Skip to main content

Gouvernance IA en entreprise : Shadow AI, charte, registre

55 % des TPE-PME utilisent l'IA générative ; 30 % des entreprises n'ont aucune gouvernance IA. La méthode pour combler l'écart, en trois pièces : détection, charte, registre.

Note Google 5/5 · +130 projets livrés en cumulé · réservez 30 min — gratuit

Gouvernance IA en entreprise : détecter le Shadow AI, rédiger une charte IA, tenir le registre des systèmes IA
Gouvernance IA
Par Victor
12 min de lecture

L'essentiel

  • • 55 % des TPE-PME utilisent l'IA générative fin 2025 (Bpifrance Le Lab) ; 30 % des entreprises n'ont pas de gouvernance IA définie et à peine 10 % se disent prêtes à un audit (EY, 2025). Cet écart a un nom : le Shadow AI.
  • • Le Shadow AI se niche à quatre endroits précis : comptes IA personnels des salariés, extensions de navigateur, fonctions IA activées par défaut dans vos logiciels, prestataires qui utilisent l'IA sans le dire.
  • • Une charte IA d'une page que tout le monde connaît protège mieux qu'un document de 30 pages que personne ne lit. Elle doit trancher quatre questions, pas quarante.
  • • Le registre des systèmes IA tient dans un tableau à six colonnes. C'est le premier document qu'un auditeur, un client grand compte ou un assureur vous demandera.
  • • Pas besoin de comité IA : en PME, un binôme dirigeant + référent et une heure par mois suffisent, une fois la mise en place faite.

Fin 2025, 55 % des TPE-PME françaises utilisent l'IA générative (Bpifrance Le Lab, janvier 2026). Dans le même temps, 30 % des entreprises n'ont aucune gouvernance IA définie, et à peine 10 % se déclarent prêtes à un audit (EY, 2025). L'usage a couru plus vite que le cadre.

Cet écart n'est pas théorique. Il a un nom — le Shadow AI — et une conséquence : des données clients qui circulent dans des outils que personne n'a évalués, des décisions assistées par IA que personne ne supervise, et une entreprise incapable de répondre à la première question d'un contrôle : « quels systèmes d'IA utilisez-vous ? »

Ce guide donne la méthode que nous appliquons en mission d'audit de conformité IA : détecter le Shadow AI en une matinée, écrire une charte que vos équipes liront vraiment, tenir un registre qui vous prépare aux échéances de l'AI Act.

1. Le Shadow AI : définition, et où il se niche

Le Shadow AI désigne l'ensemble des usages d'intelligence artificielle au sein d'une entreprise qui échappent à toute validation, tout suivi et toute règle interne. Il naît rarement d'une intention de nuire : dans l'immense majorité des cas, ce sont des salariés qui gagnent du temps avec des outils que l'entreprise n'a jamais évalués.

Le terme prolonge le « Shadow IT » — les logiciels installés sans l'aval de la direction. Mais l'IA aggrave le problème d'un cran : un tableur non déclaré stocke des données ; un outil d'IA générative les envoie à un tiers, les traite, et parfois les conserve. En PME, le Shadow AI se concentre à quatre endroits.

1. Les comptes IA personnels des salariés

Le cas le plus fréquent. Un commercial colle l'historique d'un client dans son assistant IA personnel pour préparer un rendez-vous. Un comptable y met un extrait de balance pour comprendre un écart. L'outil est gratuit, le compte est à leur nom : les données sortent de l'entreprise sans contrat, sans paramétrage de confidentialité, sans trace.

2. Les extensions de navigateur

Correcteurs augmentés, résumeurs de pages, assistants qui transcrivent les visios. Beaucoup lisent tout ce qui s'affiche à l'écran — y compris votre CRM et vos emails. Elles s'installent en deux clics, sans passer par personne.

3. Les fonctions IA activées par défaut dans vos logiciels

Votre CRM, votre outil de visio, votre suite bureautique ont tous ajouté des fonctions IA ces deux dernières années. Souvent activées par défaut, ou par un utilisateur curieux. Personne n'a décidé, personne n'a lu où partaient les données. C'est du Shadow AI sous licence officielle — payé par l'entreprise elle-même.

