Le shadow IA en PME : vos salariés l'utilisent déjà

Selon l’INSEE, 10% des entreprises françaises déclarent utiliser l’IA. Selon le rapport INRIA-Datacraft, ChatGPT est l’outil le plus utilisé en shadow dans ces mêmes entreprises. Les deux chiffres ne se contredisent pas : ils décrivent le même phénomène vu de deux côtés différents.

TL;DR : Vos salariés utilisent probablement ChatGPT, Copilot ou Gemini au quotidien sans vous le dire. Ce n’est pas forcément un problème - c’est souvent un signal que les outils officiels ne répondent pas aux besoins du terrain. Mais ça l’devient si des données clients transitent dans ces outils sans cadre, ou si des décisions sont prises sur des analyses IA non vérifiées. Cette semaine, trois sources convergent pour décrire le même paradoxe français : l’IA est partout dans les usages, nulle part dans les stratégies.

Ce que l’INSEE ne voit pas

L’enquête TIC de l’INSEE mesure chaque année l’adoption des technologies dans les entreprises françaises. Résultat 2024 : 10% des entreprises de plus de 10 salariés déclarent utiliser un outil d’IA. En dessous de la moyenne européenne à 13%.

La chronique de Philippe Askenazy dans Le Monde du 27 mai résume le paradoxe : d’un côté, cette enquête européenne qui montre un retard français. De l’autre, une enquête Microsoft qui suggère un usage massif. Les deux ont raison - ils mesurent des choses différentes.

L’enquête INSEE capte l’IA officiellement déployée, validée, encadrée. L’enquête Microsoft capte ce que les salariés font réellement avec leurs outils. L’écart entre les deux, c’est le shadow IA.

Le shadow IA - IA de l’ombre - désigne l’usage non encadré d’outils comme ChatGPT, Mistral, Copilot ou Gemini par des salariés, sans validation de l’entreprise. L’outil est utilisé, les résultats sont intégrés au travail livré, la direction n’en sait rien. Le rapport INRIA-Datacraft 2025 est précis sur ce point : ChatGPT a détrôné LinkedIn Business Solutions comme outil le plus utilisé en shadow IA dans les entreprises françaises. Pas une startup, pas un grand groupe tech. Des salariés ordinaires, dans des PME ordinaires, qui ont trouvé un outil utile et qui l’utilisent.

65% des étudiants entrant sur le marché du travail déclarent préférer une entreprise qui encourage l’usage de l’IA. Pour eux, ce n’est pas une entorse au règlement. C’est du bon sens.

Ce qui change concrètement. Si vous dirigez une PME et que vous n’avez pas de politique IA formalisée, il y a de bonnes chances que vos équipes aient déjà pris les devants. Ce n’est pas nécessairement un problème - c’est souvent un signal que les outils officiels ne répondent pas au terrain. Le problème commence quand des données clients ou des informations confidentielles transitent dans ces outils sans cadre. Un email rédigé avec ChatGPT sur la base d’un brief contenant des données clients : potentiellement un incident RGPD. Pas par malveillance - par commodité.

Que faire maintenant. Avant d’investir dans un outil IA officiel, faites le tour de vos équipes. Demandez directement quels outils ils utilisent au quotidien. Vous aurez votre état des lieux réel en 30 minutes. C’est la base de tout déploiement cohérent.

La fin des POC - l’IA doit maintenant rendre des comptes

Deuxième signal fort de la semaine, côté stratégie : l’IA en entreprise sort de la phase de démonstration.

Le Journal du Net formule le constat directement : « Pendant deux ans, l’intelligence artificielle a surtout servi à impressionner. En 2026, le marché ne regarde plus les promesses. Il regarde les résultats. »

Les chiffres confirment : selon l’étude MIT « GenAI Divide 2025 », 95% des projets d’IA en entreprise n’ont aucun impact mesurable sur le compte de résultat. McKinsey arrive au même résultat : 80% des entreprises qui disent utiliser l’IA ne voient aucune amélioration financière tangible. Seuls 5% captent une valeur réelle.

