Shadow AI : les 5 risques que votre DSI ignore

Le Shadow AI, c'est simple : vos collaborateurs utilisent ChatGPT, Gemini, Claude ou Perplexity sur leur poste de travail, depuis leur téléphone perso ou leur navigateur — sans le valider auprès de la DSI, sans l'accord du DPO, et souvent sans en être pleinement conscients.

Selon une étude IFOP de fin 2025, 67 % des salariés français déclarent utiliser une IA générative dans leur quotidien professionnel. Parmi eux, 42 % y saisissent des données clients, RH ou financières. Et 78 % le font sans demander l'autorisation.

Voici les 5 risques réels que ce phénomène génère pour votre entreprise — et pourquoi les bloquer à coups de firewall ne suffit plus.

Risque n°1 — Fuite de données clients

C'est le risque le plus évident et le plus documenté. Chaque fois qu'un salarié colle un e-mail, un CV, un contrat ou une base clients dans ChatGPT.com, ces données sortent du périmètre de l'entreprise.

Le cas le plus connu : en avril 2023, Samsung a interdit ChatGPT en interne après trois incidents en trois semaines — des ingénieurs avaient collé du code source confidentiel dans les prompts, et des notes de réunion stratégiques. Impossible de rétracter.

Impact PME : vous violez votre obligation de confidentialité envers vos clients. Certains contrats B2B contiennent des clauses explicites d'interdiction de partage avec des tiers non listés. Un audit client peut vous coûter le contrat.

Risque n°2 — Violation RGPD et exposition juridique

Le RGPD ne fait aucune distinction entre l'outil officiel et l'outil utilisé en douce. Si un client subit un préjudice par la fuite de ses données via ChatGPT, la CNIL regardera votre cartographie des traitements.

Ce que dit le juge : en 2024, la CNIL a sanctionné une PME de 12 salariés à 50 000 € d'amende pour défaut de maîtrise de ses sous-traitants IA, après qu'un client ait porté plainte pour divulgation de son dossier médical.

Amende maximale : 20 millions d'euros ou 4 % du CA mondial. Pour une PME qui fait 3 M€ de CA, c'est 120 000 €. Pour une ETI à 50 M€, c'est 2 M€. Les amendes RGPD sont publiques : ça se sait, et ça se cite.

Risque n°3 — Espionnage industriel et fuite de secrets

Quand un commercial colle l'intégralité d'une offre en cours de négociation dans ChatGPT pour la retravailler, il pense gagner du temps. Dans la pratique, il expose :

• Votre grille tarifaire (sensibilité concurrentielle forte)
• Les conditions commerciales spécifiques à ce client (remises, délais)
• Votre stratégie de différenciation vs. concurrents nommés
• Les documents techniques internes fournis par le client

Avec ChatGPT grand public, OpenAI conserve le droit par défaut d'utiliser ces données pour entraîner ses modèles. Cela veut dire que vos secrets peuvent ressortir dans les réponses générées pour d'autres utilisateurs, dont des concurrents. Ce n'est plus théorique : Stanford a démontré la fuite de données d'entraînement en 2023.

Risque n°4 — Impossible audit interne et externe

Votre commissaire aux comptes demande une cartographie des outils utilisés pour traiter les données financières. Votre assureur cyber vous impose de documenter les transferts de données. Un client grand compte exige un audit SOC 2.

Si 67 % de vos salariés utilisent ChatGPT sans que vous le sachiez, vous ne pouvez tout simplement pas répondre. Pas de cartographie possible. Pas de preuve de conformité.

Dans un cadre réglementé (cabinets comptables, avocats, santé, conseil, finance), c'est disqualifiant. Le client change de prestataire.

Risque n°5 — Perte de contrôle des coûts

Ce risque est moins visible mais bien réel. Quand chaque salarié prend une licence ChatGPT Plus à 20 $ sur sa carte bleue perso puis se fait rembourser en note de frais, votre DAF découvre après coup une dépense invisible qui peut atteindre plusieurs milliers d'euros par an pour une PME de 30 personnes.

Et ce n'est pas mutualisé : chaque licence est individuelle, pas de gestion centralisée, pas de quotas, pas de reporting d'usage. Vous payez 3 à 5 fois plus cher qu'une solution centralisée pour un usage moins performant.

Pourquoi bloquer ne fonctionne pas

La première réaction de beaucoup de DSI : ajouter ChatGPT, Claude et Perplexity dans la liste des domaines bloqués par le proxy. Trois raisons pour lesquelles c'est contre-productif :

1. Le smartphone personnel contourne tout. Les salariés utiliseront ChatGPT sur leur téléphone en photographiant l'écran de leur poste. Vous perdez le contrôle ET la traçabilité.
2. L'IA est un besoin réel. Rédiger, résumer, analyser : l'IA fait gagner 2 à 5 heures par semaine et par collaborateur (McKinsey 2024). Bloquer, c'est saboter votre productivité.
3. Vos concurrents ne bloquent pas. Ils utilisent l'IA correctement. Vous prenez du retard compétitif.

Ce qui fonctionne : fournir une alternative gouvernée

La seule stratégie qui marche est celle du « substitution + gouvernance » : donner à vos salariés un outil officiel qui leur permet de continuer à gagner du temps, mais avec des garde-fous.

C'est exactement pour ça que SYNN existe. Concrètement :

• Une interface type ChatGPT — vos salariés ne voient pas la différence.
• Un DLP Shield automatique — les IBAN, cartes bancaires, NIR, emails sont masqués avant envoi à l'IA. Sans action manuelle.
• Hébergement UE — Supabase sur AWS Frankfurt. Aucune donnée ne transite hors UE.
• Audit immuable — vous savez qui a fait quoi, quand, combien de tokens. Sans stocker les contenus (conformité RGPD).
• Quotas et alertes — un salarié qui consomme 10× la moyenne déclenche une alerte automatique.
• Zero Training contractuel — API business OpenAI + Anthropic + DPA signé.

Première étape : faites le test

Posez-vous honnêtement la question : si la CNIL débarque demain et vous demande la liste des outils IA utilisés par vos équipes, combien de temps vous faut-il pour y répondre ? Si la réponse est « plus d'une journée », vous êtes en Shadow AI.

La bonne nouvelle : le problème se résout en 30 minutes d'onboarding, pas en 6 mois de projet DSI. Essayez SYNN sur 5 users pendant 30 jours — pilote à 745 €, aucun engagement.