4. Les prestataires qui utilisent l'IA sans le dire

Votre agence, votre cabinet comptable, votre freelance : eux aussi ont adopté l'IA générative. Vos données clients transitent alors par leurs outils, que vous n'avez jamais évalués. Rares sont les contrats de prestation antérieurs à 2024 qui encadrent ce point : une question à poser à vos prestataires en place, une ligne à ajouter aux prochains contrats.

2. Détecter le Shadow AI en une matinée

Pas besoin d'un audit de trois semaines pour obtenir une première photographie fiable. Voici le déroulé que nous utilisons, calé sur une matinée.

  • Le relevé des outils (1 h). Trois sources. Les abonnements logiciels qui apparaissent dans la comptabilité — y compris les petits montants passés en note de frais, c'est là que se cachent les comptes IA. La console d'administration de votre suite bureautique : la liste des applications tierces connectées aux comptes de vos salariés est souvent édifiante. Enfin, les extensions de navigateur installées sur un échantillon de postes.
  • L'interrogation par métier (1 h 30). Quinze à vingt minutes par équipe — commerce, administration, production. Une seule question d'ouverture : « qu'est-ce qui vous fait gagner du temps en ce moment ? ». Jamais « utilisez-vous l'IA sans autorisation ? » : la question punitive fait mentir. Annoncez l'amnistie d'entrée de jeu : tout ce qui est déclaré ce matin est sans conséquence. L'objectif est la carte, pas les coupables.
  • La consolidation (30 min). Un tableau à trois colonnes : l'outil, qui l'utilise, quelles données y passent. Cette feuille brute vaut plus qu'elle n'en a l'air : c'est la première version de votre registre des systèmes IA (section 4).

Notre position : interdire sans fournir d'alternative ne supprime pas le Shadow AI — ça le rend invisible : les usages continuent sur les téléphones personnels, hors de vue. La parade durable tient en deux pièces : un outil approuvé qui rend le même service, et des règles claires pour s'en servir. C'est l'objet des deux sections suivantes.

3. La charte IA : les quatre questions qu'elle doit trancher

Une charte IA n'est pas un document juridique de plus. C'est un arbitrage : ce que l'entreprise autorise, ce qu'elle interdit, et qui décide. Si votre charte ne tranche pas les quatre questions suivantes, elle décore.

Quels usages, pour quelles données ?

Le bon axe n'est pas l'outil, c'est la catégorie de données. Les outils changent sans arrêt ; vos catégories de données, non. Une grille simple suffit : données publiques, données internes, données personnelles, données sensibles ou stratégiques — et pour chacune, ce qui peut être saisi, où. Par catégorie d'usage ensuite : rédaction, analyse, code, images, chacune avec sa condition (relecture humaine, revue par un développeur, pas de personnes réelles en image).

Où la validation humaine est-elle obligatoire ?

Tout contenu envoyé à un client. Toute décision qui affecte un salarié ou un candidat. Tout prix, tout devis, tout engagement contractuel. L'IA propose, un humain assume — et la charte dit noir sur blanc où c'est non négociable.

Quels outils sont approuvés ?

Une liste courte, nominative, avec le type de compte (entreprise, jamais personnel) et les données admises. Et surtout : un circuit simple pour faire approuver un nouvel outil en quelques jours. Si demander l'autorisation prend un mois, vos équipes ne demanderont pas. C'est aussi là que se joue la souveraineté : pour les questions internes qui touchent des données sensibles, une alternative comme un chatbot IA souverain, hébergé en Europe, rend le service sans exporter vos données.

Comment signale-t-on un incident ?

Une donnée client collée par erreur dans un outil non approuvé, une réponse d'IA fausse partie chez un tiers : ça arrivera. La charte fixe quoi signaler, à qui, sous quel délai — et garantit qu'un signalement de bonne foi n'est jamais sanctionné. Sans cette garantie, les incidents existeront quand même ; vous n'en saurez simplement rien.

Une charte de 30 pages que personne ne lit protège moins qu'une page que tout le monde connaît. En cas de problème, ce qui compte n'est pas d'avoir écrit une règle : c'est de pouvoir démontrer que vos équipes la connaissaient et l'appliquaient. Visez une charte courte, des exemples concrets, une lecture en dix minutes — et une présentation orale à toute l'équipe le jour de son adoption.

