IA 7 min de lecture

Pendant que vous décidez si et comment vous adopterez l'IA, vos employés l'ont déjà fait.

Soyons honnêtes.

La plupart des dirigeants que je rencontre ne sont pas contre l’IA. Ils veulent innover, ils voient les possibilités, ils lisent les mêmes articles que tout le monde. Mais dès qu’on parle de déployer quelque chose concrètement, la conversation aboutit souvent au même endroit : « Oui, mais la sécurité… la confidentialité… on n’est pas sûr. »

Et puis plus rien ne bouge.

Sauf que pendant qu’on hésite, quelque chose d’important se passe dans leurs bureaux — sans eux.

Le problème qu’on ne voit pas : la shadow IA

Voici ce que les données nous disent clairement : interdire l’IA ne l’empêche pas. Ça la rend juste invisible.

Selon une étude WalkMe de 2025 portant sur des travailleurs américains, 78 % des employés admettent utiliser des outils d’IA non approuvés par leur employeur. Et 46 % disent qu’ils ne s’arrêteraient pas même si on le leur demandait. Une autre étude (UpGuard, 2025) va encore plus loin : plus de 80 % des travailleurs utilisent des outils d’IA non sanctionnés — y compris, fait saisissant, près de 90 % des professionnels en sécurité eux-mêmes.

Ce n’est pas de la mauvaise volonté. C’est souvent quelqu’un du marketing qui utilise ChatGPT pour rédiger une offre, un analyste qui colle un rapport dans un outil en ligne pour en extraire les grandes lignes, un développeur qui demande à un assistant IA de revoir son code. Des gens qui veulent simplement bien faire leur travail.

Le problème, c’est que sans cadre, sans politiques, sans outils approuvés, ces employés utilisent des plateformes grand public qui peuvent stocker, analyser et potentiellement réutiliser ce qu’on leur envoie. Environ 38 % des employés ont partagé des données sensibles avec des outils IA sans autorisation. Et une organisation sur cinq a déjà subi une brèche directement liée à la shadow IA.

La réalité, c’est que le risque que beaucoup de dirigeants tentent d’éviter en ne faisant rien est en train de se concrétiser de toute façon — juste en dehors de leur champ de vision.

Le Québec décroche — doucement, mais sûrement

Les données de l’Institut de la statistique du Québec (ISQ, novembre 2025) sont claires : seulement 12,7 % des entreprises québécoises utilisent l’IA dans leurs opérations. En soi, ce n’est pas alarmant. Ce qui l’est, c’est la vitesse relative : au printemps 2025, le Québec a progressé de 3,3 %, pendant que l’Ontario avançait à 7,8 %. Deux fois plus vite.

Ce n’est pas encore un fossé. Mais c’est une fracture qui se creuse, tranquillement.

Et selon Statistique Canada, parmi les entreprises qui refusent l’IA, les préoccupations de sécurité arrivent en troisième position — derrière le manque de connaissance sur ce que l’IA peut réellement faire.

Autrement dit : ce n’est pas la peur du risque qui paralyse le plus. C’est la peur de l’inconnu.

Les vrais risques — ni plus, ni moins

Je ne veux pas minimiser les enjeux. Ils sont réels. Mais il y a une différence importante entre les risques qu’on imagine et ceux qui méritent vraiment attention.

Ce qui mérite attention : envoyer des données clients, des informations financières confidentielles ou des renseignements personnels dans un outil grand public non configuré. Ne pas avoir de politique claire sur ce que les employés peuvent ou ne peuvent pas faire avec l’IA. Ignorer ses obligations sous la Loi 25 — comme le RGPD en Europe — qui s’applique, elle, que vous utilisiez l’IA ou non.

Ce qui est souvent surestimé : l’idée que tous les outils d’IA « volent » les données ou qu’utiliser l’IA implique automatiquement une perte de contrôle. Les grandes plateformes enterprise — versions corporatives de Microsoft Copilot, Claude, Google Gemini — offrent des garanties contractuelles claires : pas d’utilisation des données pour entraîner les modèles, hébergement régional, contrôles d’accès, journaux d’audit. Ce n’est pas la même chose que de coller un contrat confidentiel dans le ChatGPT gratuit sur un téléphone personnel.

La nuance compte. Beaucoup d’organisations traitent les deux situations comme identiques, et c’est ce qui génère une paralysie injustifiée.

Ce que la paralysie coûte vraiment

Un sondage KPMG Canada (2025) révèle que 51 % des adultes canadiens utilisent déjà l’IA générative au travail — et 79 % rapportent des gains de productivité mesurables. La majorité économise entre une et cinq heures par semaine.

