ChatGPT, Copilot, DeepL ou Midjourney : les outils d'IA ont depuis longtemps fait leur apparition dans les bureaux, souvent à l'insu du service informatique. Les experts appellent ce phénomène «IA fantôme», et il connaît une croissance fulgurante : selon des études récentes, l’IA fantôme est déjà une réalité dans presque toutes les entreprises suisses, mais rares sont celles qui ont mis en place un cadre réglementaire à cet effet. Ce qui commence comme une solution pragmatique pour gagner en efficacité devient un véritable risque pour la sécurité – lorsqu’il n’existe pas de règles claires.
L'histoire se répète. Il y a une bonne dizaine d'années, les services informatiques luttaient contre l'utilisation de comptes Dropbox privés et de groupes WhatsApp à des fins professionnelles. Aujourd'hui, les entreprises sont confrontées à un défi similaire, mais d'une portée bien plus grande : l'IA fantôme.
Il s'agit de l'utilisation d'outils d'IA – ChatGPT, Gemini, DeepL, Midjourney et bien d'autres – par les employés à l'insu ou sans l'autorisation de la direction informatique. Il y a rarement de mauvaise intention derrière cela. Ceux qui rédigent quotidiennement des e-mails, résument des procès-verbaux, déboguent du code ou traduisent des textes se tournent simplement vers l’outil le plus efficace disponible. Et aujourd’hui, il s’agit souvent d’une IA. Pour de nombreux collaborateurs, c’est tout simplement pragmatique : si un outil facilite le travail, on l’utilise. Mais ce qui augmente l’efficacité sur un bureau individuel contourne souvent, en arrière-plan, l’ensemble de la gouvernance informatique.
Dans de nombreuses entreprises, cela se produit toutefois sans directives claires ni intégration technique dans l’infrastructure informatique de l’entreprise. L’utilisation reste invisible – et c’est précisément là que commence le phénomène de l’IA fantôme. Ce n’est pourtant pas la technologie elle-même qui pose problème. Le défi surgit là où des outils performants côtoient des données d’entreprise sensibles – sans règles claires. Le service informatique détourne souvent le regard, alors que les données sensibles ont depuis longtemps quitté l’infrastructure protégée.
L'informatique fantôme traditionnelle concerne généralement l'espace de stockage ou des logiciels supplémentaires. Dans le cas de l'IA fantôme, la différence est fondamentale : quiconque copie un projet de stratégie confidentiel, des données clients ou du code source protégé dans un outil d'IA public risque de perdre définitivement le contrôle de ces informations.
Les services d'IA publics et gratuits utilisent souvent les données saisies par les utilisateurs pour entraîner leurs modèles. Contrairement à une base de données, ces connaissances « apprises » par un modèle linguistique de grande envergure (LLM) ne peuvent pas être simplement effacées d’un simple clic. De plus, les incidents de sécurité liés à l’IA fantôme ont augmenté à l’échelle mondiale, passant de 28 % (2023) à 55 % en 2025 (source : NZZ). La courbe affiche une forte tendance à la hausse.
L'utilité de l'IA dans le quotidien professionnel est incontestable. Elle permet de structurer plus rapidement des textes, de résumer des informations et de rédiger des premières ébauches en un clin d'œil. Pour de nombreuses tâches, l'IA fait office d'assistant numérique supplémentaire. Dans le même temps, de nouvelles questions se posent concernant le traitement des données.
Les collaborateurs saisissent souvent dans les invites des contenus qu’ils jugent inoffensifs, tels que des documents internes, des informations sur des projets ou des extraits d’e-mails. Or, dans le cas des services d’IA publics, la manière dont ces données sont traitées ou stockées n’est pas toujours transparente.
En Suisse notamment, la législation sur la protection des données joue ici un rôle important. Depuis septembre 2023, la nouvelle loi sur la protection des données (nLPD) est en vigueur en Suisse ; elle impose des exigences nettement plus strictes en matière de traitement des données personnelles et de transfert d’informations à l’étranger. Lorsque des contenus sensibles sont saisis dans des services d’IA publics, une situation peut rapidement se présenter où des données quittent l’entreprise – à l’insu des responsables.
