Extrait court
L’IA fantôme (shadow IA) s’entend de l’utilisation personnelle de l’intelligence artificielle à l’insu d’une entreprise ou des dirigeants.
Définition courte
Utilisation discrète ou non officielle de systèmes d’intelligence artificielle par les membres du personnel d’une organisation pour accomplir leurs tâches, en dehors de l’approbation, du contrôle ou de la supervision des services informatiques de l’établissement. Il peut s’agir d’une utilisation avec des outils non autorisés, qui échappent à l’approbation et au contrôle des services informatiques de l’organisation.
Définition longue
L’« IA fantôme (en anglais Shadow AI) fait référence au phénomène par lequel les employés introduisent et utilisent leurs propres outils d’intelligence artificielle (souvent des applications grand public d’IA générative) dans leur milieu de travail, sans l’accord explicite ou la supervision de leur organisation. Bien que cette pratique puisse être perçue comme une façon pour le personnel de s’adapter, de réguler sa charge de travail ou de faire face aux exigences de performance toujours croissantes, elle s’accompagne d’inquiétudes notables. L’adoption de l’IA par le personnel se fait souvent de manière discrète, avec 78 % des personnes employées qui introduisent leurs propres systèmes d’IA au travail (État de situation de l’OBVIA 2025).
Ce phénomène soulève d’importants risques de sécurité de l’information et de protection des renseignements personnels. En effet, les données institutionnelles, confidentielles ou sensibles partagées avec ces systèmes publics échappent aux mesures de sécurité et de contrôle de l’établissement. De plus, les personnes employées hésitent souvent à reconnaître cet usage de peur d’être jugées ou par crainte que la technologie ne les rende remplaçables. Pour contrer cette pratique, il est fortement recommandé aux organisations et institutions de fournir des outils approuvés et sécurisés, d’élaborer des politiques claires, de sensibiliser leur personnel aux risques de ces utilisations non encadrées. Également, d’offrir des formations et mécanismes d’encadrement afin d’assurer une utilisation sécuritaire, éthique et responsable des systèmes d’IA.
Même si ces usages peuvent améliorer la productivité, ils peuvent aussi présenter plusieurs risques. Par exemple, des informations sensibles peuvent être partagées involontairement avec des services externes, certaines données peuvent être utilisées pour entraîner des modèles d’IA, ou encore les résultats produits par l’outil peuvent être utilisés sans validation adéquate.
Éléments clés
- Utilisation non officielle : Recours à des outils d’IA personnels ou grand public introduits discrètement au travail, sans l’approbation formelle de l’organisation.
- Contournement de la sécurité : Risque majeur de fuite de données institutionnelles, personnelles ou sensibles, puisque ces outils échappent aux évaluations et aux barrières de protection informatique de l’établissement.
- Hésitation et discrétion : Tendance du personnel à cacher cette pratique par crainte d’être sanctionné ou par peur que l’IA finisse par menacer la sécurité de leur emploi.
- Conformité institutionnelle : Nécessité pour les organisations d’offrir et de privilégier des outils d’IA dont les paramètres de sécurité ont été validés, limitant ainsi le besoin de recourir à l’IA fantôme.
Exemple d’application
Une personne employée utilise de manière discrète une application grand public d’intelligence artificielle générative sur son ordinateur personnel pour rédiger rapidement un rapport administratif contenant des données sensibles, sans le déclarer à ses supérieurs, ce qui expose l’établissement à d’importants risques de cybersécurité et de fuite d’informations.
Sources d’inspiration
- Observatoire international sur les impacts sociétaux de l’intelligence artificielle et du numérique (Obvia). (2025). État de la situation sur les impacts sociétaux de l’intelligence artificielle et du numérique – 2025.
- Ministère de la Cybersécurité et du Numérique (MCN). (2024). Guide des bonnes pratiques d’utilisation de l’intelligence artificielle générative.
- Ministère de la Cybersécurité et du Numérique (MCN). (2025). Arrêté numéro 2025-02 : Énoncé de principes pour une utilisation responsable de l’intelligence artificielle par les organismes publics.