65 %
des employés utilisent des outils IA sans validation de l'IT en 2026
Études Shadow AI 2026 (JumpCloud, Netskope)
Shadow AI : vos équipes utilisent déjà l'IA. Encadrez-la sans l'interdire.
65 % des employés utilisent ChatGPT, Claude ou Gemini sans validation de la DSI. L'interdiction ne fait que déplacer l'usage vers les téléphones personnels. La réponse qui marche : un rappel données au bon moment, une charte visible, et la mesure de l'usage réel — sans jamais lire les prompts.
Le problème, chiffré
Le Shadow AI n'est pas une hypothèse, c'est la réalité opérationnelle de 2026
11 %
des données collées dans ChatGPT en entreprise sont confidentielles
Cyberhaven Labs
4,63 M$
coût moyen d'une fuite impliquant du Shadow AI
IBM, Cost of a Data Breach 2025
× 2,5
multiplication des incidents de fuite liés à l'IA depuis début 2025
Palo Alto Networks
Et la dépense suit : Gartner prévoit que les budgets de gouvernance IA passeront de 492 M$ en 2026 à plus d'1 Md$ en 2030. Le sujet est sur la table de toutes les DSI — la question n'est plus « si », mais « comment, sans braquer les équipes ».
Interdire ne marche pas. Ignorer non plus.
82 % des entreprises françaises ont envisagé d'interdire ChatGPT (BlackBerry). Résultat constaté partout : l'usage bascule sur le téléphone personnel, la visibilité tombe à zéro, et seuls 16 % des employés utilisent les outils IA approuvéspar l'employeur. À l'inverse, laisser faire expose aux fuites : un e-mail usager, un contrat, du code source collés dans un prompt — et la donnée a quitté l'entreprise.
Entre le blocage (contourné) et le laisser-faire (risqué), il existe une troisième voie, validée par 25 ans de recherche en sécurité comportementale : le rappel au bon moment. Une charte claire, un message d'une ligne au début de la conversation, et la mesure de l'usage réel pour piloter.
La réponse carbon-llm
Encadrer sans bloquer : rappel + visibilité
Un rappel données au bon moment
À la première frappe ou au premier document ajouté dans ChatGPT, Claude, Gemini, Le Chat ou Copilot, l'extension affiche le message de votre organisation, avec le lien vers votre charte IA. Une ligne, une fois par conversation, sans bloquer.
Zéro lecture des prompts
Le rappel se déclenche sur l'événement de saisie — jamais sur le contenu. Rien n'est lu, stocké ni transmis. Pas de surveillance individuelle : conforme Code du travail et recommandations CNIL. Les détails sont dans notre politique de confidentialité.
La mesure de l'usage réel
Volumes, modèles, coût équivalent et empreinte CO₂ de l'usage IA, agrégés au niveau de l'organisation. Vous savez enfin ce qui se passe — de quoi étayer votre charte et vos choix d'outils officiels.
Déploiement en deux clics par chaque collaborateur, ou via votre MDM (Google Workspace, Intune, Jamf, Workspace ONE) avec le message préconfiguré. Tout est gratuit pendant la phase d'accès anticipé. Voir aussi notre approche IA responsable.
Questions fréquentes
Qu'est-ce que le Shadow AI exactement ?
Le Shadow AI désigne l'usage d'outils d'IA générative (ChatGPT, Claude, Gemini, Le Chat, Copilot…) par les collaborateurs sans validation de la DSI — souvent avec un compte personnel. C'est l'équivalent du Shadow IT des années 2010, mais avec un risque supérieur : les données saisies quittent physiquement l'entreprise et peuvent servir à entraîner les modèles.
Pourquoi ne pas simplement interdire ChatGPT ?
82 % des entreprises françaises ont envisagé de l'interdire (BlackBerry). Dans les faits, l'interdiction déplace l'usage vers les téléphones personnels et fait disparaître toute visibilité. Les chiffres 2026 le confirment : seuls 16 % des employés utilisent les outils IA approuvés par l'employeur. L'approche qui fonctionne : encadrer — une charte claire + un rappel au bon moment + une mesure de l'usage réel.
carbon-llm bloque-t-il l'envoi de données sensibles (DLP) ?
Non, et c'est volontaire. carbon-llm n'est pas un DLP : il n'inspecte jamais le contenu des prompts (rien n'est lu, stocké ni transmis). Il affiche un rappel pédagogique configurable au début de chaque conversation — « ne saisissez pas de données personnelles ou confidentielles », avec le lien vers votre charte IA — et mesure l'usage (volumes, modèles, CO₂) au niveau agrégé. La littérature en sécurité comportementale montre qu'un rappel au bon moment change davantage les pratiques qu'un blocage contourné.
Comment déployer le rappel données sur tous les postes ?
Deux voies : chaque collaborateur installe l'extension en deux clics depuis le Chrome Web Store, ou votre DSI la déploie via MDM (Google Workspace, Microsoft Intune, Jamf, Workspace ONE) avec le message et le lien charte préconfigurés pour toute l'organisation.
Que voit l'employeur exactement ?
Une vue agrégée : volumes d'usage par outil IA, tokens, empreinte CO₂ et nombre de rappels affichés. Jamais le contenu des conversations — il n'est ni lu ni transmis. Conforme au Code du travail (L1221-9, L2312-38) et aux recommandations CNIL.
Reprenez la main sur le Shadow AI cette semaine
Installez l'extension, configurez votre message et votre lien charte, et le rappel s'affiche sur tous les outils IA. La mesure d'usage démarre immédiatement.