C'est quoi exactement, le Shadow IA ?
Le Shadow IA désigne l'usage d'outils d'IA générative par des salariés sans approbation ni supervision de leur hiérarchie. Un commercial qui rédige ses propositions sur ChatGPT depuis son compte perso. Un responsable RH qui fait reformuler ses offres d'emploi par Claude. Un comptable qui fait analyser un bilan via Gemini.
Et aussi : un technicien qui dicte vocalement ses 3 comptes rendus d'intervention à ChatGPT entre deux clients pour gagner 40 minutes le soir.
Le phénomène est massif. Une étude INRIA-Datacraft publiée en juin 2025 sur 14 grandes entreprises et institutions françaises (dont Airbus, L'Oréal, le Crédit Agricole et le Ministère des Armées) chiffre la réalité : 68% des salariés français utilisent des outils d'IA sans en informer leur direction.
Aucun ne demande la permission. Aucun ne dit qu'il le fait. Personne ne sait que les données qu'ils tapent partent quelque part. Ce n'est pas de la rébellion, c'est de l'efficacité pragmatique. ChatGPT s'ouvre dans le navigateur en trois secondes, gratuitement, sans formation. Quand un outil est aussi accessible, l'attendre devient l'option coûteuse.
La plupart des dirigeants ne voient rien. Leurs équipes utilisent l'IA tous les jours.
Pourquoi les métiers terrain sont en première ligne
Trois raisons expliquent pourquoi les installateurs, les artisans et les PME du terrain sont particulièrement exposés au Shadow IA.
Le manque d'outils métier adaptés. Un technicien qui rentre de chantier avec 4 interventions à formaliser a deux options : ouvrir un Word et taper pendant 45 minutes, ou dicter le tout à ChatGPT en 5 minutes. La deuxième option n'est pas un choix moral, c'est un choix de survie. Tant que l'entreprise n'a pas mieux à proposer, c'est ChatGPT qui gagne.
Une culture orale forte. Les métiers techniques traînent des décennies de pratique orale (chantier, échanges téléphoniques, comptes rendus dictés à la secrétaire). L'IA générative, qui transforme une voix en texte propre, comble un besoin que les outils bureautiques classiques n'ont jamais servi.
Aucun contrôle sur les usages mobiles. Un technicien équipé d'un téléphone perso utilise ce qu'il veut sur son trajet. L'entreprise n'a pas conscience que l'outil tourne, encore moins qu'un nom de client ou une adresse y est entré.
Que se passe-t-il quand un technicien colle un compte rendu dans ChatGPT ?
Prenons un cas concret. Un technicien CVC intervient chez un client. Il rentre dans sa voiture, ouvre ChatGPT sur son téléphone, et dicte :
Reformule-moi ça en compte rendu pro. Aujourd'hui chez Dupont, 12 rue des Lilas à Bordeaux, j'ai changé le condenseur de la PAC, modèle Atlantic Alféa Extensa A.I. 11. J'ai trouvé le filtre du circuit secondaire complètement encrassé. Le client a aussi dit qu'il avait des problèmes avec son ballon thermodynamique, à voir lors de la prochaine visite annuelle.
Cinq secondes plus tard, il a un compte rendu propre. Il copie, colle, envoie. Tout le monde est content.
Dans cette seule requête, sont parties sur les serveurs d'OpenAI : le nom du client, son adresse exacte, le détail technique de son équipement avec référence, une indication sur un autre équipement défaillant, une notation sur la prochaine intervention prévue. Ces données sont stockées. Sur la version gratuite, elles peuvent servir à entraîner les modèles futurs.
D'un point de vue RGPD, c'est un transfert de données personnelles non autorisé hors de l'Union européenne, sans consentement du client final, sans cadre contractuel, sans cartographie. Un cas-école qu'un contrôle CNIL identifierait immédiatement.
Le technicien n'a rien fait de mal. Il a fait ce que personne ne lui a appris à ne pas faire.
