Un phénomène courant et risqué : l’IA « dans le dos » de l’entreprise
De plus en plus de salariés utilisent des outils d’intelligence artificielle (IA) pour les aider dans leurs tâches quotidiennes, souvent sans en informer leur employeur. D’après une étude récente, plus d’un tiers des salariés (36 %) admettent avoir recours à ChatGPT au travail sans signaler cette pratique à leur entreprise D’autres enquêtes estiment même que la moitié des employés utiliseraient des IA non approuvées par leur direction, un phénomène qualifié de Shadow AI par analogie au Shadow IT Une analyse de milliers de requêtes montre ainsi l’ampleur de ces usages clandestins et les risques qu’ils comportent, notamment des partages fréquents de données sensibles avec des IA externes (parfois à l’insu de l’entreprise).
Ce recours informel à l’IA peut sembler anodin ou motivé par des gains de productivité, mais il expose l’entreprise et le salarié à de sérieux problèmes. Les responsables des ressources humaines doivent avoir conscience de ces risques juridiques, de sécurité, de conformité et d’image afin de mettre en place des garde-fous appropriés.
Risques juridiques et obligations légales du salarié
Lorsqu’un salarié utilise une IA sans autorisation, il engage sa responsabilité vis-à-vis de son contrat de travail et des clauses qui le lient à l’employeur. En droit français, le salarié est tenu à une obligation de loyauté envers son entreprise. Cela implique de ne pas agir à son insu d’une manière qui pourrait lui nuire ou violer ses règles internes Par exemple, ne pas informer l’employeur de l’usage d’un outil comme ChatGPT et y copier des données sensibles peut être interprété comme un manquement à cette obligation de loyauté. Le règlement intérieur ou la charte informatique de l’entreprise peut expressément interdire de divulguer des informations confidentielles à des services externes, y compris des IA, ou subordonner l’utilisation de tels outils à une autorisation préalable. En outre, tout salarié est tenu au secret professionnel et à la confidentialité des informations de l’entreprise : alimenter une IA avec des données internes confidentielles, sans précaution, constitue une violation potentielle de la clause de confidentialité de son contrat de travail.
Les conséquences peuvent aller jusqu’à des sanctions disciplinaires. Un usage non autorisé d’une IA ayant entraîné une fuite de données critiques pourra, selon la gravité, être qualifié de faute grave justifiant un licenciement immédiat. Même sans incident avéré, le simple fait de contrevenir aux règles internes (par exemple en utilisant un logiciel interdit) peut exposer le salarié à des avertissements ou sanctions pour faute. Par ailleurs, en cas de préjudice subi par l’entreprise (perte de données, atteinte à la réputation, litige juridique avec un client ou un tiers), la responsabilité du salarié fautif pourrait être engagée. Le non-respect des obligations légales (ex : protection des données personnelles, respect de la propriété intellectuelle) pourrait également impliquer la responsabilité de l’entreprise elle-même, qui devra alors se retourner contre le salarié en faute. Il est donc crucial que les employés comprennent qu’utiliser l’IA sans cadre ni transparence n’est pas sans risque pour eux.
Risques pour la sécurité et la confidentialité des données
Le danger le plus immédiat des usages non encadrés de l’IA concerne la fuite d’informations sensibles. La plupart des IA grand public (chatbots, assistants codant, générateurs de texte ou d’images) sont des services en ligne qui stockent les données fournies par l’utilisateur et peuvent même les réutiliser pour améliorer leurs modèles. Autrement dit, toute donnée confidentielle entrée dans un outil d’IA externe sort du périmètre de l’entreprise et peut potentiellement être exploitée par un fournisseur tiers ou réapparaître dans les résultats fournis à d’autres utilisateur. OpenAI, par exemple, avertit explicitement que les informations saisies dans ChatGPT peuvent être conservées et qu’il est impossible de supprimer des prompts spécifiques, d’où la nécessité de ne jamais y copier de données sensibles.