Pour ne pas partir d'une page blanche, nous avons rédigé un modèle complet — clauses en langage clair, grille de données, registre inclus — à adapter à votre contexte :

4. Le registre des systèmes IA : six colonnes qui changent un contrôle

Deux raisons de tenir un registre. La première est réglementaire : l'AI Act impose des obligations différentes selon vos systèmes — transparence pour les IA qui interagissent avec des personnes (article 50, applicable le 2 août 2026), exigences renforcées pour le haut risque de l'annexe III (échéance reportée au 2 décembre 2027 par le paquet Digital Omnibus). Impossible de savoir lesquelles vous concernent sans savoir ce qui tourne chez vous.

La seconde est pratique : le registre est le premier document que demandera un auditeur, un client grand compte ou un assureur. À peine 10 % des entreprises se déclarent prêtes à un audit (EY, 2025). La marche est moins haute qu'il n'y paraît : elle commence par un tableau. Six colonnes suffisent pour une PME.

Système Finalité Données traitées Niveau de risque (AI Act) Responsable Fournisseur
Chatbot support client Répondre aux questions courantes sur les commandes Historique de commandes, emails clients Transparence (art. 50) Resp. service client Éditeur SaaS du chatbot
Tri automatique de CV Présélectionner les candidatures CV, données de candidats Haut risque (annexe III) Resp. RH Éditeur de l'outil RH (fonction « matching »)
Génération de devis Rédiger les brouillons de devis Catalogue, historique de prix Risque minimal + validation humaine Resp. commercial Modèle d'IA + intégrateur

La deuxième ligne mérite qu'on s'y arrête. Le tri automatique de candidatures est explicitement classé à haut risque par l'annexe III de l'AI Act. Beaucoup de PME en font sans le savoir : la fonction « matching » de leur outil RH est activée, elles sont donc déployeuses d'un système à haut risque, avec des obligations renforcées à l'échéance du 2 décembre 2027. C'est exactement le genre de cas qu'un registre révèle — et la raison pour laquelle nous concevons nos agents IA opérationnels avec la supervision humaine intégrée dès la conception, pas ajoutée après coup.

Au premier passage, ne visez pas la perfection juridique dans la colonne « niveau de risque » : « interagit avec des personnes », « affecte des salariés ou candidats » suffisent pour prioriser. La qualification fine vient ensuite — c'est le point où un regard extérieur fait gagner du temps.

5. Qui porte ça dans une PME sans DPO ni DSI

La réponse honnête : pas un comité. Un binôme.

Le dirigeant tranche. Il signe la charte, arbitre les usages interdits, assume la position de l'entreprise. Le référent IA tient. Il maintient le registre, reçoit les signalements, répond aux questions du quotidien — « j'ai le droit de mettre ça dans l'outil ? ». Le référent n'a pas besoin d'être technique. La bonne personne est souvent celle qui gère déjà le RGPD ou la qualité — ou l'office manager qui connaît tous les outils de la maison.

La charge réaliste : la mise en place tient en une à deux journées — la matinée de détection, l'adaptation du modèle de charte, la première version du registre. Ensuite, une heure par mois suffit : inscrire les nouveaux outils, traiter les signalements, relire la charte quand un usage change.

Ce qu'il ne faut pas faire : créer un « comité IA » trimestriel sans pouvoir de décision. En PME, un comité qui ne tranche rien produit des comptes rendus, pas de la gouvernance. 57 % des dirigeants n'ont pas de stratégie IA (Bpifrance, juin 2025) : la gouvernance est justement le premier pas concret, avant même la stratégie — on ne pilote pas ce qu'on ne voit pas. Pour situer votre point de départ, commencez par notre score de maturité IA.

6. Les échéances à retenir (et le chiffre qu'on vous brandit à tort)

  • RGPD : déjà applicable. N'attendez aucune échéance : toute donnée personnelle saisie dans un outil d'IA est un traitement au sens du RGPD, dès aujourd'hui. La CNIL a prononcé 83 sanctions en 2025, pour environ 487 millions d'euros d'amendes cumulées.
  • AI Act, article 50 (transparence) : 2 août 2026. Vos interlocuteurs doivent savoir quand ils parlent à une IA ; certains contenus générés doivent être identifiables comme tels.
  • AI Act, annexe III (systèmes à haut risque) : 2 décembre 2027, après le report décidé dans le paquet Digital Omnibus. Recrutement, évaluation des salariés, scoring : les obligations renforcées s'appliquent à cette date.

