cartographie Shadow IA en 48 heures
Regulia vous accompagne dans l'audit de vos outils d'IA non déclarés : entretiens par département, classification AI Act et rapport de risques prêt pour votre direction.
Demander un audit Shadow IA6. Étape 3 : Mise en conformité
L'évaluation des risques produit trois types de décisions pour chaque outil identifié.
Décision 1 — Conserver et documenter. L'outil présente un risque minimal ou limité, traite peu ou pas de données personnelles, et ses décisions restent sous contrôle humain effectif. Vous le déclarez dans votre registre AIMS, vous vérifiez les conditions contractuelles avec le fournisseur (localisation des données, conditions de traitement), et vous mettez en place une procédure de revue annuelle.
Décision 2 — Mettre en conformité. L'outil relève du haut risque mais peut être maintenu si les procédures obligatoires sont mises en place : FRIA documentée, supervision humaine opérationnelle, registre des décisions automatisées, information des personnes concernées. Cette mise en conformité demande généralement 4 à 8 semaines de travail et peut nécessiter une négociation avec l'éditeur pour obtenir la documentation technique requise par l'Article 13 du Règlement (UE) 2024/1689.
Décision 3 — Remplacer ou interdire. L'outil relève d'une pratique interdite par l'Article 5 du Règlement (UE) 2024/1689 (notation sociale généralisée, manipulation comportementale, surveillance biométrique en masse dans des espaces publics), ou présente des risques insurmontables sans remplacement technique. L'interdiction doit être formalisée dans une politique d'utilisation des outils IA, communiquée aux équipes et intégrée dans le règlement intérieur ou la charte informatique.
Formation des utilisateurs. Quelle que soit la décision retenue, les utilisateurs des outils IA doivent recevoir une formation sur les politiques de l'entreprise : quels outils sont autorisés, dans quelles conditions, pour quels usages. Cette formation doit être documentée — date, contenu, participants — pour constituer une preuve de diligence en cas de contrôle.
7. Étape 4 : Gestion continue
La Shadow IA n'est pas un problème que l'on résout une fois pour toutes. De nouveaux outils apparaissent chaque semaine. Vos collaborateurs testent, adoptent et abandonnent des solutions en permanence. La gestion continue est indispensable.
Surveillance des nouvelles technologies. Mettez en place une veille mensuelle sur les nouveaux outils d'IA disponibles dans vos secteurs d'activité. Désignez un responsable AIMS chargé de centraliser les demandes d'utilisation de nouveaux outils et de les soumettre au processus d'évaluation avant tout déploiement. Une procédure simple — formulaire de demande, délai de réponse de 5 jours ouvrés, décision documentée — suffit à maintenir le contrôle.
Cycle d'amélioration continue ISO 42001. L'ISO 42001:2023 impose un cycle PDCA (Plan-Do-Check-Act) appliqué à la gestion des systèmes d'IA. La section 10.2 de la norme exige que les non-conformités identifiées lors des audits internes donnent lieu à des actions correctives documentées et vérifiées. Ce cycle s'applique directement à la gestion de la Shadow IA : chaque outil non déclaré découvert lors d'un audit constitue une non-conformité à corriger.
Rapports annuels. L'Article 72 du Règlement (UE) 2024/1689 impose aux opérateurs de systèmes d'IA à haut risque de soumettre des rapports annuels sur leur performance et les incidents survenus aux autorités nationales. Ces rapports s'appuient sur les données du registre AIMS. Une gestion continue structurée rend la production de ces rapports non-coûteuse.
Nos sources officielles compilent les textes de référence utiles pour votre veille réglementaire mensuelle.
8. Les outils de gestion
Trois catégories d'outils facilitent la gestion durable de la Shadow IA.
Plateformes de contrôle. Le service desk européen de l'AI Act centralise les ressources officielles : classification des systèmes d'IA, outils d'auto-évaluation, FAQ sectorielles, formulaire de contact pour les cas complexes. Ces ressources sont gratuites et régulièrement mises à jour.
