L'IA fantôme veut-elle dire que les salariés font n'importe quoi ?

Non. Elle signale surtout que les outils disponibles vont plus vite que les procédures, les licences et les formations internes. Le risque naît quand cet usage reste invisible.

Faut-il interdire ChatGPT, Copilot ou les outils publics au travail ?

Une interdiction peut être nécessaire pour certaines données sensibles, mais elle ne remplace pas une alternative approuvée, claire et utilisable par les équipes.

Quelle première mesure prendre dans une PME ?

Commencer par un inventaire court des usages réels : quelles tâches, quelles données, quel outil, quelle sortie, quelle personne valide et quelle trace reste disponible.

Pourquoi le sujet est-il plus organisationnel que technique ?

Parce que la valeur dépend moins du modèle choisi que du contexte : règles de décision, données autorisées, supervision, formation et droit d'arrêter un usage fragile.

L'IA fantôme est devenue la vraie politique IA

Note de transparence : ce journal est édité par ARCKONE, agence IA active sur ce marché. Voir mentions légales.

L’adoption de l’IA en entreprise est racontée comme une décision de direction. Le comité choisit une plateforme, la DSI ouvre ou ferme un accès, les ressources humaines commandent une formation, le juridique ajoute une politique d’usage, puis l’entreprise bascule.

Ce récit est propre. Il est surtout trop lent.

Dans le travail réel, l’IA arrive souvent par la porte latérale. Un salarié colle une réponse client dans un assistant pour la raccourcir. Une responsable RH reformule une offre d’emploi. Un chef de projet demande un plan de migration. Une commerciale résume un appel. Un comptable fait expliquer une clause. Personne ne pense forcément frauder. Les gens essaient simplement de finir leur journée avec l’outil qui répond.

C’est cela, l’IA fantôme : non pas une conspiration contre l’entreprise, mais une adoption qui précède l’organisation. Elle n’est pas toujours spectaculaire. Elle ne prend pas la forme d’un grand projet. Elle ressemble à une suite de gestes minuscules, difficiles à voir, mais assez nombreux pour constituer la vraie politique IA de l’entreprise.

Les statistiques racontent deux histoires

Les données officielles disent d’abord une chose raisonnable : l’IA progresse, mais elle n’est pas encore partout. Eurostat indique qu’en 2025, 19,95% des entreprises de l’Union européenne de dix personnes et plus utilisaient au moins une technologie IA. Le chiffre monte à 55,03% chez les grandes entreprises, mais descend à 17% chez les petites et 30,36% chez les moyennes.

L’OCDE voit le même type d’écart. Dans les pays où les données sont disponibles, 20,2% des entreprises déclaraient utiliser l’IA en 2025, contre 8,7% en 2023. L’adoption a donc plus que doublé, mais elle reste très inégale : les grandes structures dépassent la moitié, les petites restent beaucoup plus bas.

Si l’on s’arrête là, le diagnostic semble simple : les entreprises n’ont pas encore adopté l’IA. Il suffirait d’attendre que les budgets, les outils et les formations arrivent.

Mais une autre statistique dérange cette lecture. Dans une note publiée en avril 2026, la Réserve fédérale américaine compare plusieurs manières de mesurer l’adoption. Selon l’enquête auprès des individus, environ 41% de la population active américaine déclarait un usage professionnel de l’IA générative fin 2025. Selon une enquête auprès de dirigeants, 78% de la main-d’oeuvre travaillait déjà dans des entreprises ayant adopté l’IA, et 54% dans des entreprises utilisant des grands modèles de langage.

Ces chiffres ne sont pas directement transposables à l’Europe. Ils ne mesurent pas exactement la même chose qu’Eurostat ou l’OCDE. Mais ils montrent le point important : selon que l’on regarde l’entreprise, le salarié, la main-d’oeuvre pondérée ou le système officiellement déclaré, on ne voit pas la même adoption.

L’IA n’entre pas dans l’entreprise comme un logiciel de comptabilité. Elle peut entrer par la carte bancaire personnelle, par une extension de navigateur, par un abonnement inclus dans une suite bureautique, par le téléphone, par un fournisseur, par un stagiaire, par un manager qui ne sait pas s’il a le droit mais qui sait qu’il a une échéance.

Le retard de gouvernance vient de là. L’organisation croit qu’elle débat d’une décision future. Une partie du travail a déjà commencé.

L’interdiction ne fabrique pas le contrôle

La réponse réflexe consiste à interdire. Elle est compréhensible. Des données clients, des secrets commerciaux, des documents RH, des contrats, du code ou des chiffres financiers ne doivent pas être envoyés n’importe où. L’entreprise a raison de refuser que son patrimoine informationnel devienne un matériau d’essai dans des outils non évalués.

