Shadow IT & IA : ton équipe vibecode déjà sans te le dire
Quelqu'un, dans ton entreprise, a déjà construit une application interne avec l'IA. Sans ticket, sans budget, sans en parler à la DSI — si tu en as une. Un tableau de suivi commercial branché sur un export CRM. Un calculateur de primes monté un dimanche soir. Un mini-outil RH créé sur Lovable en deux heures, avec de vrais noms de salariés dedans.
C'est le shadow IT version IA : il n'y a plus besoin de savoir coder pour créer un outil, il suffit de savoir le décrire. Et la bonne réponse ne tient pas dans une interdiction, mais dans quatre décisions :
- Inventorier sans punir : une amnistie déclarative pour savoir ce qui existe vraiment.
- Définir trois zones : sandbox libre avec données factices, zone validée pour les données internes, zone interdite pour les données clients, la paie et la santé.
- Exiger deux choses par app : un export du code et un responsable nommé.
- Valider systématiquement tout ce qui touche des données personnelles.
La suite détaille pourquoi ce phénomène est un signal utile — pas une trahison — et comment poser ce cadre dès cette semaine.
Ce qui se passe vraiment dans tes équipes
Les outils conversationnels comme ChatGPT ou Lovable ont changé qui peut fabriquer du logiciel. Ta responsable marketing peut décrire un outil de scoring de leads et l'obtenir dans l'après-midi. Ton contrôleur de gestion peut se faire générer un script qui consolide trois exports Excel.
Ces apps restent invisibles pour trois raisons simples :
- Elles ne demandent rien à personne : pas de serveur, pas d'achat de licence, pas de ticket. La plateforme héberge tout.
- Elles vivent souvent sur des comptes personnels, créés en dehors de tout contrat d'entreprise.
- Elles marchent. Personne ne signale un outil qui lui fait gagner deux heures par semaine.
Le point sensible n'est pas l'existence de ces apps. C'est qu'elles tournent souvent avec de vraies données de l'entreprise — fichiers clients, salaires, historiques de vente — copiées-collées dans des outils que personne n'a évalués.
C'est un signal, pas une trahison
Si quelqu'un a bricolé son propre outil, c'est qu'un besoin n'était pas servi : l'outil officiel n'existe pas, ou la demande dort dans un backlog depuis six mois. Le shadow IT est la carte la plus honnête de tes besoins internes réels.
Réagir par l'interdiction pure produit l'effet inverse de celui recherché. Les apps ne disparaissent pas : elles migrent vers des comptes personnels, des téléphones personnels, des conversations privées. Tu perds la visibilité, et les personnes concernées perdent la possibilité de te demander de l'aide le jour où quelque chose coince.
L'énergie que tes équipes mettent à se fabriquer des outils est un actif. Le travail, c'est de la canaliser — pas de l'éteindre.
Le cadre : quatre règles simples
1. L'amnistie déclarative
Annonce une fenêtre de 30 jours : chacun déclare les outils et apps qu'il a créés ou qu'il utilise, zéro sanction, quel que soit ce qui remonte. Le formulaire tient en cinq questions :
- Que fait l'app ?
- Quelles données touche-t-elle ?
- Qui l'utilise ?
- Où est-elle hébergée ?
- Qui l'a créée ?
L'objectif est une cartographie, pas un tribunal. Si déclarer est risqué pour celui qui déclare, tu n'obtiendras que la partie émergée.
2. Trois zones, connues de tous
| Zone | Données | Règle |
|---|---|---|
| Sandbox | Factices ou publiques | Liberté totale, aucune validation |
| Validée | Internes non sensibles | Déclaration + revue rapide |
| Interdite | Clients, paie, santé | Outils validés par l'entreprise uniquement |
La sandbox compte plus qu'il n'y paraît : c'est elle qui rend le cadre crédible. Les gens ont un endroit où expérimenter librement, donc la tentation de contourner les deux autres zones baisse.
3. Un export du code et un responsable par app
Deux exigences, pas plus :
- L'export du code. Si la plateforme ne permet pas de récupérer le code, l'app est une démo, pas un outil de travail. Le jour où elle change ses prix ou ferme, tu dois pouvoir reprendre la main.
- Un responsable nommé. Une app sans propriétaire devient orpheline au premier départ. Un nom dans un tableau suffit.
4. Les données personnelles passent toujours par une validation
Une seule règle absolue, facile à retenir : dès qu'une app touche des données personnelles — clients, salariés, candidats — elle passe par une validation avant usage. Tu as déjà des obligations sur ces données ; tu ne fais que les rendre opérationnelles pour les apps créées avec l'IA.
L'EU AI Act rend le sujet très concret
L'EU AI Act, entré en application de façon progressive, classe certains systèmes d'IA déployés dans la finance, la santé ou les infrastructures critiques comme « à haut risque ». Pour ces systèmes, le texte exige notamment des audits et une documentation de conception.
Concrètement : une app métier clandestine qui touche à ces domaines peut faire basculer l'entreprise dans la non-conformité. Pas parce que l'app est mal faite — mais parce que personne ne peut documenter comment elle a été conçue, avec quelles données, ni qui en répond.
La bonne nouvelle : le cadre décrit plus haut produit exactement les pièces demandées. L'inventaire dit ce qui existe. Le responsable nommé dit qui répond. L'export du code et la validation documentent la conception. Tu ne fais pas de la conformité en plus du cadre : le cadre, c'est la conformité.
Par où commencer cette semaine
- Jour 1 : annonce l'amnistie déclarative. Un message simple : « On sait que des outils IA circulent. On veut les connaître, pas les punir. Vous avez 30 jours. »
- Jour 2 : publie les trois zones sur une page interne. Une page, pas un PDF de 40 pages.
- Jour 3 : prépare le formulaire de déclaration (cinq questions, cinq minutes).
- Semaines 2-3 : reçois les déclarations. Classe chaque app dans sa zone. Remercie publiquement les premiers déclarants.
- Semaine 4 : pour chaque app en zone validée ou interdite, nomme un responsable, demande l'export du code, planifie une validation si des données personnelles sont en jeu.
- Ensuite : fais vivre l'inventaire. Une revue trimestrielle d'une heure suffit pour une PME.
Le shadow IT à l'ère de l'IA n'est pas une crise à étouffer. C'est ton équipe qui te montre, outil par outil, ce dont elle a besoin. Donne-lui un cadre, et ce qui était un angle mort devient un avantage.