Shadow AI : le contournement vous dit ce que votre DSI ne vous dira pas

68 %. C’est la part des salariés qui utilisent des outils IA sans approbation IT, selon une enquête Gartner sur 500 entreprises (une progression nette par rapport à 2023, où le chiffre était de 41 %). La différence en deux ans : les politiques IA existent désormais dans la plupart des grandes organisations. Le contournement, lui, a accéléré. La réponse standard à ce constat : politique de sécurité, formation RGPD, interdiction. La réponse que la littérature explore encore assez peu : le contournement n’est pas une rébellion. C’est un feedback sur l’écart entre ce que l’organisation déploie et ce dont les salariés ont besoin pour travailler.

Le shadow AI est traité comme un problème de gouvernance : risque RGPD, fuite de données, absence de contrôle. Cette lecture est juste, mais incomplète. Quand 68 % des salariés contournent les outils approuvés malgré des politiques formalisées, ce n’est pas un défaut de discipline — c’est un signal sur le déploiement. Diagnostiquer le signal avant de durcir la politique : voilà ce que le shadow IT a mis dix ans à apprendre.

Le risque est réel, commençons par là

Le cadre RGPD et sécurité n’est pas faux. Il est insuffisant.

Quand un salarié colle des données clients dans un outil non approuvé, il crée effectivement un risque de fuite. Gartner estime que 40 % des organisations seront touchées par un incident de sécurité lié au shadow AI d’ici 2030 (honnêtement, ce sont le genre de prévisions qui n’engagent pas tant que ça ;-)). Silic et Kind-Trüller (2025) documentent dans Strategic Change un paradoxe yin-yang : les mêmes comportements qui créent de la valeur individuelle génèrent des risques organisationnels.

Donc oui, la gouvernance est nécessaire. Ce n’est pas la question.

La question est : pourquoi 68 % des salariés passent-ils par des outils non autorisés, alors même qu’une politique IA et une mise à disposition d’outils existent désormais dans la plupart des grandes organisations ? Et qu’est-ce que ce comportement dit de l’organisation qui les emploie ?

Le contournement est un signal organisationnel

Norbert Alter, que j’ai eu la chance d’avoir en cours, dans L’innovation ordinaire (2000), a documenté un mécanisme contre-intuitif. Les innovations durables en entreprise ne viennent presque jamais des plans officiels. Elles émergent de pratiques déviantes que les managers tolèrent (parce qu’elles fonctionnent) avant d’être absorbées comme normes. La transgression précède l’institution, et c’est la tolérance managériale qui fait le tri entre la déviance utile et la déviance à proscrire.

« La transgression précède l’institution, et c’est la tolérance managériale qui fait le tri entre la déviance utile et la déviance à proscrire. »

Ce mécanisme n’est pas symétrique au shadow AI. Alter parle de pratiques qui résolvent un problème opérationnel ; le shadow AI résout un besoin individuel mais crée des risques nouveaux. La grille tient quand même, à une condition : que l’organisation lise le contournement aussi comme un diagnostic, pas seulement comme un risque à traiter. C’est la lecture que Bertrand Duperrin formule depuis le shadow IT : le contournement est rarement la cause du problème, c’est souvent le symptôme de ce « work about work » — le travail invisible que les salariés font malgré tout pour que le système fonctionne. La condition d’absorption d’une déviance en standard est managériale, pas technique : que les managers de proximité aient traité l’usage non conforme comme une donnée à remonter, pas comme une infraction à sanctionner. Pas par laxisme : par lecture.

Et il y a beaucoup à diagnostiquer. La dynamique a basculé en deux ans. En 2024, le BYOAI (Bring Your Own AI — usage d’outils IA personnels au bureau) prospérait dans le vide (Microsoft/LinkedIn Work Trend Index 2024, n = 31 000) : les salariés comblaient l’absence d’outils officiels. En 2026, il prospère malgré la politique (Lenovo Work Reborn 2026, n = 6 000 salariés à temps plein), avec un cinquième à un tiers des travailleurs qui continuent à utiliser l’IA en dehors de toute gouvernance IT. Les utilisateurs avancés, en particulier, restent frustrés par des outils d’entreprise sous-performants et préfèrent leurs outils personnels (souvent sur abonnement personnel payant, sans rien dire). Et pour le professionnel en charge du déploiement ou le manager IT, la question se pose avec une acuité particulière : quand 44 % des directions métiers déploient des outils IA sans impliquer la DSI ni la sécurité (BCG 2025), ce n’est pas non plus de l’imprudence collective. C’est un signal sur l’écart entre l’outil officiel et le besoin réel. « Pour vivre heureux (au bureau), vivons cachés (de la DSI) ? »

Concrètement, le contournement révèle trois choses :

• L’outil approuvé crée plus de friction qu’il n’en résout, ou n’existe tout simplement pas pour l’usage en question ;
• Le contournement traverse toute la hiérarchie. Les dirigeants sont parmi les premiers à utiliser des outils non autorisés (CIO.com 2026) : ce n’est pas une déviance d’employés mal disciplinés, c’est un comportement organisationnel généralisé ;
• 31 % des salariés n’ont reçu aucune formation IA de leur employeur (Lenovo Work Reborn 2026 ; chiffre stable depuis WalkMe 2025 à 23 %, n = 1 000 salariés US utilisant l’IA) : l’adoption bottom-up reste la voie par défaut — les salariés se forment seuls, en veillant à la marge, en tâtonnant.