Mais l’interdiction seule a un défaut : elle ne supprime pas le besoin qui a créé l’usage.

Si une équipe doit produire dix variantes d’un document chaque semaine, reformuler des réponses, comparer des versions, extraire des points de vigilance ou préparer un compte rendu, elle cherchera un moyen de le faire. Si l’outil interne est absent, lent, trop verrouillé ou réservé à quelques profils, l’outil public redevient tentant. Si la politique dit “ne faites pas” mais ne dit jamais “voici comment faire correctement”, elle transforme l’usage en clandestinité.

ISACA résume ce décalage dans son AI Pulse Poll 2026 : l’adoption accélère plus vite que la préparation organisationnelle. L’association indique que seuls 38% des répondants déclarent une politique IA complète dans leur organisation. Cisco observe de son côté que 90% des programmes de confidentialité interrogés se sont élargis à cause de l’IA, et que les investissements en gouvernance des données continuent de monter.

Ces signaux ne prouvent pas que toutes les entreprises sont imprudentes. Ils montrent plutôt une transition mal synchronisée. Les salariés découvrent l’utilité avant que l’entreprise ait défini les zones autorisées, les données interdites, les cas à tracer et les sorties à valider.

La mauvaise conclusion serait : “les gens sont irresponsables”. La conclusion plus utile est : “l’organisation n’a pas encore construit de terrain d’atterrissage”.

Le risque n’est pas le prompt, c’est le contexte

On parle souvent de l’IA fantôme comme si le danger se trouvait dans le prompt lui-même. C’est trop court.

Le prompt n’est qu’une ouverture. Le risque dépend de ce qui entre, de ce qui sort, de ce que l’outil conserve, de qui relit, de ce qui est repris dans une décision, de ce qui est envoyé à un client, et de ce qui devient impossible à expliquer trois mois plus tard.

Un salarié qui demande “rends ce paragraphe plus clair” sur un texte public ne crée pas le même risque qu’un manager qui fait classer des candidats avec des notes internes. Une juriste qui demande une reformulation de style n’expose pas la même chose qu’une équipe commerciale qui copie un contrat complet. Un développeur qui demande une explication sur un message d’erreur générique ne fait pas la même action qu’un développeur qui colle un dépôt privé, des clés ou une logique métier.

Le problème est donc moins “IA ou pas IA” que “quelle matière passe dans quel système pour quelle décision”.

C’est une grammaire que beaucoup d’entreprises n’ont pas encore écrite. Elles ont parfois une charte générale, mais pas de table simple qui distingue les données publiques, internes, confidentielles, personnelles, sensibles, stratégiques. Elles ont parfois un outil approuvé, mais pas de règle sur les documents qui peuvent y entrer. Elles ont parfois une formation, mais pas de réponse concrète à la question : “puis-je utiliser cet outil pour ce fichier aujourd’hui ?”

Le flou produit une sociologie prévisible. Les plus prudents n’utilisent rien et perdent du temps. Les plus débrouillards utilisent tout et prennent du risque. Les managers ferment les yeux tant que le travail sort. Le service informatique découvre les usages par accident. Le juridique arrive après, quand un incident ou un audit oblige à reconstituer les faits.

Ce n’est pas une culture de l’innovation. C’est une culture du non-dit.

Trois fausses sorties

La première fausse sortie est la licence magique. L’entreprise achète un outil officiel, le déploie largement, puis considère que le sujet est réglé. C’est mieux que rien, mais une licence ne dit pas quelles tâches valent l’usage, quelles données sont autorisées, quelles sorties doivent être vérifiées, ni comment arrêter un cas d’usage qui dérive.

La deuxième est la formation générique. Elle explique les hallucinations, le prompting, les biais, parfois l’AI Act. Elle rassure parce qu’elle produit une trace. Mais un salarié peut réussir un module de sensibilisation et ne toujours pas savoir quoi faire avec un fichier client, un CV, une note médicale, une clause contractuelle ou un tableau de prix.

La troisième est le comité de gouvernance lointain. Il définit des principes, valide des catégories, arbitre des risques. Il est nécessaire. Mais s’il ne descend jamais jusqu’aux gestes quotidiens, il devient une météo institutionnelle : tout le monde sait qu’elle existe, personne ne sait s’il faut prendre un parapluie avant d’ouvrir le document.

Ces trois sorties ont le même défaut. Elles parlent de l’IA comme d’un objet séparé du travail. Or l’IA fantôme prospère précisément parce qu’elle se glisse dans le travail existant.

