Aller au contenu principal
Ancoria
Retour
Shadow AI et IA Act : Comment transformer le risque ChatGPT en stratégie d'IA maîtrisée pour votre territoire
ChatGPT / OpenAIInnovation & Technologie

Shadow AI et IA Act : Comment transformer le risque ChatGPT en stratégie d'IA maîtrisée pour votre territoire

11 min de lecture

Cet article s'adresse aux DGS, DSI et DPO de collectivités qui constatent l'usage croissant de ChatGPT par leurs agents sans cadre formel. Il leur fournit une grille de lecture claire sur les risques induits par l'IA Act et les étapes concrètes pour lancer un projet de gouvernance, transformant une pratique 'sauvage' en une opportunité d'innovation maîtrisée.

Avec l'entrée en vigueur de l'IA Act, l'usage non contrôlé d'outils comme ChatGPT ('Shadow AI') expose les collectivités à des risques juridiques et de sécurité majeurs. Cet article décrypte les nouvelles obligations et propose une feuille de route pour bâtir une stratégie d'intelligence artificielle souveraine et conforme, en s'inspirant des programmes pionniers comme 'Territoires d'IA'.

Shadow AI et IA Act : Comment transformer le risque ChatGPT en stratégie d'IA maîtrisée pour votre territoire

En 2026, l'intelligence artificielle n'est plus une promesse lointaine, mais une réalité quotidienne dans les services de nos collectivités. Discrètement, sans validation de la DSI ni consultation du DPO, des agents de tous niveaux utilisent ChatGPT et d'autres IA génératives pour rédiger des courriers, synthétiser des rapports ou préparer des présentations. Ce phénomène, connu sous le nom de 'Shadow AI', représente une source d'efficacité indéniable, mais il constitue surtout une bombe à retardement juridique et sécuritaire. Avec l'application de l'IA Act européen qui se profile, cette zone grise n'est plus tenable. Le règlement impose une traçabilité et une maîtrise des systèmes d'IA, particulièrement dans le secteur public. Pour les Directeurs Généraux des Services, DSI et DPO, l'heure n'est plus à l'observation, mais à l'action. Il est impératif de transformer cette adoption 'sauvage' en une stratégie d'innovation maîtrisée. Cet article propose une analyse des risques et une méthode concrète pour initier la première étape cruciale : cartographier les usages d'IA au sein de votre collectivité pour bâtir une feuille de route de mise en conformité.

Le 'Shadow AI' : quand ChatGPT s'installe en silence dans vos services

Le 'Shadow AI' désigne l'utilisation de solutions d'intelligence artificielle par les employés sans l'approbation, la connaissance ou le contrôle du département informatique ou de la direction (Jamespot, 2026). Dans les mairies, les départements ou les régions, ce phénomène s'incarne principalement par l'usage massif de ChatGPT d'OpenAI et de ses concurrents. Un agent au service urbanisme l'utilise pour simplifier le jargon d'un rapport technique destiné aux élus ; un autre aux ressources humaines s'en sert pour ébaucher une fiche de poste. Si les gains de productivité perçus sont réels, les risques associés sont vertigineux et souvent sous-estimés. Chaque requête envoyée à ces plateformes peut contenir des données sensibles ou à caractère personnel : extraits de dossiers sociaux, informations nominatives, projets de délibérations confidentielles. Ces données sont alors traitées sur des serveurs externes, souvent situés hors de l'Union Européenne, échappant totalement au contrôle de la collectivité et créant une non-conformité de fait avec le RGPD. Au-delà de la fuite de données, se pose la question de la fiabilité et de la traçabilité des informations produites. Comment s'assurer que la réponse juridique formulée par une IA est correcte ? Qui est responsable si une communication publique basée sur une information erronée générée par l'IA est diffusée ? Ce manque de gouvernance érode un principe fondamental pour le service public : la maîtrise de son information et de ses décisions. Le 'Shadow AI' n'est donc pas un simple problème technique, mais un enjeu stratégique majeur qui engage la responsabilité de la collectivité.

L'IA Act en approche : quelles obligations concrètes pour les collectivités ?

Loin d'être une contrainte abstraite, l'IA Act, dont l'application se précise, va imposer un cadre strict aux acteurs publics. Le règlement adopte une approche basée sur les risques, classant les systèmes d'IA en quatre catégories. Les collectivités territoriales sont directement concernées par les systèmes jugés 'à haut risque'. Cette catégorie inclut, entre autres, les IA utilisées pour déterminer l'accès des citoyens aux prestations et services publics essentiels (comme les aides sociales), pour l'évaluation des candidatures dans le cadre de recrutements, ou encore dans le domaine de la sécurité publique. Pour chaque système d'IA à haut risque déployé, qu'il soit développé en interne ou acquis sur étagère, la collectivité endosse des responsabilités importantes en tant qu'utilisatrice ('deployer'). Comme le détaille l'analyse de Teriagen, chaque collectivité territoriale devra mettre en place une gouvernance robuste. Cela implique de s'assurer que le système est utilisé conformément à sa documentation, d'implémenter une supervision humaine effective pour contrôler les résultats, de garantir la qualité et la pertinence des données d'entrée utilisées, et de tenir des journaux d'événements ('logs') pour assurer une traçabilité complète (Teriagen, 2026). L'ignorance des usages en interne n'est pas une défense valable. Si un service utilise un outil d'IA non validé pour une tâche considérée à haut risque (par exemple, un outil de notation de CV basé sur ChatGPT), la collectivité pourrait être tenue pour responsable en cas de discrimination ou de décision erronée. Le défi est donc double : il faut non seulement s'assurer que les futurs projets d'IA sont conformes dès leur conception, mais aussi, et c'est le plus urgent, faire l'inventaire des pratiques existantes pour évaluer leur niveau de risque et les régulariser.

