La question n'est plus « faut-il autoriser l'IA au bureau ? » — vos équipes l'utilisent déjà. Selon un grand baromètre du travail, 78 % des utilisateurs d'IA apportent leurs propres outils au travail, souvent à l'insu de leur employeur. C'est ce qu'on appelle le shadow AI : de l'IA non validée, non encadrée, dans laquelle transitent parfois des données que l'entreprise n'aurait jamais dû laisser sortir. L'interdire ne le fait pas disparaître — ça l'enfouit. Reprendre la main passe par trois leviers : une charte claire, un outil sanctionné, et de la formation. Voici comment encadrer l'IA sans la pousser dans l'ombre.
Le shadow AI est déjà là
Avant d'écrire la moindre règle, il faut mesurer le point de départ (Fig. 1).
Trois constats s'imposent. L'usage est déjà massif : la majorité des travailleurs du savoir se servent de l'IA, et une large part le fait avec des outils personnels non déclarés. Ce qui y transite est parfois sensible : une étude de sécurité a mesuré qu'environ un contenu collé sur dix dans un assistant grand public était confidentiel — code, documents internes, données clients. Et l'interdiction pure ne règle rien : elle ne supprime pas l'usage, elle le rend invisible, donc incontrôlable. L'exemple qui a marqué les esprits reste celui d'un géant de l'électronique qui, en 2023, a banni ChatGPT après que des ingénieurs y eurent collé du code source et le compte-rendu d'une réunion confidentielle — la fuite était déjà partie. Le vrai choix n'est donc pas « autoriser ou interdire », mais « encadrer ou subir ».
Ce qu'une charte IA doit trancher
L'autorité française de protection des données recommande explicitement d'encadrer l'IA par une charte interne définissant les usages autorisés et interdits. Une bonne charte tranche quatre questions (Fig. 2).
1. Les outils. Listez les assistants autorisés — et surtout, fournissez-en un. 2. Les données. Dites noir sur blanc ce qui ne doit jamais être saisi : données personnelles, secrets d'affaires, informations stratégiques. Le régulateur le rappelle : dans un outil grand public, « tout ce que vous entrez pourra servir à entraîner l'IA ». 3. La vérification. Toute sortie de l'IA est un brouillon à relire par un humain — sur l'exactitude, les biais, le plagiat — avant d'être utilisée. 4. La transparence et la formation. Signalez quand un contenu ou une décision s'appuie sur l'IA, et formez les équipes à ses limites.
La brique 1 est décisive : fournir un outil sanctionné est la meilleure parade au shadow AI. Les offres professionnelles de ChatGPT, Claude, Gemini ou DeepL s'engagent, dans leurs conditions entreprise, à ne pas entraîner leurs modèles sur vos données — à la différence de leurs versions grand public. Donner à vos équipes un bon outil, c'est leur ôter la tentation d'en chercher un mauvais. Des référentiels comme la norme ISO 42001 (management de l'IA) ou le cadre du NIST peuvent structurer la démarche, mais une charte d'une page, lue et comprise, vaut mieux qu'un référentiel que personne n'ouvre.
Ce que la loi vous impose déjà
Encadrer l'IA n'est pas qu'une bonne pratique : plusieurs obligations s'appliquent dès aujourd'hui.
Former, c'est la loi. Depuis le 2 février 2025, le règlement européen sur l'IA impose à tout employeur qui déploie de l'IA de garantir un niveau suffisant de maîtrise de l'IA chez ses collaborateurs (article 4). La formation n'est plus optionnelle. Surveiller ou évaluer, c'est du « haut risque ». Utiliser l'IA pour recruter, répartir les tâches ou évaluer les salariés relève de la catégorie « haut risque » du règlement, assortie d'obligations renforcées — à manier avec prudence. Consulter, c'est obligatoire. En France, introduire un outil qui modifie les conditions de travail ou surveille les salariés suppose d'informer et consulter le comité social et économique (article L2312-8 du Code du travail) et d'informer préalablement les salariés concernés (article L1222-4). Déployer un outil d'IA « en douce » vous expose autant qu'un salarié qui colle un fichier client dans un chatbot public.
C'est le prolongement de ce qu'on disait sur la dépendance à un fournisseur d'IA et sur ce que vous avez le droit de mettre dans ChatGPT : la souveraineté sur votre IA ne se subit pas, elle s'organise. Et comme pour un agent autonome, la règle de fond reste la même — un humain garde la responsabilité.
Bien encadrée, l'IA devient un atout collectif au lieu d'un risque diffus : chacun sait quoi utiliser, avec quelles données, et pour quoi. Le but n'est pas de brider, c'est de rendre l'usage sûr et partagé. Avant de laisser vos équipes accélérer avec l'IA, posez-vous la seule question qui compte : « si une donnée sensible partait aujourd'hui dans un outil non validé, est-ce que je le saurais — et l'aurais-je autorisé ? »
- Le shadow AI est déjà là : la majorité des équipes utilisent l'IA, souvent avec des outils personnels non validés.
- Interdire ne marche pas : ça pousse l'usage dans l'ombre — le vrai choix est « encadrer ou subir ».
- Une charte tranche quatre questions : outils autorisés, données interdites, vérification humaine, transparence.
- Fournissez un outil sanctionné : les offres pro (ChatGPT, Claude, Gemini, DeepL) ne s'entraînent pas sur vos données, contrairement au grand public.
- La loi s'applique déjà : former les équipes est obligatoire (depuis février 2025) ; surveiller les salariés est « haut risque » et suppose de consulter le CSE.
Dans la même logique « la souveraineté s'organise » : ne pas dépendre d'un seul fournisseur, RGPD : ce que vous pouvez mettre dans ChatGPT. Et sur la responsabilité de l'humain : jusqu'où faire confiance à un agent IA, résumer un document sans tout lâcher.
Cette analyse fait partie de notre veille Outils & IA. Pour déployer l'IA en entreprise sans mauvaise surprise, téléchargez l'Atlas IA 2026 et abonnez-vous à la newsletter AISKILLSPRO.
Au-delà de l'IA, retrouvez nos guides, tutoriels et modules Odoo sur OdooSkills, le blog Odoo ↗ (nouvel onglet).