« Le shadow AI, dans ce contexte, est la réponse rationnelle des individus à un déploiement officiel défaillant. »

La recherche de Li, Zhu et Hua publiée dans la Harvard Business Review (2025) confirme que 45 % des déploiements IA restent en dessous des attentes de ROI, non pas à cause du modèle, mais à cause des barrières organisationnelles non traitées : processus inadaptés, résistances culturelles, absence de formation. Le shadow AI, dans ce contexte, est la réponse rationnelle des individus à un déploiement officiel défaillant. Si l’on suit la grille de l’anthropologue David Graeber, l’outil officiel fonctionne souvent comme un dispositif de réassurance hiérarchique (« nous avons déployé une solution IA ») plutôt que comme un outil de simplification du travail réel.

Last quarter I rolled out Microsoft Copilot to 4,000 employees.

$30 per seat per month.

$1.4 million annually.

I called it "digital transformation."

The board loved that phrase.

They approved it in eleven minutes.

No one asked what it would actually do.

Including me.

I…

— Peter Girnus 🦅 (@gothburz) December 11, 2025

Lire le signal avant de durcir la politique

Si le contournement est un diagnostic, alors la première question d’une politique shadow AI n’est pas « comment l’arrêter ? » mais « qu’est-ce qu’il nous apprend ? ».

Trois lectures concrètes émergent.

Le contournement est un audit gratuit du déploiement. Avant de cartographier les outils interdits, cartographier les usages réels : qui contourne, pour faire quoi, parce que l’outil officiel ne sait pas le faire (ou le fait trop mal). KPMG (2026) le formule ainsi : le shadow AI est une opportunité d’identifier les besoins non couverts avant qu’un concurrent les couvre à votre place. Pour un consultant en transformation IA, ce point d’entrée est plus actionnable que les enquêtes déclaratives : les usages observés sont plus fiables que les usages prétendus.

L’écart entre l’outil officiel et l’usage réel est mesurable. Si vos équipes utilisent ChatGPT pour résumer des comptes rendus que votre outil officiel ne sait pas traiter, le problème n’est pas ChatGPT. C’est votre outil officiel. La conviction que la lenteur d’adoption vient d’une résistance humaine, et non d’une friction organisationnelle, est l’erreur que Li, Zhu et Hua documentent sur 45 % des déploiements analysés. C’est précisément là que se joue la fracture entre productivité individuelle et impact organisationnel : dans cet écart entre ce que l’outil promet et ce qu’il livre au quotidien.

Le délai entre signal et action est l’avantage compétitif. Le shadow IT a mis dix ans à être absorbé dans les politiques de gouvernance standard. Le shadow AI se développe plus vite (l’accélération des outils disponibles est sans commune mesure). Les organisations qui lisent le signal rapidement transforment une pratique déviante en standard avant que la déviance devienne une dette de gouvernance — c’est précisément la dynamique que j’explore dans la question de la convivialité des outils IA : un outil qui ne convient pas aux usages réels génère mécaniquement son propre contournement.

L’exception qui fait la règle : les environnements réglementés

Cette lecture a un périmètre. Dans les secteurs où la donnée est strictement classifiée (santé, défense, administration publique, banque — les périmètres soumis à la PSSI (Politique de Sécurité des Systèmes d’Information) de l’État ou aux obligations ACPR (Autorité de Contrôle Prudentiel et de Résolution)), la sensibilisation préalable n’est pas négociable : le RSSI passe avant la lecture du signal. La maturité cyber des collaborateurs y est généralement supérieure (le secteur financier est l’un des terrains où elle est la plus avancée, avec le renseignement), mais le coût d’opportunité est rarement explicité. Peu de dirigeants mettent tout le poids du corps sur une analyse risque/conformité, même quand le respect strict du cadre revient à imposer des outils inadaptés à 90 % des usages, alors que les données vraiment classifiées (« C4 ») n’en représentent souvent que 5 à 10 % du volume traité. Le résultat : une dette organisationnelle et technique massive face à des concurrents qui n’ont pas ces contraintes, sinon ces appréhension (les néobanques, par exemple, au moins partiellement). Et un terrain de prédilection pour la rhétorique du « il faut s’adapter » que Barbara Stiegler analyse comme un nouvel impératif politique (Gallimard, 2019), trop souvent mobilisée par les éditeurs de solutions et cabinets pour pousser la dernière solution à la mode.

Dans les organisations plus petites, ou hors cadre réglementaire strict, le champ est plus ouvert. Les équipes se sentent souvent perdues, et il y a une alternative à articuler clairement face au shadow AI subi : la posture corsaire (déviance encadrée, “lettre de marque"" managériale) plutôt que la posture pirate (déviance pure, hors radar). Le contournement reste, mais il devient lisible. La grille opérationnelle qui distingue les deux postures (retour au standard, asymétrie du risque manager) mérite son propre traitement, que je développerai dans un article dédié.

« Diagnostiquer avant de gouverner, observer avant de normaliser, équiper avant d’interdire. »

Ce que j’en retiens : hors environnements réglementés stricts, la plupart des politiques shadow AI cherchent à réduire le risque en interdisant. Sur les projets de transformation IA que j’ai accompagnés, cette approche n’élimine pas le contournement — elle le rend invisible. La voie efficace est inverse : combler le vide qui l’a fait naître. La plupart des acteurs du shadow AI ne sont pas d’abord des « rebelles » : ce sont souvent parmi les collaborateurs les plus impliqués, qui souhaitent apporter le meilleur à leur travail quotidien.