/image%2F1431211%2F20170927%2Fob_46a20f_smartcities.jpg)
par Tanguy Duthion, CEO d’Avanoo.
Alors que l’intelligence artificielle s’immisce dans tous les métiers, les agents publics sont de plus en plus nombreux à utiliser des outils personnels pour gagner du temps. Un phénomène appelé « Shadow AI » qui, derrière des gains de productivité immédiats, cache des risques majeurs pour la confidentialité des données des citoyens et la sécurité de l'État.
Dans les couloirs des ministères comme dans les bureaux des collectivités territoriales, la scène est devenue banale : pour résumer un compte rendu de réunion fleuve, traduire un document technique ou corriger un projet de note de synthèse, un agent se tourne vers ChatGPT, Claude ou un assistant de code gratuit. Le problème ? Ces outils sont souvent utilisés en dehors de tout cadre officiel, sans l'aval des directions informatiques (DSI). C’est ce qu’on appelle le Shadow AI.
Un usage massif dicté par l'urgence
Les chiffres sont éloquents. On estime aujourd'hui que plus de 70 % des employés utilisent leurs outils personnels d’IA au travail. Dans le service public, où la charge de travail est souvent lourde et les ressources parfois limitées, l'attrait est irrésistible. Contrairement au « Shadow IT » classique, qui consistait simplement à utiliser un logiciel non autorisé, l'IA fait sortir massivement de la donnée vers des serveurs externes, souvent situés hors d'Europe.
Qu’il s’agisse d’un extrait de contrat, d’un fichier Excel contenant des données sociales ou d’un bout de code informatique, chaque « prompt » envoyé à une IA non sécurisée est une faille potentielle. Une fois la donnée transmise, le contrôle est perdu : elle peut servir à entraîner les modèles futurs ou être exposée en cas de cyberattaque ciblant ces plateformes.
Des risques démultipliés pour l'intérêt général
Pour le service public, les enjeux dépassent la simple sécurité informatique. Le risque est triple :
-
La souveraineté et la confidentialité : La fuite de données sensibles (santé, identité, secrets d'État) vers des acteurs privés étrangers est une menace directe.
-
La conformité juridique : Avec l'entrée en vigueur progressive du Règlement IA (RIA) européen d'ici 2026, les administrations auront l'obligation de recenser et de sécuriser leurs systèmes. Le Shadow AI place de fait l'institution dans l'illégalité.
-
La fiabilité de l'action publique : Une décision administrative basée sur une IA "hallucinante" ou biaisée pourrait engager la responsabilité de l'État et nuire à l'équité entre les citoyens.
Sortir de l'ombre par l'encadrement
Face à cette déferlante, l'interdiction pure et simple semble vouée à l'échec. Les experts s'accordent sur une stratégie de « nudge » et d'accompagnement. La solution passe par la mise à disposition d'outils souverains et sécurisés. À l'image de l'initiative Albert pour l'administration française, l'objectif est d'offrir une alternative performante dans un environnement protégé.
Pour les dirigeants publics, l'urgence est à la cartographie des usages. Il ne s'agit plus seulement de savoir quels logiciels sont installés, mais de comprendre comment les agents interagissent avec l'IA au quotidien. Cela nécessite une formation massive aux bonnes pratiques : ne jamais intégrer de données nominatives, comprendre les limites des modèles et privilégier les solutions validées par l'ANSSI.
Le défi pour le service public en 2026 sera de transformer cette pratique "clandestine" en un levier d'innovation responsable, garantissant que la modernisation de l'État ne se fasse pas au prix de la sécurité des citoyens.
Comment reprendre le contrôle ? Le « mode d’emploi » pour sortir de l’ombre
Face à ce raz-de-marée, l’interdiction brutale est souvent contre-productive : elle pousse les agents à plus de clandestinité. Pour les administrations, l’enjeu est de transformer cette pratique sauvage en une innovation sécurisée. Par où commencer ?
1. Faire un état des lieux sans tabou La première étape n’est pas technique, elle est culturelle. Il s’agit de mener une « Shadow AI Discovery ». Au lieu de sanctionner, les DSI utilisent des outils pour cartographier les usages réels. Quels outils sont utilisés ? Pour quels types de tâches ? C’est en comprenant le besoin de l’agent (résumer une note, traduire un texte) qu’on peut y répondre correctement.
2. Offrir une alternative publique et sécurisée Le Shadow AI gagne quand l'offre interne est absente ou trop complexe. La solution passe par le déploiement d’outils « de confiance », idéalement hébergés sur des serveurs souverains (qualifiés SecNumCloud par l'ANSSI). L'objectif est de fournir aux agents un assistant aussi performant que les outils grand public, mais dont on garantit que les données ne sortiront jamais du périmètre de l'État.
3. Fixer des règles du jeu claires (et simples) Inutile de rédiger des chartes de 50 pages que personne ne lira. Les organisations qui réussissent sont celles qui édictent des politiques segmentées et très visuelles :
-
Vert : Ce qui est autorisé (ex: résumer un texte public sur l'IA interne).
-
Orange : Ce qui est soumis à conditions (ex: utiliser un traducteur externe pour un document sans donnée sensible).
-
Rouge : Ce qui est strictement interdit (ex: envoyer un fichier Excel contenant des noms de citoyens ou des données de santé sur un chatbot public).
4. Miser sur le « nudge » et la formation Le dernier levier est humain. Plutôt que de bloquer les accès, il faut accompagner l'utilisateur. Si un agent s’apprête à copier des données sensibles dans une IA non autorisée, une fenêtre contextuelle (un « nudge ») peut apparaître pour lui rappeler les risques et le rediriger vers l'outil officiel. La formation doit être courte, répétée et ultra-concrète, avec des exemples de « prompts » interdits et autorisés.
Conclusion : Un actif stratégique pour 2026
En 2026, la mise en conformité n'est plus une option mais une obligation légale pour les directeurs d'administration. En structurant dès aujourd'hui leur gouvernance, les services publics ne font pas que boucher une faille de sécurité : ils posent les fondations d'une administration moderne, capable d'utiliser l'IA pour mieux servir les citoyens, sans jamais trahir leur confiance.
/image%2F1431211%2F20260220%2Fob_aa287a_noemia-domingues-2022-2-lowres-scaled.jpg)
/image%2F1431211%2F20260209%2Fob_13e448_screenshot-2026-02-09-at-15-51-29-trib.png)
/image%2F1431211%2F20260106%2Fob_5b2341_1726232989295.jpeg)
/image%2F1431211%2F20251202%2Fob_bb6834_1574226421098.jpeg)
/image%2F1431211%2F20260220%2Fob_cc6db7_screenshot-2026-02-20-at-11-31-08-pre.png)
/image%2F1431211%2F20260220%2Fob_aa287a_noemia-domingues-2022-2-lowres-scaled.jpg)
/image%2F1431211%2F20260210%2Fob_5b4cea_1733239902297.jpeg)
/image%2F1431211%2F20260209%2Fob_2ee536_screenshot-2026-02-09-at-16-13-27-37.png)
Commenter cet article