Imaginez : un responsable RH résume des fiches de paie dans ChatGPT pour gagner du temps. Un commercial copie-colle un contrat dans Gemini pour en extraire les clauses clés. Un ingénieur soumet son code source à un outil IA pour corriger un bug.
Aucun de ces collaborateurs n’a consulté la DSI. Aucun ne s’est demandé où partaient ces données. C’est précisément là que commence le problème. La vraie question n’est pas « peut-on utiliser l’IA en entreprise ? », c’est « sait-on vraiment ce qu’on lui donne à lire et ce qu’elle en fait ? »
Le problème commence souvent bien avant : lorsque les documents sensibles de l’entreprise sont dispersés entre messageries, serveurs, clouds publics et espaces collaboratifs, sans véritable gouvernance documentaire.
Ce que l’IA fait réellement de vos données
Tous les outils d’IA ne se comportent pas de la même manière avec vos données. La distinction fondamentale est entre deux architectures très différentes.
Les LLM « classiques » (comme ChatGPT en version gratuite) sont entraînés sur de vastes corpus de données et peuvent, par défaut, utiliser vos conversations pour améliorer leurs modèles. Les LLM RAG (Retrieval-Augmented Generation), eux, accèdent en temps réel à vos fichiers et bases documentaires — ce qui soulève des questions spécifiques sur le contrôle des accès.
Ce que dit OpenAI sur ses différentes offres est éclairant. Pour la version gratuite de ChatGPT, les conversations sont conservées indéfiniment et peuvent servir à l’entraînement du modèle, sauf si l’utilisateur désactive manuellement cette option. Les données sont hébergées aux États-Unis, avec transfert hors UE encadré par des clauses contractuelles types — que certaines autorités européennes jugent insuffisantes.
Pour les offres Business et Enterprise d’OpenAI, en revanche, la situation est différente : vos données ne sont pas utilisées pour entraîner les modèles, un DPA (accord de traitement des données) est disponible, et les certifications SOC 2 type 2 et ISO 27001 sont obtenues.
Le Shadow AI : ce risque que les DSI sous-estiment
Le Shadow AI désigne l’utilisation d’outils d’intelligence artificielle par des collaborateurs sans autorisation ni supervision de la direction ou du service informatique. Ouvrir ChatGPT dans un navigateur prend trois secondes. Attendre que la DSI déploie un outil IA officiel peut prendre des mois.
Les chiffres sont sans appel :
- 68 % des employés utilisent des outils d’IA non autorisés au travail, contre 41 % en 2023 (Gartner, étude 500 entreprises, 2025).
- 61 % des dirigeants utilisent eux-mêmes l’IA générative via leurs comptes personnels au moins une fois par semaine (Microsoft France / YouGov, janvier 2026).
- 33 % des salariés admettent avoir partagé des données sensibles (données employés, informations financières, recherche) dans des outils non approuvés (BlackFog, 2026).
- Le surcoût moyen par incident lié au Shadow AI atteint 670 000 dollars par rapport aux autres incidents de sécurité (IBM, rapport sur le coût des violations de données, 2025).
Ce qui rend le Shadow AI plus dangereux que le Shadow IT classique, c’est son invisibilité. Copier-coller un document dans un chatbot est une action qui ne génère aucune alerte sur les systèmes de surveillance habituels. Sans cadre clair, ces micro-actions se multiplient et échappent à tout contrôle.
Ce que dit la réglementation en 2026
L’usage de l’IA en entreprise est encadré par deux règlements européens complémentaires : le RGPD, qui régit les données personnelles, et l’AI Act, qui régit les systèmes d’IA eux-mêmes. Ils ne se substituent pas l’un à l’autre. Ils s’appliquent simultanément.
Le RGPD s’applique dès que des données personnelles transitent
Dès que vous envoyez des données personnelles (nom d’un client, email, fiche RH…) à un outil IA tiers, vous êtes responsable de traitement. Cela impose notamment :
- La signature d’un DPA (Data Processing Agreement) avec le fournisseur IA.
