Shadow AI ou l’utilisation de l’IA par les collaborateurs en dehors de tout cadre officiel. Utilisation massive, quotidienne, sans que personne en soit informé. Le shadow AI, quand on parle (et l’on en parle rarement), c’est sous l’angle d’un problème de conformité ou de cybersécurité. Erreur de diagnostic. Les études de terrain révèlent d’abord que la formation brille par son absence.
Un phénomène de masse
Les chiffres s’accumulent et convergent. Une étude YouGov réalisée en janvier 2026 pour Microsoft France auprès de 657 cadres et dirigeants du secteur privé établit que 71 % des cadres non-dirigeants n’ont pas encore été formés à l’utilisation de l’IA. Résultat direct : 61 % des collaborateurs qui utilisent l’IA en entreprise y recourent via des comptes personnels au moins une fois par semaine — 38 % quotidiennement. L’étude Red Hat, conduite sur le marché français à l’automne 2025, arrive à une conclusion plus brutale : 91 % des entreprises déclarent faire face à des cas de shadow AI. L’enquête de l’Inria et du club Datacraft, menée en juin 2025 auprès de 14 grandes organisations françaises — Airbus, L’Oréal, Crédit Agricole, ministère des Armées — documente la même réalité de manière qualitative : une appropriation informelle de l’IA par les collaborateurs, motivée par la recherche d’efficacité et d’autonomie ; plus d’un tiers d’entre eux ne préviennent pas leur hiérarchie de leurs usages fréquents. Ces trois sources (un commanditaire intéressé mais une méthodologie déclarée, un éditeur de solutions d’infrastructure, un laboratoire public et une communauté de praticiens) ne se recoupent pas par hasard. Elles photographient le même état de fait depuis des angles différents. Le shadow AI n’est pas un phénomène de niche ; c’est la norme.
Ce que le shadow AI dit vraiment de la formation
Le réflexe habituel est de traiter le shadow AI comme un problème de gouvernance à confier à la DSI, au DPO ou au RSSI. Le cadrage est commode, notamment parce qu’il exonère la fonction formation de toute responsabilité. Il est pourtant inexact. Quand un collaborateur ouvre ChatGPT depuis un compte personnel pour rédiger une note, résumer un contrat ou préparer une présentation, on ne peut pas considérer qu’il contourne une politique de sécurité, car, de fait, il comble un vide faute de pouvoir utiliser un outil officiel ou opérationnel dans l’entreprise, faute également d’avoir appris à s’en servir. Le shadow AI pourrait ainsi révéler, en creux, que la formation à l’IA est soit absente de l’organisation, soit inadaptée, soit arrivée trop tard. L’étude Microsoft France le pointe explicitement : la formation est le « levier clé » de lutte contre le shadow AI… Formulation prudente qui surprend de l’éditeur de Copilot, mais le diagnostic est incontestable. Les organisations qui interdisent formellement le recours à l’IA le vérifient à leurs dépens : plus de 40 % de leurs collaborateurs continuent de l’utiliser régulièrement. La prohibition ne supprime pas le besoin ; elle le pousse dans l’ombre.
L’AI Act a tranché : former est une obligation
Ce débat a une dimension réglementaire que les responsables formation n’ont pas encore entièrement intégrée. L’article 4 de l’AI Act européen impose aux utilisateurs de systèmes d’IA de prendre des mesures pour assurer un niveau suffisant de connaissance en matière d’IA à leur personnel. Cette obligation est en vigueur depuis février 2025. Elle ne se satisfait pas d’un guide d’usage ou d’un e-learning de sensibilisation au RGPD. Selon la FAQ publiée par la Commission européenne en mai 2025, un programme conforme doit couvrir ce qu’est une IA, comment elle fonctionne, ses biais et ses limites, les risques propres aux systèmes utilisés, et des cas d’usage adaptés métier par métier. Un socle que la quasi-totalité des dispositifs actuellement déployés en entreprise n’atteint pas. À noter : l’obligation de l’article 4 est déjà applicable, les sanctions de l’AI Act sont réelles — jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les manquements les plus graves — et la plupart des directions formation ignorent encore qu’elles en sont les premières concernées. Le DPO régit la conformité des données ; le RSSI surveille les flux. Mais c’est bien le responsable formation qui détient le levier que le règlement européen désigne en premier.
Former à l’IA : le cahier des charges reste à écrire
Mais « former pour former » n’aurait pas grand sens. On peut surtout constater, d’une façon générale, l’absence de réflexion sur ce que former à l’IA veut dire en 2026. Les tutos ChatGPT et les sessions de prompt engineering d’une demi-journée ne constituent pas une politique de montée en compétences ; ils constituent, tout au plus, une réponse à la pression managériale du moment. Une formation IA digne de ce nom part des usages réels — ceux que les collaborateurs développent déjà en dehors de tout cadre, précisément — pour les outiller, les sécuriser et les élargir. Elle différencie les niveaux : l’utilisateur occasionnel a différents besoins que le manager qui délègue des tâches à un agent ou le chef de projet qui conçoit un workflow automatisé. Elle s’inscrit dans la durée, parce que les modèles évoluent tous les trimestres et que les compétences d’hier sont déjà partiellement obsolètes. Le shadow AI donne une information précieuse que les organisations s’obstinent à ne pas lire : leurs collaborateurs veulent utiliser l’IA, savent qu’elle leur est utile, et ont trouvé comment y accéder seuls. La fonction formation n’a pas à combattre cet élan. Elle a à le capter, à le structurer et à en faire la matière première d’un dispositif qui, lui, existera vraiment.
Source : Microsoft France / YouGov, janvier 2026.
Par la rédaction de L’essentiel RH-Learning.