Des cas concrets illustrent ce risque : chez Samsung, en 2023, plusieurs ingénieurs ont involontairement divulgué des secrets industriels en cherchant de l’aide auprès de ChatGPT. Dans l’un des incidents, un salarié a fourni au chatbot le code source confidentiel d’un programme interne pour en corriger une erreur ; un autre a partagé le contenu d’une réunion stratégique en le faisant résumer par l’IA. Ces données se sont retrouvées stockées sur des serveurs externes d’OpenAI, intégrées aux données d’apprentissage du modèle, et donc potentiellement accessibles à d’autres utilisateurs du service. L’affaire a contraint Samsung à réagir en urgence, en limitant drastiquement la taille des informations que ses employés pouvaient soumettre à ChatGPT et en menaçant d’une interdiction totale si un nouvel incident survenait. De nombreux autres grands groupes ont tiré la sonnette d’alarme : Verizon, JP Morgan, Amazon, Apple, ou encore Walmart ont tour à tour bloqué l’accès à ChatGPT ou émis des consignes strictes pour empêcher leurs employés d’y exposer des données confidentielles. Ces réactions traduisent une prise de conscience aiguë du risque de Shadow AI : des employés bien intentionnés, cherchant à gagner du temps, peuvent involontairement causer une brèche de sécurité majeure en divulguant des informations commerciales, du code source ou des données clients à une IA publique.
Outre la perte de confidentialité, l’utilisation non maîtrisée d’IA externes peut ouvrir la voie à des menaces cyber. Un employé pourrait, par naïveté, utiliser un outil d’IA malveillant (par exemple un faux chatbot imitant un service connu) et compromettre ses identifiants ou télécharger un contenu infecté. De plus, l’IA elle-même pourrait générer du code ou des scripts contenant des vulnérabilités de sécurité si on lui fait confiance aveuglément. En l’absence de contrôle par la DSI (Direction des systèmes d’information), ces pratiques échappent aux politiques de sécurité de l’entreprise et constituent autant de portes dérobées pour d’éventuelles attaques.
Risques de non-conformité (protection des données, réglementation)
Les règles de conformité internes et externes peuvent être enfreintes par un usage imprudent de l’IA. D’abord, sur le plan de la protection des données personnelles (RGPD), une entreprise doit maîtriser les traitements de données qu’elle effectue ou sous-traite. Or, si un salarié soumet des données à caractère personnel (par exemple des informations sur un client, un CV de candidat, une adresse email) à un outil d’IA en ligne sans autorisation, il réalise une communication de ces données à un tiers (le fournisseur de l’IA) en dehors de tout cadre légal ou contrat de sous-traitance. Cela peut contrevenir au RGPD, qui exige un fondement juridique et des garanties adéquates pour tout transfert de données vers un prestataire, a fortiori hors UE. Le régulateur italien a d’ailleurs temporairement bloqué ChatGPT en 2023 pour des manquements liés à la licéité et la transparence de son traitement de données personnelles, soulignant la vigilance des autorités sur ces enjeux. Une entreprise dont les employés alimenteraient un outil comme ChatGPT avec des données clients sans précaution pourrait être tenue pour responsable d’une violation de la vie privée.
Ensuite, il y a les contraintes sectorielles ou contractuelles. Par exemple, une banque ou un hôpital manipulant des données sensibles (données financières, de santé) est soumis à des obligations de secret professionnel. Utiliser un service d’IA non validé pour traiter ce type de données violerait ces obligations. De même, si l’entreprise a signé avec ses clients des accords de confidentialité stricts (NDA), elle se doit de prévenir toute fuite indirecte – ce qu’un employé isolé, utilisant une IA sans accord, pourrait compromettre. Sur le plan de la propriété intellectuelle, un usage inconsidéré de l’IA peut également poser problème. Imaginons qu’un salarié utilise du code généré par une IA dans un produit logiciel de l’entreprise : si ce code enfreint le droit d’auteur (par exemple, s’il reproduit un extrait de logiciel open source non compatible avec la licence du produit), l’entreprise pourrait faire l’objet de poursuites pour contrefaçon. Inversement, en fournissant à l’IA des documents internes protégés (brevets, secrets de fabrication, contenus rédactionnels originaux), le salarié peut faire perdre à l’entreprise le contrôle sur sa propre propriété intellectuelle.
