Shadow AI : quand les salariés adoptent l’IA plus vite que les règles internes

Selon Okta, le shadow AI progresse rapidement en entreprise, y compris en France. Malgré une approche plus prudente, les incidents de sécurité liés à l’IA se multiplient, révélant les limites des politiques internes.

Des usages de l’IA qui échappent encore à la vigilance des entreprises

À l’heure où l’essor de l’IA générative bouleverse les organisations, une réalité s’impose : plus d’un salarié sur deux exploite des outils d’intelligence artificielle non validés par sa direction. D’après le dernier rapport annuel « AI Agents at Work 2026 » publié par Okta, cette pratique du shadow AI s’étend à une vitesse qui déroute même les responsables IT, pourtant persuadés d’en maîtriser les contours.

Ce constat ne se limite pas à un effet de mode ou à quelques déviances individuelles. Dans la zone EMEA, le phénomène atteint des proportions inattendues : si seulement 31 % des employés français reconnaissent recourir à ces outils non approuvés, la proportion la plus basse au monde, près de 59 % des entreprises françaises ont néanmoins signalé un incident de sécurité lié à l’IA au cours de l’année écoulée. Un paradoxe qui soulève bien des interrogations.

Malaise autour de la gouvernance et divergence de perception

L’étude menée par Okta révèle aussi une fracture persistante entre le discours officiel et le vécu sur le terrain. Tandis que 90 % des décideurs affichent leur confiance dans la gouvernance interne, ils semblent ignorer que 52 % des collaborateurs déclarent utiliser activement du shadow AI, souvent via des comptes personnels. La situation française tranche nettement avec la moyenne mondiale : ici, prudence rime avec vigilance, mais cela n’empêche pas les incidents majeurs.

Autre paradoxe mis en lumière : alors que presque tous les dirigeants (95 %) estiment que leurs équipes font preuve de responsabilité dans leur usage de l’IA, près d’un tiers des salariés reconnaissent transmettre documents confidentiels ou identifiants à ces plateformes. En France, ce chiffre demeure élevé (23,1 %), tandis que la confiance managériale dans un usage responsable chute à seulement 33,3 %. On perçoit là une forme de lucidité très française, loin d’un optimisme excessif.

Lenteur et flou des politiques d’entreprise face aux défis IA

Face à cette adoption rapide, les politiques internes peinent à suivre le rythme. Si deux tiers des dirigeants jugent leurs règles « très claires », plus d’un salarié sur deux confie s’y perdre – et en France, dirigeants comme employés tombent finalement d’accord sur une certaine opacité réglementaire. C’est rare : ailleurs dans le monde, ce sont surtout les cadres qui surestiment la transparence réelle.

Signe que le sujet gagne en maturité : plus d’une entreprise sur deux a désormais bâti une stratégie dédiée aux agents IA, elles étaient dix fois moins nombreuses il y a un an. Cependant, seule une minorité (34 %) applique effectivement aux agents IA les mêmes contrôles IAM (gestion des accès et identités) qu’à leurs collaborateurs humains.

Voici ce qu’il faut retenir pour comprendre pourquoi ces fragilités persistent :

• Trop souvent, permissions et accès sont mal configurés même pour les outils validés.
• La sécurité reste la priorité numéro un en France devant efficacité et conformité.
• Même le pays le plus prudent n’est pas épargné par les brèches.

Vers une nouvelle identité numérique pour l’IA en entreprise ?

Derrière ces chiffres, un tournant apparaît : il ne suffit plus de considérer l’IA comme un outil annexe mais comme une véritable identité numérique nécessitant gouvernance stricte et contrôles renforcés. Si la prise de conscience est amorcée chez nombre d’organisations françaises, il leur reste encore bien du chemin pour adapter leur niveau de protection au rythme effréné de l’innovation technologique. Les prochains mois diront si cette lucidité pragmatique saura freiner l’expansion incontrôlée du shadow AI…