L’administration face au risque invisible de la révolution IA

Le phénomène de « Shadow AI » semble désormais très répandu dans les administrations. Pourquoi les agents publics y recourent-ils massivement, malgré les risques en matière de sécurité et de confidentialité des données ?

Le recours au Shadow AI est avant tout un phénomène de terrain, dicté par l’urgence opérationnelle. Les agents publics sont confrontés à une charge de travail croissante, à des exigences de réactivité fortes et à des moyens parfois contraints. Lorsqu’un outil d’intelligence artificielle permet de résumer une note, traduire un document ou structurer un compte rendu en quelques secondes, la tentation est naturellement très forte.
Dans la plupart des cas, il ne s’agit pas d’une volonté de contourner les règles, mais plutôt de répondre à un besoin immédiat d’efficacité. Le problème, c’est que ces usages se développent souvent en dehors de tout cadre validé par les directions informatiques. Contrairement au Shadow IT traditionnel, l’IA implique une sortie massive de données vers des serveurs externes, parfois situés hors d’Europe. Chaque prompt peut alors devenir une fuite potentielle d’informations sensibles, souvent sans que l’agent en ait pleinement conscience.

En quoi l’usage d’outils d’IA non encadrés constitue-t-il aujourd’hui une menace directe pour la souveraineté numérique et la responsabilité de l’action publique ?

Les risques dépassent largement la seule question technique. Pour le service public, ils touchent au cœur même de la souveraineté et de la confiance des citoyens. Lorsque des données relatives à la santé, à l’identité ou à des informations administratives sensibles sont envoyées vers des plateformes privées étrangères, l’État perd de facto le contrôle de ces informations.
À cela s’ajoute un enjeu juridique majeur. Avec l’entrée en vigueur progressive du Règlement européen sur l’intelligence artificielle, les administrations auront l’obligation de recenser, qualifier et sécuriser leurs systèmes. Le Shadow AI place donc potentiellement les institutions dans une zone d’illégalité.
Enfin, il existe un risque opérationnel. Une décision publique fondée sur un contenu généré par une IA biaisée ou erronée peut engager la responsabilité de l’administration et créer des inégalités de traitement entre citoyens. L’enjeu n’est pas seulement la cybersécurité : c’est la fiabilité même de l’action publique.

Interdire ces usages paraît illusoire. Quelles sont, concrètement, les premières mesures que les dirigeants publics doivent mettre en place pour reprendre le contrôle et transformer le Shadow AI en levier d’innovation sécurisé ?

L’interdiction pure et simple est généralement contre-productive, car elle pousse les usages dans la clandestinité. La première étape consiste donc à objectiver la situation en réalisant un véritable état des lieux des pratiques. Il s’agit de comprendre quels outils sont utilisés, pour quelles tâches, et surtout quels besoins opérationnels ils viennent combler.
La deuxième priorité est de proposer des alternatives crédibles et sécurisées. Le Shadow AI prospère toujours là où l’offre interne est absente ou trop complexe. Mettre à disposition des assistants d’IA souverains, hébergés dans des environnements de confiance, permet de conserver les gains de productivité tout en protégeant les données publiques.
Enfin, la réussite repose sur des règles simples et une acculturation massive. Les organisations les plus efficaces sont celles qui définissent clairement ce qui est autorisé, toléré ou interdit, avec des repères visuels et des formations courtes, concrètes et répétées. 

L’objectif n’est pas de freiner l’innovation, mais de transformer une pratique informelle en un véritable levier de modernisation responsable. À l’horizon 2026, la capacité des administrations à encadrer l’usage de l’IA sera un marqueur déterminant de leur maturité numérique et de la confiance qu’elles inspirent aux citoyens.