Vos compétiteurs qui ont fait le saut ne vous attendent pas.

Il y a une asymétrie que les dirigeants ne voient pas toujours : le risque de mal gérer quelque chose est visible, concret, nommable. Le risque de ne rien faire est diffus, invisible — mais tout aussi réel. Prendre du retard sur la productivité, perdre des talents qui veulent travailler avec des outils modernes, laisser vos employés se débrouiller seuls avec des outils non encadrés. Tout ça a un coût. Il est juste moins facile à mettre dans une présentation au conseil d’administration.

Un plan en 5 étapes pour avancer sans foncer tête baissée

Il existe des cadres formels pour structurer tout ça — le NIST AI Risk Management Framework, ISO 42001 — et pour les organisations qui visent une maturité avancée ou une certification, ils sont incontournables. Mais pour commencer, vous n’avez pas besoin de les maîtriser. L’essentiel se résume à cinq étapes concrètes :

Étape 1 — Savoir ce qu’on a (2 semaines)

Avant de décider quoi déployer, faites un inventaire rapide : quelles données traitez-vous? Lesquelles sont sensibles — clients, employés, finances, secrets commerciaux? Lesquelles sont publiques ou internes sans grande conséquence? Cette classification de base guide tout le reste. Inutile d’être exhaustif : une journée avec les bonnes personnes autour d’une table suffit souvent.

Étape 2 — Regarder ce qui se passe déjà (1 semaine)

Demandez à votre équipe IT ou à un consultant externe : quels outils d’IA vos employés utilisent-ils déjà, officiellement ou non? La shadow IA est probablement déjà présente. Mieux vaut le savoir et en reprendre le contrôle que de continuer à l’ignorer.

Étape 3 — Choisir et approuver des outils avec intention (2 à 4 semaines)

Identifiez deux ou trois outils adaptés à vos besoins et à votre profil de risque. Pour la plupart des organisations, une version enterprise d’un outil reconnu — Microsoft 365 Copilot, Google Gemini for Workspace, Claude for Work, ChatGPT Entreprise — offre un bon point de départ avec des protections contractuelles solides. Documentez ce qui est approuvé, ce qui est limité, ce qui est interdit. Et communiquez-le clairement.

Étape 4 — Former les équipes sur l’essentiel (1 journée)

Pas besoin de faire de tout le monde un expert en cybersécurité. Une heure de formation pratique sur trois questions suffit : qu’est-ce qu’on ne met jamais dans un outil IA? Comment reconnaître un outil approuvé d’un non approuvé? Que faire si on n’est pas sûr? Simple, concret, mémorisable.

Étape 5 — Mettre à jour sa politique de confidentialité (en parallèle)

La Loi 25 — comme le RGPD en Europe — exige déjà une politique de gouvernance des renseignements personnels. Si elle n’a pas été mise à jour pour inclure l’IA, c’est le moment. Ce n’est pas un projet d’avocat de six mois — une demi-journée avec votre responsable de la conformité et un bon template peut régler l’essentiel.

Ce qui est intéressant avec cette démarche, c’est qu’elle crée son propre élan. Au départ, on avance prudemment parce qu’on ne connaît pas encore bien son environnement. Mais à mesure que le cadre se met en place, que les équipes vivent de premières expériences concrètes et positives, que les réflexes se développent — la confiance grandit. Et avec la confiance vient la vélocité. Les décisions se prennent plus vite, les cas d’usage se multiplient, l’organisation apprend. Ce n’est pas une transformation qui se décrète. C’est une qui se construit, un pas à la fois.

Le premier pas est le seul qui manque

Les organisations qui vont tirer le maximum de l’IA dans les prochaines années ne seront pas nécessairement celles qui avaient les meilleures ressources techniques au départ. Ce seront celles qui ont décidé d’avancer — avec intelligence et précaution, mais avancer quand même.

La shadow IA est déjà là. La concurrence avance. L’occasion est réelle.

La question n’est plus de savoir si vous allez adopter l’IA. C’est de savoir si vous allez le faire de façon organisée, ou subir ce qui se passe déjà sans vous.

Partager cet article

À propos de l'auteur

André Boisvert

André Boisvert

CIO & Strategic Consultant

DSI et consultant stratégique accompagnant les organisations dans l'IA, la transformation numérique et la stratégie TI. Partage de perspectives stratégiques hebdomadaires sur la technologie d'entreprise.

LinkedIn

Articles connexes

Restez informé

Recevez chaque semaine des perspectives sur l'IA, la transformation numérique et la stratégie TI.