Et le chiffre qu'on vous brandit à tort : les sanctions maximales de l'AI Act — 35 millions d'euros ou 7 % du chiffre d'affaires mondial — prévues à l'article 99 s'appliquent uniquement aux pratiques interdites : manipulation, notation sociale, exploitation de vulnérabilités. Pas à votre chatbot, pas à votre tri d'emails. Si un prestataire agite ce montant pour vous vendre une conformité express avant le 2 août, méfiance : les manquements de transparence relèvent de paliers de sanction inférieurs — et se préviennent avec ce que décrit cet article.

Détecter, cadrer, enregistrer : c'est le socle, et il est à votre portée en interne avec le modèle fourni. L'étage au-dessus — cartographier les traitements, qualifier chaque système, remédier, documenter pour de bon — c'est un métier. C'est le nôtre : voir notre offre IA conforme RGPD & AI Act.

7. FAQ

Qu'est-ce que le Shadow AI ?

Le Shadow AI désigne l'ensemble des usages d'intelligence artificielle au sein d'une entreprise qui échappent à toute validation, tout suivi et toute règle interne. En PME, il se niche à quatre endroits : les comptes IA personnels des salariés, les extensions de navigateur, les fonctions IA activées par défaut dans les logiciels de l'entreprise, et les prestataires qui utilisent l'IA sans le dire. Il se détecte en une matinée : relevé des licences et extensions, entretien de quinze minutes par équipe avec amnistie annoncée, consolidation dans un tableau outil / utilisateur / données.

Une charte IA est-elle obligatoire en entreprise ?

Non — aucun texte n'impose un document appelé « charte IA ». Mais le RGPD s'applique déjà à toute donnée personnelle saisie dans un outil d'IA, et l'article 50 de l'AI Act imposera la transparence des systèmes qui interagissent avec des personnes au 2 août 2026. Sans règles internes écrites et connues des équipes, ces obligations sont intenables en pratique. La charte n'est pas l'obligation : c'est le moyen le plus court de la tenir — et la preuve, en cas de contrôle, que l'entreprise a encadré les usages.

Quelle est la différence entre une charte IA et un registre des systèmes IA ?

La charte fixe les règles pour les personnes : usages autorisés et interdits, validation humaine, outils approuvés, signalement d'incident. Le registre inventorie les systèmes : finalité, données traitées, niveau de risque AI Act, responsable, fournisseur. La charte se signe et se lit ; le registre se tient à jour. Une gouvernance IA de PME complète tient avec ces deux documents — et rien de plus.

Qui doit tenir le registre des systèmes IA dans une PME ?

Un référent IA désigné, en binôme avec le dirigeant : le dirigeant tranche les règles, le référent tient le registre et reçoit les signalements. Le référent n'a pas besoin d'être technique — la personne qui gère déjà le RGPD ou la qualité est souvent le bon choix. Comptez une à deux journées pour la mise en place, puis une heure par mois. Si l'entreprise a un DPO, c'est son candidat naturel.

Vous voulez savoir ce qui tourne vraiment chez vous ?

La matinée de détection, vous pouvez la mener seul dès lundi avec ce guide. L'audit complet — cartographie, qualification de chaque système, plan de remédiation — on le fait pour vous. Une équipe qui a livré plus de 130 projets, notée 5/5 sur Google.

Voir notre offre IA conforme RGPD & AI Act →
Victor Gless-Krumhorn

Victor Gless-Krumhorn

Fondateur & Consultant IA — JAIKIN

Expert en implémentation IA et automatisation pour PME et ETI. Accompagne des entreprises en France, en Allemagne et en Suisse, de la cartographie des processus à la mise en production.

1 à 3 tâches automatisables identifiées — diagnostic gratuit

30 minutes avec un expert, un plan d'action écrit sous 24 h.

Devis gratuit sous 24 h