Ce n’est pas un problème de technologie. C’est un problème de méthode. La plupart des entreprises ont une collection de POC (preuves de concept) - des expérimentations sur un périmètre restreint, des résultats encourageants en lab, jamais déployés en production. Lancer un pilote IA sur 3 utilisateurs pour voir si ça marche, c’est facile. Décider que ça marche assez pour changer un process critique et le déployer à toute l’équipe, c’est une autre chose.

L’étude KPMG « Trends of AI 2026 » note un progrès : les deux tiers des organisations savent désormais mesurer le ROI de l’IA, contre un tiers seulement en 2025. Mais la majorité reste encore en mode expérimentation isolée plutôt qu’en déploiement structuré.

Ce qui change concrètement. En 2026, avoir « fait des tests IA » ne compte plus. La question que vos clients, vos partenaires et vos concurrents commencent à poser : qu’est-ce que vous avez changé dans vos processus ? Qu’est-ce que vous pouvez faire en moins de temps ou à moindre coût ? Le gap entre les entreprises qui ont industrialisé l’IA et celles qui ont fait des demos se creuse maintenant vite.

Que faire maintenant. Si vous avez un ou deux projets IA en cours mais aucune mesure de résultat : choisissez-en un, définissez un indicateur simple (heures économisées par semaine, taux d’erreur sur une tâche précise), mesurez pendant 4 semaines. Vous aurez une base pour décider si vous scalez ou si vous pivotez. Sans mesure, vous avez juste une dépense.

L’usage explose, l’intégration reste superficielle

Troisième convergence de la semaine : une étude IT Topics (28 mai) sur les PME belges et françaises confirme la même tension.

49% des PME déclarent que l’investissement en IA est une priorité. 7 sur 10 estiment que l’IA les aidera à travailler plus efficacement. Mais l’usage reste concentré sur les tâches les plus accessibles : rédaction de textes, génération d’images, traduction. Wilco Kraaij, expert IA chez Exact (éditeur ERP PME), formule le constat sans détour : « La grande majorité des entreprises utilise l’IA pour des tâches relativement accessibles. »

L’intention est là. L’intégration structurelle, non.

C’est exactement la différence que j’observe chez les dirigeants que j’accompagne : entre utiliser ChatGPT pour rédiger un email et intégrer l’IA dans le processus qui génère la valeur de l’entreprise, il y a un changement de posture complet. Le premier ne coûte rien à faire. Le second demande de redéfinir qui fait quoi, comment on mesure, et qui est responsable de quoi.

Ce qui change concrètement. Les PME qui restent au stade de l’usage superficiel continuent d’économiser quelques heures par semaine sur des tâches isolées. Les PME qui passent à l’intégration structurée commencent à changer la capacité d’exécution de l’ensemble de l’organisation. La différence se mesurera sur les marges dans 12 à 18 mois.

Askeal : un outil cybersécurité IA pour PME, gratuit pour commencer

Actu plus concrète et directement actionnable : Pradeo, entreprise de cybersécurité basée à Montpellier, lance Askeal, une spin-off dédiée à rendre la cybersécurité accessible aux PME.

Le principe : une interface conversationnelle pour répondre aux questions de sécurité informatique spécifiques aux PME. Pas un cabinet de conseil, pas un RSSI à plein temps. Un outil qui répond à « est-ce que ce mail est suspect ? », « comment sécuriser nos accès distants ? », « qu’est-ce qu’on risque si on utilise ChatGPT avec des données clients ? ».

La version freemium est disponible maintenant. La version professionnelle avec support est annoncée pour l’automne 2026.

C’est pertinent dans le contexte du shadow IA : la question « qu’est-ce qu’on risque si nos salariés utilisent ChatGPT avec des données clients ? » est précisément le type de question qu’Askeal est censée pouvoir traiter.