Seul un tiers des entreprises qui utilisent l’IA dispose d’une réglementation claire en matière de protection des données pour l’utilisation d’applications basées sur l’IA. Cela signifie a contrario que deux tiers d’entre elles ne disposent pas de cadre juridique, bien que ces outils soient utilisés depuis longtemps. Sans vue d’ensemble claire des outils utilisés, il devient difficile de contrôler l’utilisation de l’IA ou de la documenter de manière traçable.
Pour les directions d’entreprise, il ne s’agit pas d’une question abstraite de conformité. C’est une question concrète de responsabilité.
De nombreux collaborateurs partent du principe que les données qu’ils saisissent dans un outil d’IA sont traitées de manière confidentielle. Dans la pratique, ce n’est souvent pas le cas avec les services gratuits. Les versions gratuites d’outils populaires – dont DeepL Free – utilisent généralement les saisies de texte pour améliorer leurs modèles.
Lorsque des données sont saisies dans un modèle d’IA public, elles peuvent être intégrées au processus d’apprentissage. En termes simples : les informations sont intégrées dans les « connaissances » du modèle et ne peuvent plus être supprimées de manière ciblée par la suite. Dans un système multi-locataires (cloud public), il existe un risque théorique que des fragments de vos secrets d’affaires refassent surface à la suite d’une « ingénierie de prompt » habile de la part de tiers.
Même les promesses de protection des données bien intentionnées des fournisseurs correspondent rarement exactement au cadre juridique suisse. Seuls les contrats d’entreprise ou les solutions de cloud privé assortis d’un accord de sous-traitance clair offrent la protection exigée par la nDSG.
Le réflexe de nombreux services informatiques est de bloquer les domaines liés à l'IA au niveau du pare-feu. Cela peut sembler être une mesure de contrôle, mais cela réduit en réalité la transparence. En bloquant les URL liées à l'IA au niveau du pare-feu, on ne fait en pratique qu'inciter les collaborateurs à se rabattre sur leurs appareils personnels ou sur des points d'accès publics. Le travail est tout de même effectué, mais le service informatique perd toute visibilité et toute possibilité de contrôle.
À cela s’ajoute un autre facteur : selon une récente enquête menée par l’institut d’études de marché Sapio Research auprès d’experts en cybersécurité, l’utilisation non autorisée d’outils d’IA générative est considérée comme la plus grande menace interne. La raison : ce n’est pas l’IA elle-même qui pose un problème de sécurité, mais les connexions externes non contrôlées qu’elle établit. Ce que le service informatique ne voit pas, il ne peut pas le protéger – et chaque service externe que les collaborateurs utilisent à son insu constitue un angle mort potentiel dans le dispositif de sécurité.
Dans le monde du travail actuel, une interdiction envoie en outre un signal aux professionnels qualifiés : ici, on ne travaille pas avec les meilleurs outils disponibles. En période de pénurie de main-d’œuvre qualifiée, cet aspect n’est pas négligeable.
Companies wishing to actively shape the use of AI face two key challenges. The first is organisational: clear rules are needed for the use of AI tools. An AI policy defines which applications may be used, which data may be processed, and what responsibilities apply when using AI.
However, the technical perspective is at least as important. Many companies are finding that public platforms do not always meet their requirements for data protection, compliance and control. In this con
Les entreprises qui souhaitent façonner activement l'utilisation de l'IA sont confrontées à deux défis majeurs.
Le premier est d'ordre organisationnel : il faut établir des règles claires concernant l'utilisation des outils d'IA. Une politique en matière d'IA définit quelles applications peuvent être utilisées, quelles données peuvent être traitées et quelles sont les responsabilités liées à l'utilisation de l'IA.