- L’inscription du traitement dans votre registre des activités (article 30 du RGPD).
- La réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) si le traitement présente un risque élevé — ce que la CNIL recommande dès que des données sensibles sont traitées à grande échelle.
- La vérification que l’hébergement s’effectue sur sol européen ou avec des garanties de transfert suffisantes.
L’AI Act : un calendrier progressif aux sanctions sévères
L’AI Act est entré en vigueur progressivement. Depuis février 2025, les interdictions absolues s’appliquent (systèmes de notation sociale, manipulation comportementale). Depuis août 2025, les obligations pour les modèles à usage général (GPAI) comme GPT ou Claude sont effectives. Au 2 août 2026, la majorité des obligations s’applique, notamment pour les systèmes à haut risque.
Le règlement classifie les systèmes IA selon quatre niveaux de risque. Pour les entreprises, la catégorie « haut risque » concerne directement des usages courants : tri de CV, scoring client, évaluation des collaborateurs, systèmes de décision dans les services financiers.
L’AI Act impose également une obligation de littératie IA (article 4), en vigueur depuis février 2025 : toutes les personnes qui déploient ou supervisent des systèmes d’IA doivent avoir un niveau de compétence suffisant. Cela vaut pour votre DSI, vos managers, et vos équipes en contact avec ces outils.
Peut-on vraiment maîtriser les données partagées avec l’IA ?
Oui, à certaines conditions
Plusieurs leviers permettent de garder la main sur vos données :
- Choisir des outils dont les conditions contractuelles garantissent la non-réutilisation des données pour l’entraînement des modèles, avec un DPA signé.
- Opter pour des solutions hébergées en Europe pour s’affranchir des risques liés au Cloud Act américain, qui permet aux autorités américaines d’exiger l’accès aux données hébergées par des entreprises de droit américain, quel que soit le pays où elles sont stockées.
- Déployer des modèles en environnement privé ou on-premise pour les usages les plus sensibles, en évitant que les données ne transitent par des serveurs tiers.
- Mettre en place une segmentation fine des accès avant toute connexion d’un outil IA à vos systèmes documentaires.
Non, si vous ne faites rien
Sans politique IA interne, les données circulent librement. Un agent IA connecté à votre CRM, à votre messagerie et à vos dossiers partagés accède à l’ensemble de ces ressources et peut devenir un point d’entrée privilégié pour un cyberattaquant en cas de compromission. La segmentation des accès n’est pas une option : c’est le préalable à tout déploiement IA responsable.
La maîtrise des données IA commence par la maîtrise des données tout court
Avant de s’interroger sur ce qu’un modèle fait de vos données, il faut s’assurer que vous avez vous-même une vision claire et contrôlée de votre patrimoine documentaire.
Cela suppose de savoir précisément où sont stockés vos fichiers sensibles, qui y a accès et depuis quand, quelles actions ont été effectuées sur ces documents, et dans quels pays les données sont hébergées.
C’est exactement l’approche que permettent les solutions de gestion documentaire souveraines : centraliser, contrôler et traçer avant de connecter. NetExplorer, hébergé intégralement en France, permet de définir des droits d’accès granulaires document par document, de suivre l’intégralité des accès et modifications, et de partager des fichiers en toute sécurité avec des tiers sans que ces données ne quittent le territoire français.
Avant de connecter l’IA à vos documents, la première étape est donc de savoir exactement ce que vous lui donnez accès. C’est une question de gouvernance, pas de technologie.
Conclusion
Maîtriser les données partagées avec l’IA est possible mais cela exige une démarche volontaire, pas une simple décision d’achat. La sécurité documentaire à l’ère de l’IA repose sur trois fondamentaux : savoir où sont vos données, contrôler qui y accède, et choisir des partenaires technologiques qui vous permettent d’en rester maître.
Le cadre réglementaire : RGPD, AI Act fournit désormais un plancher d’exigences. Mais les entreprises qui se contentent du minimum réglementaire prennent des risques que la loi ne couvre pas encore intégralement. Le Shadow AI, lui, n’attend pas.