Ce qui change concrètement. Pour une PME sans responsable sécurité en interne, Askeal est un point d’entrée low-cost pour commencer à cadrer les risques IA. Ce n’est pas un substitut à une vraie politique de sécurité, mais c’est un outil pour se poser les bonnes questions sans mobiliser un prestataire à chaque fois.

Que faire maintenant. Tester la version freemium avec votre cas concret sur le shadow IA : saisissez la description de ce que vos équipes font avec ChatGPT et demandez à Askeal d’identifier les risques. Vous aurez une base pour construire votre politique IA interne.

Ce que ça change pour vous cette semaine

Trois situations, trois actions différentes.

Vous n’avez aucune visibilité sur ce que vos équipes utilisent. C’est le point de départ. Avant toute décision d’investissement ou de politique IA, faites l’état des lieux : quels outils, pour quels usages, avec quelles données. Un tour de table en réunion d’équipe suffit. Ce que vous découvrirez orientera tout le reste.

Vous avez des expérimentations IA en cours mais pas de mesure de résultat. Choisissez un seul projet. Définissez un indicateur simple. Mesurez 4 semaines. La décision de scaler ou d’arrêter se prendra sur des faits, pas sur une impression.

Vous avez déjà des usages IA encadrés mais pas de charte formalisée. Une page suffit : quels outils sont autorisés, quelles données ne doivent pas être saisies à l’extérieur, qui valide un output IA avant utilisation sur un client. Ce document n’est pas une contrainte bureaucratique - c’est ce qui vous protège si quelque chose se passe mal.

Pour aller plus loin sur comment structurer l’adoption de l’IA dans votre organisation, vous pouvez lire notre analyse sur les freins humains à l’adoption IA en PME.

---

Questions fréquentes

Qu’est-ce que le shadow IA en entreprise ?

Le shadow IA désigne l’usage non encadré d’outils d’IA - ChatGPT, Mistral, Copilot, Gemini - par des salariés, sans validation ni supervision de leur entreprise. L’outil est utilisé, les résultats sont intégrés au travail livré, mais la direction n’en sait rien. Selon le rapport INRIA-Datacraft 2025, ChatGPT est devenu l’outil le plus utilisé en shadow IA dans les entreprises françaises.

Combien d’entreprises françaises utilisent vraiment l’IA ?

Selon l’enquête TIC de l’INSEE (données 2024), 10% des entreprises françaises de plus de 10 salariés déclarent utiliser un outil d’IA - en dessous de la moyenne européenne de 13%. Mais ce chiffre ne capte pas le shadow IA : les usages non déclarés, non encadrés, non mesurés. La réalité des usages est probablement bien plus haute.

Quels sont les risques du shadow IA pour une PME ?

Trois risques principaux : (1) les données clients ou confidentielles saisies dans un outil externe non sécurisé - problème RGPD immédiat ; (2) les décisions prises sur des analyses IA non vérifiées - erreur amplifiée et difficile à détecter ; (3) l’absence de traçabilité - qui a produit quoi, avec quel outil. Le risque n’est pas l’usage en lui-même, c’est l’absence de cadre.

Comment encadrer le shadow IA sans bloquer l’initiative des équipes ?

La charte IA est le point d’entrée minimal : quels outils sont autorisés, quelles données ne doivent jamais être saisies, qui valide les outputs avant usage. 86% des grandes entreprises en ont une selon KPMG (Trends of AI 2026). En PME, un document d’une page suffit pour poser le cadre sans bureaucratiser.

95% des projets IA n’ont aucun impact - comment éviter ce piège ?

L’étude MIT « GenAI Divide 2025 » montre que 95% des projets IA en entreprise n’ont aucun impact mesurable sur le compte de résultat. Le piège commun : lancer un outil sans cas d’usage précis défini à l’avance. La méthode : partir d’une tâche que quelqu’un fait déjà 5h par semaine, mesurer le temps économisé, calculer le gain au coût horaire chargé. Simple, mais 80% des entreprises ne le font pas.