Mais l'aspect technique est tout aussi important. De nombreuses entreprises constatent que les plateformes publiques ne répondent pas toujours à leurs exigences en matière de protection des données, de conformité et de contrôle. Dans ce contexte, un concept prend de plus en plus d’importance : la souveraineté des données. Il s’agit de la capacité d’une entreprise à garder à tout moment le contrôle sur l’endroit où les données sont stockées, traitées et utilisées. Cette question devient cruciale, en particulier pour les applications d’IA. Lorsque des invites, des documents ou des données de connaissances internes parviennent à des systèmes externes, les organisations perdent une partie de ce contrôle.
C’est pourquoi de nombreuses entreprises explorent des approches alternatives, telles que des solutions d’IA dans un cloud privé ou au sein d’une infrastructure contrôlée. Le principe : la puissance des modèles linguistiques modernes – au sein d’une infrastructure fermée et contrôlée en Suisse. Les données ne quittent pas la zone de contrôle de l’entreprise. Les prompts ne sont pas utilisés pour l’entraînement de modèles externes. La solution peut en outre être connectée à des documents internes, des manuels ou des données d’entreprise, de sorte que l’IA puisse accéder à des connaissances spécifiques à l’entreprise – sans les divulguer à l’extérieur.
La transition d’une IA « fantôme » vers une stratégie d’IA structurée commence généralement par un simple constat : la technologie est déjà présente dans l’entreprise. La question n’est plus de savoir si l’IA est utilisée, mais comment. Quels outils sont déjà utilisés ? Quels cas d’utilisation offrent une réelle valeur ajoutée ? Et quelles données doivent être particulièrement protégées ? Sur cette base, il est possible de définir des lignes directrices claires, tant sur le plan organisationnel que technique.
text, one term is becoming increasingly important: data sovereignty. This refers to a company’s ability to retain control at all times over where data is stored, processed and used. This issue becomes particularly crucial with AI applications. When prompts, documents or internal knowledge data end up in external systems, organisations lose some of this control.
That is why many companies are exploring alternative approaches, such as AI solutions in a private cloud or within a controlled infrastructure. The principle: the power of modern language models – within a closed, controlled infrastructure in Switzerland. Data does not leave the organisation’s own sphere of control. Prompts are not used to train external models. The solution can also be integrated with internal documents, manuals or company data, enabling the AI to access company-specific knowledge – without disclosing it externally.
The transition from shadow AI to a structured AI strategy usually begins with a simple realisation: the technology has already arrived in the company. The question is no longer whether AI is being used – but how. Which tools are already in use? Which use cases offer real added value? And which data requires special protection? On this basis, clear guidelines can be defined – both organisationally and technically.
L'utilisation de l'IA en entreprise soulève de nombreuses questions : quels outils sont pertinents ? Quelles données peuvent être traitées ? Et comment tirer parti de l'IA sans compromettre la sécurité et la conformité ?
MTF aide les entreprises à utiliser l’IA de manière structurée et responsable. Nos services de conseil en IA aident à définir des lignes directrices claires pour l’utilisation de l’IA – depuis l’élaboration d’une politique en matière d’IA jusqu’à son intégration dans les processus et les concepts de sécurité existants.
Pour les organisations qui souhaitent utiliser l’IA de manière productive tout en préservant la souveraineté des données, MTF propose également des solutions d’IA en cloud privé hébergées dans des centres de données suisses. Les données sensibles restent ainsi au sein d’une infrastructure contrôlée, tandis que les entreprises profitent des possibilités offertes par l’IA moderne.
L’IA fantôme n’est pas un problème, mais un signal
L’IA fantôme ne résulte pas d’une violation des règles, mais d’une recherche d’efficacité. Les collaborateurs qui recherchent de leur propre initiative de meilleurs outils ne constituent pas un problème de sécurité : ils sont un signe d’innovation. La question est simplement de savoir si une entreprise exploite ce signal ou l’ignore.
Celles qui définissent aujourd’hui des directives claires et proposent une alternative technique sécurisée transforment un risque incontrôlé en un véritable avantage concurrentiel. Les données restent en interne, la productivité augmente et les collaborateurs peuvent travailler l’esprit tranquille.
La première étape est souvent plus simple qu’on ne le pense : établir des règles claires pour l’utilisation de l’IA.