Piloter l’IA en entreprise : du Shadow IA aux usages responsables. Le DRH, stratège incontournable d’une gouvernance transverse !

par | Fév 28, 2026 | Digital, Ethics, Ethique, Gouvernance, IA, IA, Innovation, Intelligence Artificielle, IT, Learning&Development, Management, Non classé, Organisation, Performance, Strategie | 0 commentaires

Piloter l’IA en entreprise : du Shadow IA aux usages responsables. Le DRH, stratège incontournable d’une gouvernance transverse !

L’intelligence artificielle générative s’est imposée en quelques mois comme un levier de productivité majeur pour les salariés : rédaction, synthèse, analyse, traduction, génération de contenus, aide à la décision.

Dans le même temps, son déploiement réel en entreprise se fait largement hors cadre.

Selon une étude conjointe de INRIA et Datacraft (2025), 68 % des entreprises françaises sont aujourd’hui concernées par le Shadow IA.
D’après une enquête Odoxa pour ZDNet, 75 % des professionnels utilisent des outils d’IA sans validation ni gouvernance formelle.

Cette diffusion rapide n’est pas neutre sur le plan des risques.
Le dernier rapport sécurité de IBM estime à +670 000 $ le surcoût moyen par brèche de données impliquant des usages d’IA non gouvernés.
En France, le surcoût moyen par violation de données impliquant des usages non maîtrisés est estimé à environ

321 900 €.

Les données exposées concernent majoritairement :

  • des données personnelles clients et candidats (environ 65 % des cas),

  • des informations stratégiques,

  • des données internes multi-environnements (RH, finance, projets, R&D).

Dans le même temps, les éditeurs intègrent massivement des briques d’IA dans les logiciels métiers (SIRH, CRM, suites collaboratives), souvent sans que l’organisation ait défini, en amont, de cadre de gouvernance, de règles d’usage ni de responsabilités claires.

Ce double mouvement alimente un phénomène devenu structurel :
le Shadow IA, c’est-à-dire l’usage d’outils d’IA par les collaborateurs en dehors de tout cadre technique, juridique, social et éthique.

Le DRH face au Shadow IA : un enjeu stratégique, pas seulement un sujet IT

Pour le DRH, il ne s’agit plus d’un sujet purement technique relevant de la DSI.
L’IA touche directement :

  • l’organisation du travail,

  • les compétences,

  • la culture managériale,

  • la relation sociale,

  • la prévention des risques humains,

  • la conformité des pratiques RH.

Interdire ? Encadrer ? Accompagner ?

La réponse n’est pas binaire.
Elle suppose une politique claire, une gouvernance transverse et une posture de co-pilotage.

Dans ce dispositif, le DRH joue un rôle central :
médiateur entre innovation et protection, garant des usages responsables, protecteur des collaborateurs, et acteur de la performance durable.

Le Shadow IA : un angle mort devenu coûteux

Le Shadow IA se développe très rapidement.

Environ 51 % des salariés connectent des outils d’IA externes sans accord de la DSI, le plus souvent pour gagner du temps dans leurs activités (recrutement, reporting, analyse, production de contenus, aide à la décision).

Les risques sont multiples :

  • fuites de données,

  • absence de traçabilité,

  • biais algorithmiques non détectés,

  • non-conformité au RGPD et au futur cadre européen de l’IA,

  • fragilisation du dialogue social.

Sans pilotage, ces usages informels exposent l’entreprise et freinent paradoxalement la transformation, en instaurant une perte de confiance interne.

Cartographier avant de réguler : objectiver les pratiques réelles

Avant de définir toute politique, le DRH doit objectiver les usages existants.

Trois grandes familles coexistent aujourd’hui :

1. Usages spontanés
Des salariés utilisent des assistants d’IA généralistes pour des tâches courantes, parfois avec des données sensibles (clients, stratégie, données RH).

2. Shadow IA structuré
Des outils spécialisés ou des plugins sont déployés par des équipes ou des managers, hors processus DSI et achats.

