← revenir au blog Actu No. 07 · Juin 2026
// ce que la direction voit · ce qui tourne vraiment validé par la DSI ChatGPT ent. Copilot shadow AI · non encadré Claude perso Gemini extensions tél. perso …+++ AI Act · échéance haut risque : août 2026 cartographier → encadrer → outiller (pas interdire)

Fig. 1 · La direction ne voit que les outils validés. Le shadow AI, lui, tourne dans l'angle mort, et l'AI Act demande des preuves dès août 2026.

Gouvernance IA · 7 juin 2026 · 7 min de lecture

Shadow AI et AI Act : garder le contrôle sans bloquer

Vos équipes utilisent déjà ChatGPT en douce. Une checklist pragmatique pour cadrer l'usage de l'IA en interne sans freiner l'adoption, avant l'échéance d'août 2026.

Vos commerciaux collent des fichiers clients dans ChatGPT pour gagner du temps. Vos RH font relire des contrats par Claude. Votre marketing teste trois outils d'IA dont la DSI n'a jamais entendu parler. Bienvenue dans l'ère du shadow AI : l'usage non encadré, par les salariés, d'outils d'intelligence artificielle grand public. Les DSI réunis à Ready For IT 2026 tirent la sonnette d'alarme, alors que l'AI Act européen durcit les exigences de preuve dès août 2026. Faut-il tout bloquer ? Surtout pas : c'est le meilleur moyen d'aggraver le phénomène. Cet article propose une lecture claire du risque et une checklist concrète pour cadrer l'usage de l'IA en interne sans casser l'élan d'adoption.

Le shadow AI, c'est quoi exactement (et pourquoi ça explose)

Le shadow AI désigne tous les outils d'IA utilisés au travail sans validation officielle : ChatGPT, Claude, Gemini, Mistral, Perplexity, mais aussi les centaines d'extensions de navigateur et de mini-apps qui poussent chaque semaine. Le terme est le cousin du « shadow IT » (les logiciels installés en douce par les équipes), version dopée à l'IA générative.

Pourquoi ça explose ? Parce que l'IA est devenue un outil de productivité personnel, gratuit et accessible en deux clics. Le salarié n'a pas l'impression d'introduire un logiciel dans l'entreprise : il « demande à ChatGPT », comme il googlerait. Sauf qu'entre les deux, il y a une différence majeure : ce qu'il colle dans le chat peut nourrir un modèle, transiter par des serveurs hors UE, ou fuiter via un historique partagé.

Selon les retours de DSI cités par le Journal du Net lors de Ready For IT, le phénomène n'est pas marginal : il concerne la majorité des collaborateurs dans les grandes structures, souvent à l'insu de leur direction.

L'AI Act : ce qui change concrètement pour les entreprises

L'AI Act est le règlement européen qui encadre l'usage de l'IA. Son entrée en vigueur a été partiellement reportée, mais une échéance majeure tombe en août 2026 : pour les usages classés « à haut risque » (RH, scoring client, accès au crédit, santé…), il faudra prouver comment l'IA est utilisée, avec quelles données, et avec quels garde-fous.

Concrètement, ça veut dire :

Le Journal du Net résume bien l'enjeu : le report a donné du temps, mais a relevé le prix de la preuve. Autrement dit, le régulateur attendra des dossiers solides, pas des bonnes intentions. Et bloquer ChatGPT au pare-feu ne suffira pas : si vos équipes l'utilisent depuis leur téléphone perso, vous êtes responsable du résultat sans avoir la visibilité.

"Le report de l'AI Act vous a vendu du temps. Il a surtout relevé le prix de la preuve : le régulateur attendra des dossiers solides, pas des bonnes intentions."
Veille NUOPS · d'après Ready For IT 2026 & le Journal du Net

Pourquoi interdire ne marche pas (et empire la situation)

La tentation est forte : bloquer les URL, signer une charte, refermer le couvercle. Sauf que dans les faits :

Le bon réflexe n'est pas « interdire » mais canaliser : offrir une alternative officielle au moins aussi bonne que ChatGPT public, et rendre le cadre lisible. Un salarié qui a accès à un outil validé, rapide et clair n'a aucune raison d'aller jouer ailleurs.

La checklist pragmatique pour un dirigeant

Voici les étapes qui reviennent dans les retours d'expérience des DSI/RSSI. À faire dans l'ordre, sans attendre.

Aucun de ces points n'exige une refonte de votre SI. C'est un travail de gouvernance, pas un chantier technique lourd.

Ce que ça change pour votre entreprise

Si vous êtes une PME ou une ETI, l'AI Act ne va probablement pas vous transformer en cas de jurisprudence. Mais le risque réel est ailleurs : une fuite de données clients via un prompt mal placé, un livrable bourré d'erreurs d'IA envoyé à un grand compte, ou un collaborateur qui prend une décision RH sur la base d'une réponse de ChatGPT non vérifiée.

Cadrer l'usage, c'est donc deux bénéfices d'un coup : réduire le risque opérationnel (réputation, conformité, qualité) et accélérer l'adoption (les équipes savent ce qu'elles ont le droit de faire, donc elles osent). Les entreprises qui s'en sortent le mieux ne sont ni les plus restrictives ni les plus laxistes : ce sont celles qui ont posé un cadre clair en moins de 90 jours et qui itèrent dessus.

En résumé

Le shadow AI n'est pas un problème de discipline, c'est un symptôme : vos équipes ont besoin d'IA, point. L'AI Act ne va pas disparaître, et août 2026 approche. La bonne réponse tient en trois mots : cartographier, encadrer, outiller. Une politique IA d'une page, un ou deux outils officiels, une classification minimale des données et un peu de formation suffisent pour démarrer. L'objectif n'est pas de tout maîtriser dès demain, mais d'éviter le double piège : tout interdire (et perdre la course) ou tout laisser faire (et porter le risque).

veille tech & produit · NUOPS

Recevez notre veille IA & actu tech

Chaque semaine, on décrypte les actus dev, SaaS et IA pour les porteurs de projet non-techs : ce qui change vraiment, ce que ça implique pour vous, sans jargon. Désinscription en un clic.

// sources
Le shadow AI, symptôme d'une gouvernance devenue trop complexe (JDN) · Ready For IT 2026 : l'IA donne des sueurs froides aux DSI et RSSI (JDN) · Le report de l'AI Act a relevé le prix de la preuve (JDN)

passons aux choses sérieuses

Vous avez un projet à développer ?

Racontez-nous votre projet, même flou. On vous répond personnellement sous 48h.

// réponse personnelle sous 48h · sans engagement NUOPS / Lyon · France · Belgique · Suisse · Luxembourg