Le shadow AI n'est pas
un problème de discipline.
C'est un signal de gouvernance absente.
tointelligence · omer taki
· pourquoi le Comex ne le voit pas

L'invisibilité n'est pas un accident. C'est une structure.

Dans la quasi-totalité des organisations que nous observons, le Comex n'a pas de visibilité sur les usages IA réels de ses équipes. Pas parce que ces usages sont cachés intentionnellement, mais parce qu'aucune structure ne les rend visibles.

Les équipes utilisent ChatGPT, Claude, des outils de transcription, des assistants de rédaction. Elles ne le signalent pas parce qu'elles n'ont jamais eu de raison de le faire. La DSI ne le trace pas parce que ces usages passent par des comptes personnels ou des abonnements d'équipe qui n'apparaissent pas dans les inventaires. La direction générale ne le voit pas parce qu'elle n'a jamais demandé à le voir.

Ce n'est pas une défaillance de conformité. C'est une décision qui n'a pas été prise. Et l'absence de décision est elle-même une décision, avec des conséquences.

Le Comex qui ignore son shadow AI n'est pas négligent. Il n'a simplement jamais décidé de se donner la visibilité.
· ce qui est réellement en jeu

Trois niveaux de risque que la DSI ne peut pas gérer seule.

niveau 1
Données exposées
Des données clients, des contrats, des analyses stratégiques transitent vers des serveurs externes dans des conditions que personne n'a évaluées. Ce n'est pas un risque IT. C'est une perte de maîtrise sur des actifs propriétaires.
niveau 2
Dépendances invisibles
Des processus opérationnels critiques reposent sur des outils que la direction n'a pas approuvés et peut ne pas connaître. Si le fournisseur disparaît ou change ses conditions, l'organisation découvre une dépendance qu'elle n'avait pas décidée.
niveau 3
Responsabilité engagée
L'EU AI Act impose aux opérateurs de prouver leur supervision des systèmes IA. Un Comex sans visibilité sur ses usages réels ne peut pas satisfaire cette obligation, indépendamment de ce que son fournisseur déclare.
· la différence d'angle

Ce que la DSI gère. Ce que le Comex doit décider.

La réponse DSI au shadow AI est une réponse de contrôle : inventorier les outils, bloquer les non-approuvés, définir une politique d'usage acceptable. C'est nécessaire. Ce n'est pas suffisant.

La réponse Comex est différente. Elle porte sur trois questions que la DSI ne peut pas trancher seule : quelles données sommes-nous prêts à externaliser et dans quelles conditions ? Quels processus critiques peuvent reposer sur des outils tiers, et lesquels ne le peuvent pas ? Quelle responsabilité assumons-nous vis-à-vis de nos régulateurs et de nos clients sur ces usages ?

· observation fondatrice

Chez tointelligence, nous observons que les organisations qui traitent le shadow AI comme un problème IT produisent des politiques que personne ne suit. Celles qui le traitent comme une décision de gouvernance exécutive produisent un cadre que les équipes adoptent parce qu'il est cohérent avec leur réalité terrain. La différence n'est pas dans la sévérité de la politique. Elle est dans le niveau où la décision est prise.

· le signal que vous ne lisez pas

Le shadow AI dit quelque chose que vous n'avez pas entendu.

Quand 40% des équipes utilisent des outils IA non approuvés, ce n'est pas un signe de rébellion. C'est un signal que la direction n'a pas encore produit de réponse utilisable à un besoin réel. Les équipes ont comblé un vide que la gouvernance n'a pas rempli.

Interdire ne résout pas ce vide. Cela le déplace. Les équipes trouvent d'autres chemins, ou ralentissent leurs processus, ou continuent à utiliser les mêmes outils en les cachant davantage. La seule réponse durable est de produire un cadre assez clair et assez rapide pour que le chemin officiel soit plus attractif que le contournement.

Le shadow AI est le symptôme d'une gouvernance qui n'a pas encore rattrapé la réalité terrain.
· ce que doit décider le Comex

Trois décisions de gouvernance, pas de contrôle.

· décision 1 · visibilité

Décider d'avoir une image réelle des usages IA dans l'organisation. Pas l'image que la DSI construit à partir des inventaires officiels. L'image des usages réels, terrain, avec les données qui transitent. Cette décision appartient à la direction générale, pas à la DSI.

· décision 2 · périmètre

Décider explicitement ce qui peut être externalisé et ce qui ne peut pas l'être. Quelles données, quels processus, quels niveaux de criticité. Cette décision ne peut pas être déléguée à des équipes qui n'ont pas la visibilité stratégique pour l'arbitrer.

· décision 3 · cadre

Produire un cadre d'usage approuvé qui fonctionne parce qu'il part de la réalité terrain, pas d'un idéal de conformité. Un cadre que les équipes peuvent suivre sans contourner leur efficacité opérationnelle. Ce cadre est une décision stratégique, pas une politique IT.