3. IA officielle
Des fonctionnalités d’IA intégrées dans des outils contractuellement référencés et supervisés par la gouvernance interne.

Les méthodes les plus efficaces combinent :

  • enquêtes internes anonymisées,

  • ateliers de « mapping des usages »,

  • analyses de logs et d’alertes cybersécurité,

  • audits DLP (Data Loss Prevention).

L’implication des instances représentatives du personnel dès la phase de diagnostic renforce la transparence et la légitimité de la démarche.

Plan d’action en 5 étapes pour les DRH

1. Cartographier les usages

Audit Shadow IA via enquêtes, ateliers métiers et outils de sécurité afin d’identifier les outils utilisés, les types de données manipulées et les processus concernés.

2. Mettre en place un comité de gouvernance transverse

DSI, RH, juridique, DPO, sécurité, représentants métiers.
Le DRH en assure le pilotage.
Réunions mensuelles et capacité d’arbitrage entre innovation et risques.

3. Définir une charte IA d’entreprise

Règles d’usage claires :

  • outils autorisés et interdits,

  • catégories de données manipulables,

  • responsabilités,

  • processus de traitement des écarts,

  • obligations de transparence et de traçabilité.

Charte validée au niveau COMEX.

4. Déployer des outils approuvés et gouvernés

Plateformes professionnelles sécurisées, contractualisées, intégrant la traçabilité des usages et la protection des données, par exemple des solutions de type HR Tech gouvernée telles que e-Peak People HR.

5. Former et accompagner

Ateliers pour tous les collaborateurs sur :

  • l’usage critique de l’IA,

  • les biais,

  • la protection des données,

  • la responsabilité individuelle et collective.

Approche de co-construction avec les équipes.

Mesurer la maturité et l’efficacité

  • Réduction du Shadow IA :
    pourcentage d’outils non approuvés détectés (objectif : –50 % en 6 mois).

  • Taux d’adoption des outils gouvernés :
    part de collaborateurs utilisant des solutions approuvées (objectif : >70 %).

  • Taux de collaborateurs formés aux usages responsables de l’IA et indicateurs de satisfaction.

Les risques concrets : quand le Shadow IA expose l’entreprise

Le Shadow IA n’est pas un simple sujet théorique.

D’après le bilan d’activité de la CNIL, 83 sanctions ont été prononcées en 2025 pour un montant total de 486 millions d’euros, avec une attention croissante portée aux usages de l’IA dans les traitements de données personnelles.

Cas 1 – Recrutement

Pour gagner du temps, un recruteur en surcharge copie-colle des CV de candidats dans un assistant d’IA public afin d’analyser les cv, avoir des synthèses, trier les profils, rédiger des annonces ou préparer des entretiens.

Les données personnelles (identité, parcours, compétences, parfois données sensibles indirectes) sont transférées vers un tiers non contractuellement encadré, sans information préalable des candidats, sans analyse d’impact (DPIA) alors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés.

Ces outils de tri ou de présélection automatisée relèvent des systèmes à haut risque au sens du futur cadre européen sur l’IA, avec des exigences renforcées de gouvernance, de documentation, de contrôle humain et de qualité des données.

Conséquences possibles :

  • non-respect des principes du RGPD (licéité, minimisation, limitation des finalités, transparence),

  • risques de discrimination liés aux biais intégrés aux modèles,

  • recours individuels des candidats,

  • atteinte à la marque employeur.

La CNIL rappelle la nécessité :

  • d’informer clairement les candidats,

  • de documenter la base légale du traitement (le plus souvent l’intérêt légitime),

  • de mettre en œuvre des durées de conservation maîtrisées et des garanties adaptées,

  • d’assurer un contrôle humain effectif des décisions.

Cas 2 – Données RH internes

Un manager insère dans un assistant public des extraits de bases salariales, des comptes rendus d’entretiens annuels ou des historiques disciplinaires afin d’obtenir un résumé ou une aide à la rédaction.