Les risques concrets pour une PME du terrain
Trois risques se cumulent pour une entreprise qui laisse le Shadow IA s'installer.
Le risque RGPD. La CNIL peut sanctionner jusqu'à 4% du chiffre d'affaires annuel mondial en cas de manquement grave. Pour une PME de 30 salariés à 5 millions de CA, on parle d'amendes potentielles à six chiffres. La CNIL n'a pas besoin de scanner votre serveur pour le savoir. Un client mécontent qui se plaint d'avoir vu son nom circuler suffit.
Le risque commercial. Vos données clients, vos tarifs, vos méthodes d'intervention, vos retours sur les pannes les plus fréquentes : tout ce qui passe par un compte ChatGPT gratuit peut, à terme, nourrir les réponses que ChatGPT donnera à d'autres entreprises. Y compris à vos concurrents qui demanderaient des conseils sur des cas similaires.
Le risque de qualité. Une IA grand public ne connaît pas votre process, votre nomenclature équipements, vos zones d'intervention. Elle hallucine sur les références techniques précises. Un compte rendu généré par ChatGPT peut sembler parfait à l'œil et contenir une erreur de modèle ou de référence qui se transformera en problème SAV trois mois plus tard.
Comment reprendre le contrôle sans interdire l'IA ?
La tentation du dirigeant qui découvre le sujet, c'est d'interdire. Note de service, charte signée, sanction en cas de violation. Ça ne fonctionne pas, et ça aggrave même le problème. Quand Samsung a banni ChatGPT après une fuite de code source en 2023, les usages ne se sont pas arrêtés. Ils sont juste devenus encore plus invisibles. Dans les entreprises qui interdisent formellement l'IA, 43% des employés continuent de l'utiliser régulièrement.
La vraie réponse n'est pas d'interdire. C'est de canaliser. Quatre actions concrètes.
Comprendre les usages réels avant de cadrer. Un échange honnête, sans sanction promise, avec les techniciens et l'administratif suffit souvent à révéler 80% du paysage. La plupart des salariés ne se cachent pas par malveillance, ils se cachent parce que personne ne leur a demandé.
Adopter un outil métier qui intègre l'IA dans le périmètre de l'entreprise. C'est la solution structurelle. Une GMAO moderne avec transcription vocale intégrée fait exactement ce que les techniciens cherchaient à faire dans ChatGPT, mais sans que la donnée sorte du système. Aucune raison de passer par un outil tiers, parce que le bon outil est déjà là.
Formaliser une charte IA simple. Une page A4 qui dit ce qui est autorisé (reformulation de texte sans donnée client), ce qui ne l'est pas (jamais de nom, d'adresse ou de référence équipement dans un outil grand public), et ce qui se passe en cas de question (un référent à appeler). Cette charte devient un outil de protection pour les salariés, pas un outil de sanction. Un patron de PME française a récemment partagé son retour d'expérience sur cette démarche : il l'a formalisée chez lui après avoir constaté des usages non encadrés.
Former, pas sermonner. Une heure de présentation aux équipes terrain pour expliquer ce qui se passe quand on tape un nom de client dans ChatGPT change radicalement les comportements. Une fois qu'ils savent, ils s'autocensurent naturellement.
L'IA terrain n'est pas un risque, c'est un atout mal outillé
Les techniciens veulent utiliser l'IA parce qu'elle leur fait gagner du temps réel. Cette demande est saine, légitime, durable. La question n'est pas de savoir si l'IA va entrer dans le quotidien des installateurs, mais par quelle porte.
Si elle entre par la porte de ChatGPT depuis un téléphone perso, c'est un problème de conformité, de qualité et de sécurité. Si elle entre par la porte d'un outil métier centralisé qui contrôle la donnée, c'est un gain de productivité majeur pour l'entreprise comme pour les techniciens.
Le dirigeant qui choisit la première option ne choisit pas vraiment : il subit. Celui qui choisit la seconde reprend la main sur un sujet qui sinon avance sans lui.