Enfin, le risque éthique n’est pas à négliger. Des employés pourraient utiliser des IA génératives pour des tâches RH (recrutement, évaluation) ou managériales sans supervision, ce qui soulève des questions de biais algorithmiques et de discrimination. Sans ligne directrice claire, un salarié pourrait par exemple demander à ChatGPT de trier des CV ou de formuler une évaluation de performance, en ignorant les biais ou erreurs possibles, exposant ainsi l’entreprise à des décisions injustes contraires au droit du travail ou aux principes éthiques de l’organisation.
Risques d’image et de réputation
Si une utilisation non encadrée de l’IA tourne mal, l’image de l’entreprise peut en souffrir. Une fuite de données confidentielles due à un salarié imprudent fera non seulement les gros titres, mais entamera la confiance des clients et partenaires. L’affaire Samsung mentionnée plus haut a fait le tour du monde, illustrant combien une innovation mal maîtrisée peut provoquer une crise de réputation. De même, si un contenu généré par IA et diffusé publiquement par l’entreprise contient des erreurs grossières, des propos inappropriés ou du plagiat, l’organisation devra gérer le bad buzz et recoller les morceaux en termes de communication. Par exemple, on a vu des cas d’usage non contrôlé de ChatGPT par des professionnels aboutir à des documents truffés d’inventions ou de références juridiques fictives, causant l’embarras de la structure qui les a publiés. Ce type de bévue peut faire passer l’entreprise pour irresponsable ou incompétente aux yeux du public.
Il en va de même en interne : si les employés découvrent que certains de leurs collègues utilisent en cachette des IA, cela peut créer un climat de méfiance ou de jalousie, surtout si ces outils confèrent un avantage indu à leur utilisateur (par exemple, produire des rapports plus vite, mais avec un risque d’erreurs que d’autres devront corriger). Sans transparence ni cadre commun, l’adoption désordonnée de l’IA peut donc entamer la culture d’entreprise et la cohésion des équipes, ce qui à terme affecte la performance globale et l’attractivité de l’employeur.
Instaurer une charte d’utilisation de l’IA : un garde-fou nécessaire
Face à ces constats, il apparaît indispensable pour les entreprises de définir une politique claire encadrant l’usage des IA par les salariés. L’outil privilégié pour ce faire est la mise en place d’une charte d’utilisation de l’IA interne. À l’instar de la charte informatique ou du règlement intérieur, ce document formalise les droits et devoirs des employés en la matière, tout en les sensibilisant aux bonnes pratiques. De nombreuses organisations commencent à s’équiper de telles chartes ou directives. Par exemple, le groupe Danone a anticipé le phénomène en déployant un programme de formation massif (5 000 collaborateurs formés en 90 jours) afin de sensibiliser efficacement son personnel aux risques de fuite de données liés à l’IA et d’ancrer les bons réflexes d’utilisation. Ce type d’initiative réduit fortement la tentation du Shadow AI en informant les salariés et en leur fournissant des solutions encadrées.
Concrètement, une charte d’IA doit poser un cadre précis pour que l’innovation se fasse sans mettre en péril la sécurité ou la conformité. On y retrouve généralement les éléments suivants :
- Périmètre et objectifs : la charte explique son but (encourager une utilisation responsable de l’IA) et définit le champ d’application (tous les employés, tous les outils IA utilisés dans un contexte professionnel, qu’ils soient fournis par l’entreprise ou accessibles en ligne). Des définitions claires des termes clés peuvent être incluses (ex : IA générative, données sensibles, secret d’affaires) pour éviter toute ambiguïté.
- Usages autorisés et encouragés : la charte décrit les cas d’usage de l’IA considérés comme acceptables ou bénéfiques avec l’accord de l’entreprise. Par exemple, l’employeur peut autoriser l’usage d’un outil comme ChatGPT pour aider à la rédaction d’emails non sensibles, à la condition de ne fournir aucune donnée confidentielle ou personnelle dans les requêtes Il peut être utile de fournir des exemples concrets afin que les salariés identifient clairement dans quelles tâches l’IA peut être un atout sans risque.