La méthode lente

Il existe une réponse plus modeste, moins séduisante, et plus solide.

Commencer par l’inventaire. Pendant deux semaines, demander aux équipes où elles utilisent déjà l’IA, même de manière informelle. Ne pas transformer l’exercice en chasse disciplinaire. Chercher les tâches : reformulation, résumé, extraction, recherche, classement, code, tableur, email, support, recrutement, analyse documentaire.

Ensuite, classer la matière. Pour chaque usage, noter le type de données qui entre dans l’outil : public, interne, confidentiel, personnel, sensible, client, fournisseur, code, financier. Ce classement n’a pas besoin d’être parfait au départ. Il doit être assez clair pour distinguer un texte marketing public d’un dossier salarié.

Puis définir trois chemins au lieu d’une seule règle. Chemin vert : usages autorisés sans validation, avec données publiques ou anonymisées. Chemin orange : usages autorisés avec outil approuvé, supervision humaine et trace minimale. Chemin rouge : usages interdits ou réservés à un projet encadré, parce qu’ils touchent des décisions sensibles, des données personnelles, des secrets commerciaux ou des obligations réglementaires.

Enfin, écrire la responsabilité. Qui valide la sortie ? Qui répond si une erreur atteint un client ? Qui peut arrêter l’usage ? Où garde-t-on la trace ? Quand revoit-on la règle ?

Ce n’est pas une bureaucratie de plus. C’est la condition pour sortir l’IA du folklore.

Microsoft, dans son Work Trend Index 2026, donne une lecture très favorable de l’opportunité : les salariés seraient prêts, les organisations moins. Même dans ce récit optimiste, le facteur décisif reste organisationnel : culture, managers, règles, reconnaissance, capacité à changer les métriques du travail. Autrement dit, même les vendeurs d’outils finissent par redécouvrir l’entreprise.

Ce que les PME doivent regarder en premier

Les PME ont un avantage : elles peuvent voir plus vite où se trouve l’usage réel. Elles ont aussi un risque : elles n’ont pas toujours une DSI, un RSSI, un DPO, un responsable formation et une équipe juridique disponibles pour transformer chaque usage en politique propre.

Le bon premier document n’est donc pas une grande charte. C’est une carte d’usage d’une page.

Elle peut tenir en six colonnes :

Tâche	Données utilisées	Outil	Sortie produite	Validation humaine	Trace conservée
Réponse client	Demande entrante anonymisée	Assistant approuvé	Brouillon d’email	Responsable support	Ticket
Analyse CV	Données personnelles candidat	Interdit hors processus RH validé	Aucune	RH + juridique	Registre RH
Synthèse de réunion	Notes internes non sensibles	Outil approuvé	Compte rendu relu	Organisateur	Dossier projet
Reformulation marketing	Texte public	Outil libre ou approuvé	Variante éditoriale	Auteur	Document source

Cette carte ne résout pas tout. Elle change seulement la conversation. Au lieu de demander “a-t-on le droit d’utiliser l’IA ?”, l’entreprise demande “pour cette tâche, avec ces données, quelle sortie acceptons-nous et qui reste responsable ?”

C’est plus lent qu’un slogan. C’est aussi beaucoup plus utile.

Ce que Jachère retient

L’IA fantôme n’est pas une anomalie passagère. C’est la forme normale d’une technologie qui arrive par les individus avant d’être digérée par les institutions.

Les entreprises peuvent continuer à mesurer l’adoption comme un achat, un déploiement, une licence ou une stratégie. Elles manqueront alors une partie du travail réel. Elles verront les projets officiels, pas les gestes quotidiens. Elles verront les comités, pas les contournements. Elles verront le budget, pas la pression qui pousse un salarié à chercher seul un raccourci.

Le sujet n’est pas de dénoncer ces gestes. Il est de les rendre discutables, traçables et parfois refusables. Une organisation mûre n’est pas celle qui autorise tout. Ce n’est pas non plus celle qui interdit par défaut. C’est celle qui sait dire : ici l’IA aide, ici elle expose, ici elle simule une compétence que nous n’avons pas, ici elle doit rester hors du dossier.

Le plus mauvais signal pour 2026 serait une entreprise pleine d’usages IA et vide de règles praticables. Le second plus mauvais serait une entreprise pleine de règles et vide d’usages honnêtement déclarés.

Entre les deux, il y a un travail plus humble : regarder ce que les gens font déjà, comprendre pourquoi ils le font, et décider ce qui mérite de sortir de l’ombre.