En moins de deux ans, ChatGPT, Microsoft Copilot et leurs concurrents se sont installés dans le quotidien des salariés français, souvent sans que la direction ou la DSI ne l'aient décidé. Selon plusieurs études sectorielles de 2025, plus de 70 % des collaborateurs utilisant l'IA générative au travail le font via des outils non validés par leur entreprise : c'est le phénomène du shadow AI. Le gain de productivité est réel, mais le risque l'est tout autant : un contrat, un fichier client ou une ligne de code collés dans un prompt peuvent quitter votre périmètre de contrôle en une seconde. Pour les PME et ETI, l'enjeu de 2026 n'est plus d'interdire l'IA, mais de la maîtriser.
Shadow AI : quand l'IA générative entre par la petite porte
Le shadow AI désigne l'usage d'outils d'intelligence artificielle générative en dehors de tout cadre validé par l'entreprise : un commercial qui rédige sa proposition sur la version gratuite de ChatGPT, un développeur qui débogue son code sur un assistant grand public, un RH qui résume des entretiens sur une application installée sans contrôle. Ces usages partent d'une bonne intention — gagner du temps — mais court-circuitent totalement la DSI et le RSSI.
Le problème, pour une PME ou une ETI, est la perte de visibilité. On ne peut pas protéger ce que l'on ne voit pas. Sans inventaire des outils réellement utilisés, impossible de savoir quelles données sortent, vers quels prestataires, ni sous quelles conditions contractuelles. En 2026, le shadow AI est devenu l'un des principaux angles morts de la cybersécurité des entreprises françaises, au même titre que le shadow IT l'était il y a dix ans.
Où sont les vraies fuites de données
La fuite la plus courante est aussi la plus banale : le copier-coller. Code source propriétaire, données personnelles de clients, informations financières, documents stratégiques ou éléments couverts par le secret des affaires se retrouvent dans un prompt. Avec les versions grand public de nombreux services, ces contenus peuvent être conservés et, selon les conditions d'utilisation, réutilisés pour entraîner les modèles. Une donnée saisie une fois peut ainsi devenir incontrôlable.
À cela s'ajoutent des risques moins visibles : extensions de navigateur et plugins qui aspirent le contenu des pages, connecteurs mal configurés entre un assistant IA et votre messagerie ou vos fichiers, et conformité au RGPD mise à mal dès qu'une donnée personnelle transite vers un serveur hors Union européenne. Pour une ETI soumise à NIS2 ou un acteur financier sous DORA, un usage non maîtrisé de l'IA générative peut aussi constituer une faille de conformité, pas seulement un risque technique.
Copilot et IA d'entreprise : un cadre, pas une interdiction
La bonne nouvelle, c'est qu'il existe des alternatives pensées pour l'entreprise. Microsoft 365 Copilot, ChatGPT Enterprise, Copilot dans GitHub ou les offres équivalentes proposent des engagements contractuels clairs : pas de réutilisation de vos données pour l'entraînement, chiffrement, hébergement maîtrisé, journalisation des accès et respect du périmètre de permissions existant. C'est une différence de nature, pas seulement de prix, par rapport aux versions gratuites grand public.
Attention toutefois : déployer Copilot ne suffit pas à régler le problème. Un assistant connecté à l'ensemble de vos fichiers reproduit fidèlement vos droits d'accès — y compris ceux qui sont trop larges. Si un dossier sensible est ouvert à tout le monde, l'IA le rendra simplement plus facile à trouver. Avant d'activer ces outils en PME comme en ETI, un ménage dans la gouvernance des droits et le classement des données est un prérequis, pas une option.
Cinq mesures concrètes à déployer dès maintenant
Premièrement, cartographier les usages réels : un court sondage interne anonyme et l'analyse des flux réseau révèlent souvent que l'IA générative est déjà partout. Deuxièmement, publier une charte d'usage de l'IA en une page, lisible et concrète : ce que l'on peut faire, ce que l'on ne colle jamais (données clients, secrets, code propriétaire), et l'outil de référence validé par l'entreprise.
Troisièmement, offrir une alternative officielle et performante, car interdire sans proposer pousse mécaniquement vers le shadow AI. Quatrièmement, former les équipes : 80 % des incidents viennent d'un manque de sensibilisation, pas de malveillance. Cinquièmement, contrôler techniquement les flux sensibles via des règles de prévention des fuites (DLP) sur la messagerie et les terminaux. Ces cinq mesures, déployables en quelques semaines, couvrent l'essentiel du risque sans freiner la productivité.
Gouvernance de l'IA : un sujet de direction, pas seulement de DSI
Encadrer l'IA générative n'est pas qu'une affaire technique. Le règlement européen sur l'intelligence artificielle (AI Act) monte en puissance et impose progressivement des obligations de transparence et de gestion des risques. Combiné au RGPD, à NIS2 et, pour le secteur financier, à DORA, il fait de l'usage de l'IA un véritable sujet de conformité que les dirigeants de PME et d'ETI françaises ne peuvent plus déléguer entièrement.
Concrètement, cela signifie nommer un responsable du sujet, tenir un registre des outils d'IA autorisés, documenter les traitements de données associés et réévaluer ces choix au moins une fois par an. Une gouvernance légère mais réelle vaut mieux qu'une politique parfaite jamais appliquée. L'objectif en 2026 est d'avancer vite sur l'IA tout en gardant la main sur ses données et sa responsabilité juridique.
Passer à l'action avec My Trust Partner
Maîtriser l'IA générative, c'est concilier productivité et protection des données : cartographier les usages, choisir les bons outils d'entreprise, durcir la gouvernance des droits et former les équipes. C'est exactement le type d'accompagnement que My Trust Partner propose aux PME, ETI et grands comptes en France : audit de votre exposition au shadow AI, mise en place d'une charte et d'une gouvernance IA alignées sur le RGPD, NIS2 et DORA, RSSI externalisé et formation Qualiopi de vos collaborateurs.
Vous ne savez pas par où commencer ni quelles données circulent réellement dans vos assistants IA ? Demandez un diagnostic sur mytrustpartner.fr. En quelques échanges, nous établissons un état des lieux clair et une feuille de route concrète pour tirer parti de l'IA générative sans exposer vos informations sensibles.