Cartographier les usages : votre checklist en 3 étapes

Face à l'échéance de l'IA Act, la première action à mener n'est pas technologique mais organisationnelle. Lancer une mission de recensement des usages de l'IA est le socle de toute stratégie de mise en conformité, une démarche préconisée pour anticiper les obligations du règlement (Teriagen, 2026). Portée au plus haut niveau par le DGS, en étroite collaboration avec le DSI et le DPO, cette initiative vise à comprendre pour mieux maîtriser, et non à sanctionner. Une méthodologie pragmatique peut se dérouler en trois temps.

  • Mener une phase qualitative : Lancez des enquêtes anonymisées et des entretiens avec les chefs de service pour identifier précisément les outils (versions gratuites ou payantes), les finalités (gain de temps, aide à la décision, etc.) et les données soumises. L'objectif est de créer un climat de confiance pour obtenir un état des lieux honnête.
  • Réaliser une analyse technique : Mandatez la DSI pour analyser les journaux de connexion et les flux réseau (firewall, proxy) à destination des API des grands fournisseurs d'IA (OpenAI, Google, Anthropic, etc.). Cette analyse objective permettra de quantifier le phénomène, de corroborer les retours qualitatifs et de découvrir des usages insoupçonnés.
  • Consolider dans un registre des systèmes d'IA : Créez un registre évolutif, documentant pour chaque usage sa finalité, les données traitées, le service concerné, la solution utilisée, le responsable métier et une première évaluation du niveau de risque au regard de l'IA Act. Ce document deviendra votre outil de pilotage central.

De l'ombre à la lumière : structurer une stratégie d'IA souveraine et maîtrisée

Une fois la cartographie des usages établie, la collectivité peut passer de la réaction à l'action stratégique. L'enjeu est de définir un cadre clair qui encadre les pratiques et oriente les choix futurs vers des solutions maîtrisées. Cette stratégie s'articule autour de deux axes majeurs : l'élaboration d'une charte d'utilisation de l'IA, définissant ce qui est interdit (ex. : traiter des données personnelles avec des IA publiques non validées), ce qui est autorisé sous conditions, et les processus de validation pour tout nouveau projet. Ensuite vient le choix crucial des outils. La tendance de fond, encouragée par l'État, est à la souveraineté numérique (The Connexion, 2026). Des acteurs comme Mistral AI émergent comme des solutions crédibles pour le secteur public. Le partenariat stratégique entre Bpifrance et Mistral AI pour déployer 'Le Chat', un outil conversationnel interne, en est une illustration concrète (Bpifrance, 2026). Ce type de solution garantit un déploiement sur des infrastructures maîtrisées (cloud privé ou de confiance), assurant que les données sensibles ne quittent pas le territoire national ou européen. Adopter une telle stratégie ne consiste pas seulement à remplacer un outil par un autre. Il s'agit de se doter d'une technologie dont on maîtrise les paramètres, les données d'entraînement et les conditions d'utilisation, répondant ainsi aux exigences de transparence et de contrôle de l'IA Act.

Les 'Territoires d'IA' : s'inspirer des pionniers pour accélérer sa transformation

Les collectivités ne sont pas seules face à ce défi. Conscient de l'enjeu, l'État a décidé de prendre les devants pour accompagner la transformation numérique des territoires. Le programme 'Territoires d'IA', récemment renforcé, vise justement à soutenir la diffusion de l'intelligence artificielle dans les collectivités de manière structurée et mutualisée (Le Monde Informatique, 2026). L'objectif est de faire émerger des cas d'usage concrets et à haute valeur ajoutée pour les services publics locaux, tout en construisant une doctrine d'emploi de l'IA qui soit éthique, souveraine et conforme aux nouvelles réglementations. Pour une DSI ou un DGS qui s'interroge sur la meilleure manière d'aborder le sujet, s'inspirer de ces initiatives est une stratégie gagnante. Plutôt que de réinventer la roue, il est possible de s'appuyer sur les retours d'expérience de territoires pilotes qui ont déjà commencé à défricher les questions de gouvernance des données, de choix technologiques et d'accompagnement au changement. Rejoindre ces dynamiques permet de bénéficier d'un savoir-faire collectif et d'accéder à des ressources mutualisées. Le programme 'Territoires d'IA' offre un contre-modèle vertueux au 'Shadow AI' : il promeut une IA par le projet, transparente et collaborative, là où l'usage sauvage est opaque, risqué et isolé.

De la prise de conscience à l'action : votre première étape

L'ère de l'intelligence artificielle 'invisible' dans le service public est révolue. L'IA Act n'est pas une simple contrainte technique, mais un appel à la responsabilité pour tous les dirigeants territoriaux. Ignorer le 'Shadow AI' revient à accepter un risque juridique, financier et réputationnel qu'aucune collectivité ne peut se permettre. La démarche est claire : il faut d'abord mesurer le phénomène pour pouvoir le piloter. Transformer le risque en opportunité exige de substituer à l'anarchie des usages une stratégie délibérée, privilégiant la maîtrise, la conformité et la souveraineté. L'impulsion doit venir de vous, DGS, DSI et DPO. La première étape, concrète et réalisable, est de planifier dès maintenant une réunion avec votre direction juridique et les chefs de service pour lancer la mission de cartographie des usages d'IA. C'est le point de départ indispensable pour construire une administration plus résiliente et innovante.