Ces données hautement sensibles deviennent potentiellement accessibles au fournisseur du service ou exposées en cas de faille.

Conséquences :

  • violation des obligations de sécurité et de confidentialité,

  • atteinte au secret des affaires,

  • risques prud’homaux si des décisions de gestion sont fragilisées ou contestées.

Autres risques systémiques

  • biais discriminatoires dans les outils de scoring RH,

  • surveillance déguisée de l’activité des salariés,

  • dégradation de la confiance interne,

  • tensions avec les représentants du personnel,

  • affaiblissement durable de la marque employeur.

Une politique graduée : interdire, encadrer, encourager

Interdire totalement l’IA serait irréaliste.
Le laisser-faire serait irresponsable.

Le DRH structure une approche graduée.

Domaine Interdit Encadré Encouragé
Données sensibles CV, données RH, santé, secrets d’affaires dans des IA publiques DLP, clauses no-training, DPIA, information et garanties contractuelles IA intégrée aux SIRH contractualisés, anonymisation
Processus RH Surveillance individuelle, scoring opaque Tri avec validation humaine, audits de biais People analytics éthique, outils d’aide à la décision
Innovation Outils non validés POC avec sponsor direction Intrapreneuriat IA encadré
Cybersécurité Outils non audités Journalisation, alertes automatisées DLP et supervision native

Principes transversaux :

  • human-in-the-loop pour toute décision critique,

  • transparence sur l’usage de l’IA,

  • traçabilité et auditabilité.

Gouvernance transverse : co-pilotage DRH / DSI / juridique

La politique IA ne peut fonctionner sans gouvernance partagée.

Un comité IA transverse réunit :

  • DRH,

  • DSI,

  • direction juridique,

  • DPO,

  • conformité / risques,

  • représentants métiers.

Ses missions :

  • inventaire des usages,

  • arbitrage risques / innovation,

  • validation des DPIA,

  • suivi des incidents,

  • mise à jour des règles.

Le DRH porte spécifiquement les risques humains et sociaux souvent sous-estimés : perception des outils, acceptabilité, équité des décisions, climat social, dialogue avec les représentants du personnel.

Cette gouvernance s’inscrit dans le cadre européen et peut s’aligner avec les bonnes pratiques internationales, notamment celles du National Institute of Standards and Technology pour les organisations opérant dans des environnements multi-juridictions.

Outils opérationnels :

  • parcours de formation IA responsable dès l’onboarding,

  • modèles de prompts sécurisés,

  • dispositifs DLP,

  • audits trimestriels,

  • tableaux de bord de conformité.

Regards critiques pour une mise en œuvre réussie

Cartographier les usages est indispensable, mais le DRH doit aussi anticiper :

  • les résistances culturelles,

  • les contraintes budgétaires,

  • la capacité opérationnelle des équipes RH à piloter ces sujets.

Le Shadow IA n’est pas uniquement un risque.
Il constitue un vivier d’innovations qu’il convient de transformer en projets pilotes officiels.

La mesure par des indicateurs précis renforce la crédibilité de la démarche auprès du COMEX.

Le DRH, copilote de l’IA responsable

Le DRH n’est plus spectateur des évolutions technologiques.

Dans un contexte où le Shadow IA se généralise et où l’IA s’intègre progressivement dans tous les outils métiers, il devient un acteur stratégique :

  • il oriente les usages,

  • il porte la culture de responsabilité,

  • il protège l’entreprise et les personnes,

  • il sécurise l’innovation.

La politique IA devient un instrument de confiance sociale autant qu’un levier de conformité.

L’enjeu est clair :
transformer l’énergie du Shadow IA en innovation maîtrisée.

À l’heure de la montée en puissance du cadre européen de l’IA et du renforcement des contrôles en matière de données personnelles, une gouvernance responsable constitue à la fois un facteur de protection, un levier d’éthique et un avantage compétitif pour attirer, retenir et engager les talents.

Cet article s’appuie sur des retours terrain de projets de gouvernance IA et d’accompagnement de directions RH.