- Usages interdits ou soumis à autorisation : à l’inverse, la charte liste explicitement les utilisations proscrites des IA et les motifs de ces interdictions. Par exemple, il sera généralement interdit d’entrer des données clients, des informations stratégiques ou tout contenu protégé/confidentiel dans un outil d’IA public. De même, l’automatisation de décisions sensibles (recrutement, validation de contrats, etc.) par une IA sans intervention humaine peut être bannie. L’entreprise doit expliquer ces interdictions (risque juridique, atteinte à la vie privée, respect des contrats de confidentialité…), afin que chacun comprenne l’importance de s’y conformer.
- Mesures de protection et de contrôle : le document aborde les dispositions techniques ou organisationnelles mises en place pour sécuriser l’usage de l’IA. Par exemple, l’entreprise peut décider de bloquer l’accès à certains services d’IA non vérifiés sur le réseau interne, ou au contraire de fournir des alternatives validées (un chatbot IA interne sécurisé, une instance privée de GPT, etc.). La charte rappelle aussi que des contrôles peuvent être exercés (audit des logs, filtrage DLP – Data Loss Prevention – pour détecter des envois de données sensibles, etc.), dans le respect du cadre légal, afin d’identifier d’éventuels usages non conformes.
- Protection des données et conformité : un accent particulier est mis sur le respect du RGPD et des lois applicables. La charte doit préciser que toute utilisation d’une IA impliquant des données personnelles ou confidentielles doit faire l’objet de précautions (anonymisation des données, accord du client concerné, validation par le DPO – Data Protection Officer – de l’outil utilisé, etc.). Il s’agit de rappeler les principes de base (licéité, minimisation des données, transparence vis-à-vis des personnes concernées) et d’indiquer les points de contact internes en cas de doute (référent IA, service juridique, RSSI…).
- Propriété intellectuelle et qualité : l’entreprise peut inclure des clauses sur la propriété des contenus générés. Par exemple, stipuler que tout code ou texte produit par une IA et utilisé dans un livrable doit être revu et validé, et qu’il ne dispense pas le salarié de respecter les droits d’auteur des tiers. De même, il est utile de souligner que l’IA est un outil assisté – non infaillible – et qu’en dernier ressort le salarié demeure responsable de son travail. Toute sortie d’IA doit faire l’objet d’une vérification humaine pour éviter erreurs ou biais qui porteraient atteinte à la qualité du travail rendu au client (et in fine, à l’image de l’entreprise).
Pour être effective, la charte d’utilisation de l’IA doit être diffusée et expliquée à l’ensemble du personnel. Idéalement, elle peut être annexée au règlement intérieur ou au contrat de travail, ce qui lui confère une valeur contraignante opposable à tous. Dans tous les cas, l’accompagnement est clé : organiser des formations et ateliers de sensibilisation permet de montrer concrètement les risques (exemples à l’appui) et les bonnes pratiques à adopter. Cela crée une culture commune où chacun saura tirer profit des outils d’IA de façon innovante sans exposer l’entreprise à des dérapages.
Conclusion
L’usage non encadré de l’intelligence artificielle par les salariés est un enjeu émergent que les responsables RH et les dirigeants ne peuvent se permettre d’ignorer. S’il offre des opportunités en termes de productivité et d’efficacité, il comporte également des risques multiples – juridiques, sécuritaires, réglementaires et réputationnels – pour l’entreprise. Des exemples concrets, du cas Samsung aux études chiffrant l’ampleur du Shadow AI, montrent qu’une utilisation inconsidérée d’IA peut conduire à des fuites de données ou à des manquements graves aux obligations professionnelles. Face à cela, la proactivité est de mise : en définissant clairement les règles du jeu via une charte d’utilisation de l’IA et en formant les salariés, l’entreprise peut canaliser les usages de l’IA de manière positive. Il s’agit d’encadrer sans étouffer l’innovation : permettre aux collaborateurs d’exploiter le potentiel des outils d’IA pour améliorer leur travail, tout en préservant la sécurité des informations, la conformité aux lois et l’éthique professionnelle. Cette approche équilibrée – contrôle et sensibilisation – protégera non seulement l’organisation des dérives, mais renforcera aussi la confiance des employés et du public dans une transformation numérique responsable de l’entreprise.