Outils de conformité ISO 42001. Les organismes de certification accrédités proposent des outils de pré-audit permettant d'évaluer l'écart entre votre situation actuelle et les exigences de la norme. Ces outils produisent un rapport d'écarts priorisé, point de départ naturel de votre plan de mise en conformité.
Audit externe CNIL et régulateurs. La CNIL propose un service d'accompagnement des PME, distinct de ses activités de contrôle, qui peut être sollicité de manière proactive pour valider votre démarche. Un contact préventif avec la CNIL, documenté dans votre dossier de conformité, démontre la bonne foi de l'entreprise et peut significativement atténuer les sanctions en cas de contrôle ultérieur.
FAQ
Quelles sont les sanctions pour non-conformité avec l'EU AI Act ?
Les sanctions varient selon la gravité de l'infraction. L'utilisation d'un système d'IA interdit peut entraîner des amendes de 35 millions d'euros ou 7 % du CA mondial (Article 83(1) du Règlement (UE) 2024/1689). L'utilisation d'un système à haut risque sans les procédures obligatoires expose à 15 millions d'euros ou 3 % du CA mondial. Les violations RGPD parallèles peuvent s'ajouter pour un montant supplémentaire de 20 millions d'euros ou 4 % du CA. Ces sanctions ne se remplacent pas : elles se cumulent. Consultez notre page sanctions pour les détails.
Comment identifier les outils d'IA utilisés par mon équipe ?
Commencez par des entretiens par département, en posant la question de manière large. Demandez à votre équipe informatique d'analyser les journaux réseau pour détecter les services SaaS non répertoriés. Vérifiez les extensions de navigateur installées sur les postes de travail. Consultez les add-ons actifs dans vos outils collaboratifs. L'ISO 42001:2023 recommande cette approche multi-canal pour garantir l'exhaustivité de la cartographie.
Quel est le délai pour se conformer à l'EU AI Act ?
Les dispositions principales de l'AI Act s'appliquent depuis le 2 août 2026 pour les systèmes à haut risque. Les PME en retard doivent engager immédiatement leur démarche de cartographie et d'évaluation. Le service desk de l'AI Act propose des outils d'auto-évaluation pour établir un plan de conformité priorisé selon votre secteur et vos systèmes.
Dois-je remplacer tous les outils d'IA non conformes ?
Non. Le remplacement n'est obligatoire que pour les outils relevant des pratiques interdites par l'Article 5 du Règlement (UE) 2024/1689. Pour les outils à haut risque, une mise en conformité — FRIA, supervision humaine, documentation — suffit si elle est réalisée et maintenue. Pour les outils à risque limité ou minimal, une déclaration dans le registre AIMS et une vérification des conditions contractuelles avec l'éditeur sont généralement suffisantes.
Quelle est la différence entre l'EU AI Act et le RGPD-IA ?
L'EU AI Act régule les systèmes d'IA en fonction de leur niveau de risque pour la société, indépendamment du traitement de données personnelles. Le RGPD s'applique à tout traitement de données personnelles, y compris par des systèmes d'IA. Une violation RGPD-IA peut entraîner une amende de 4 % du CA (Article 83 RGPD), tandis que l'AI Act prévoit des sanctions jusqu'à 7 % du CA (Article 83 AI Act). Les deux textes s'appliquent simultanément. Consultez notre glossaire pour une comparaison détaillée des deux régimes.
Téléchargez la checklist Shadow IA pour PME
12 questions pour identifier vos outils d'IA non déclarés, un tableau de classification par niveau de risque AI Act, et le plan d'action en 4 étapes adapté aux PME françaises.
Télécharger la checklist gratuiteSources officielles
- Règlement (UE) 2024/1689 — AI Act, texte consolidé avec annotations
- AI Act Service Desk européen — outils d'auto-évaluation et FAQ sectorielles
Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique.