Shadow AI : les employés utilisent déjà ChatGPT avec les données clients

Q: La Suisse a-t-elle une loi sur l'intelligence artificielle ?

Pas une loi horizontale comme l'AI Act européen. La Suisse a choisi une approche sectorielle. Mais la loi sur la protection des données (nLPD/LPD) s'applique déjà pleinement à l'usage de l'IA.

Pendant que la direction débat du si adopter l'intelligence artificielle, les employés l'ont déjà adoptée. Une large part des collaborateurs utilise des outils IA non approuvés par l'entreprise, collant souvent dans ChatGPT ou similaires des listes de clients, des contrats, des chiffres de bilan.

Cela s'appelle la shadow AI, et c'est le risque lié à l'IA le plus concret que la plupart des PME ont aujourd'hui. Pas un risque théorique du futur : cela se produit cette semaine, dans votre entreprise, probablement pendant que vous lisez.

Qu'est-ce que la shadow AI (et pourquoi elle est déjà chez vous)

La shadow AI, c'est l'usage d'outils d'intelligence artificielle ni autorisés ni configurés par l'entreprise. Ce n'est presque jamais de la mauvaise foi : les gens veulent simplement aller plus vite et mieux. Le commercial qui fait réécrire une offre, l'employée qui fait résumer un contrat, celui qui colle un tableau de clients pour « le remettre en ordre ». Tout cela est compréhensible.

Le problème, ce n'est pas l'IA : c'est ce qui sort de l'entreprise quand une donnée confidentielle est collée dans un outil public, sur des serveurs dont vous ne savez rien, avec des conditions d'utilisation que personne n'a lues.

Ce que vous risquez vraiment : LPD et RGPD

Trois choses, par ordre de concret.

Vous restez le responsable. Que la donnée soit saisie par un de vos employés dans un outil externe ne change rien : le responsable du traitement, c'est vous. La responsabilité ne se transfère pas à l'outil.
Données personnelles hors de contrôle. Noms, contacts, données de clients et d'employés saisis dans des outils sans base juridique et sans contrat adéquat avec le fournisseur constituent une violation de la protection des données. Si les données finissent sur des serveurs hors de Suisse/UE sans garanties, le problème s'aggrave.
Secrets d'affaires. Au-delà de la vie privée : tarifs, savoir-faire, stratégies et brouillons confidentiels qui peuvent finir dans les journaux ou, dans certains cas, dans les données d'entraînement.

Sur le plan réglementaire, en Suisse la loi sur la protection des données s'applique déjà pleinement à l'usage de l'IA : vous restez responsable du traitement, vous devez savoir quels outils sont utilisés et prévoir des accords adéquats. En Italie et dans l'UE ce sont les règles du RGPD qui s'appliquent. Dans tous les cas, une gestion désinvolte des données personnelles peut entraîner des sanctions importantes et une responsabilité pour l'entreprise. La Suisse, contrairement à l'UE, n'a pas de loi générale dédiée à l'IA, mais cela n'exonère pas de la protection des données, déjà pleinement en vigueur.

Cet article a une visée informative et ne constitue pas un conseil juridique : pour les obligations applicables à votre cas, il vaut toujours mieux vérifier avec un conseiller.

La règle d'or

Si vous ne l'enverriez pas par e-mail à un inconnu, ne le collez pas dans un outil IA public. C'est une règle que tout le monde, dans l'entreprise, peut retenir.

Pourquoi interdire ne fonctionne pas

La réaction instinctive est l'interdiction : « interdit d'utiliser ChatGPT ». Cela fonctionne rarement. L'interdiction sèche n'élimine pas la shadow AI, elle la pousse seulement davantage dans l'ombre : les gens utilisent leur téléphone personnel, en cachette, et vous perdez même le peu de visibilité que vous aviez. De plus, vous renoncez aux avantages réels que l'IA peut apporter.

La voie qui fonctionne est l'inverse : donner une alternative sûre, des règles claires et un minimum de formation. Quand le bon outil existe, le risqué cesse d'être utile.

Le guide en 7 étapes pour utiliser l'IA en sécurité

Un parcours concret, à la portée d'une PME, sans besoin d'un service juridique interne.

1. Cartographiez ce qui est déjà utilisé. Demandez aux gens, sans culpabiliser, quels outils IA ils utilisent et pour quoi. C'est un recensement, pas un procès. La photographie, en général, surprend.
2. Classez les données. Définissez ce qui ne doit jamais sortir (données de clients, contrats, données sensibles) et ce qui est libre (textes génériques, idées, brouillons publics). Une règle simple bat un règlement compliqué.
3. Offrez un outil d'entreprise sûr. Par exemple Microsoft Copilot dans le tenant de l'entreprise, ou un outil avec un accord sur le traitement des données et, là où c'est nécessaire, des données qui restent en Suisse ou dans l'UE. Avec la bonne alternative, la shadow AI s'effondre d'elle-même.
4. Rédigez une politique d'une page. Ce qui se peut et ce qui ne se peut pas, avec des exemples concrets (« ne pas coller de listes de clients », « ok pour réécrire un texte générique »). Une page que les gens lisent, pas un traité que personne n'ouvre.
5. Configurez et limitez. Désactivez l'usage des données pour l'entraînement quand c'est possible, réglez les permissions, séparez les comptes personnels des comptes professionnels. Une grande part de la sécurité tient à la configuration.
6. Formez les personnes. Une heure de formation pratique vaut plus que dix interdictions : montrez ce qui est sûr et pourquoi. C'est aussi le moyen de transformer l'IA d'un risque en un avantage. (C'est le sens de notre service de formation IA.)
7. Mettez à jour l'information et le registre. Indiquez dans la déclaration de confidentialité les outils IA utilisés et l'éventuelle logique des décisions automatisées, et tenez à jour un registre des traitements. C'est la partie formelle, mais elle vous protège.

Du risque à l'avantage

Affronter la shadow AI n'est pas seulement de la défense. C'est l'occasion d'amener l'IA dans l'entreprise de la bonne manière : avec un outil fiable, des règles claires et des personnes qui savent ce qu'elles font. Celui qui met de l'ordre maintenant ne réduit pas seulement le risque : il part en avance, parce qu'il utilise l'IA en confiance pendant que d'autres l'utilisent en cachette et mal.

Vous voulez sécuriser l'usage de l'IA dans votre entreprise ? Nous pouvons vous aider à faire le recensement, choisir le bon outil, rédiger la politique et former l'équipe, en partant d'une consultation.

Réserver une consultation → Le service Formation IA

Questions fréquentes

Est-il illégal d'utiliser ChatGPT en entreprise ?

Non, pas en soi. Cela devient un problème quand vous y saisissez des données personnelles ou confidentielles sans les bonnes garanties : une base juridique, un contrat adéquat avec le fournisseur et la conscience de l'endroit où finissent les données.

La Suisse a-t-elle une loi sur l'intelligence artificielle ?

Pas une loi horizontale comme l'AI Act européen : la Suisse a choisi une approche sectorielle. Mais la loi sur la protection des données (nLPD/LPD) s'applique déjà pleinement à l'usage de l'IA.

Microsoft Copilot est-il plus sûr que ChatGPT ?

Utilisé dans le tenant de l'entreprise, avec des données qui restent dans le périmètre de Microsoft 365 et sans entraînement sur vos données, il offre des garanties que la version publique et gratuite de ChatGPT ne donne pas. Beaucoup dépend de la configuration.

Puis-je simplement interdire l'usage de l'IA ?

Vous le pouvez, mais cela fonctionne rarement : l'interdiction sèche pousse l'usage dans l'ombre, sur les appareils personnels. Il est plus efficace d'offrir une alternative sûre, des règles claires et un peu de formation.

Les données que je saisis dans ChatGPT servent-elles à entraîner le modèle ?

Cela dépend de l'outil et des réglages. Dans les versions business et enterprise, souvent non ; dans les versions gratuites, souvent oui, sauf désactivation explicite. À vérifier pour chaque outil.

À lire ensuite

← Retour au Magazine