ALERTE SÉCURITÉ — FÉVRIER 2026

Et chaque jour sans stratégie, vous augmentez le risque de fuite de données citoyennes, de non-conformité RGPD et de sanctions IA Act.

Introduction : le phénomène invisible qui menace votre collectivité

La scène est devenue banale dans les bureaux des collectivités territoriales. Un agent doit rédiger une réponse à un administré. Plutôt que de partir d’une feuille blanche, il ouvre ChatGPT sur son navigateur, y colle le courrier reçu — avec le nom, l’adresse et parfois le numéro de dossier du citoyen — et demande à l’IA de rédiger la réponse.

En quelques secondes, les données personnelles d’un citoyen viennent de quitter le périmètre de la collectivité pour être envoyées sur les serveurs d’OpenAI aux États-Unis. Sans autorisation de la DSI. Sans information du DPO. Sans consentement du citoyen. C’est le shadow IA.

Et ce n’est pas anecdotique. En janvier 2026, 73 % des employés utilisent des outils d’intelligence artificielle sans en informer leur direction. Dans les collectivités, le taux de shadow IA est estimé à 60 % selon la Banque des Territoires. Le volume de données envoyées aux applications d’IA générative grand public a été multiplié par six en un an.

73 % des employés utilisent l’IA sans informer leur direction

x6 multiplication des données envoyées aux IA grand public en 1 an

20 % des violations de données mondiales impliquent désormais le Shadow AI

Cet article n’a pas pour but de désigner des coupables. Les agents qui utilisent ChatGPT en cachette le font pour une raison simple : ils veulent être plus efficaces, et on ne leur a pas donné d’alternative. Le problème n’est pas l’agent. Le problème, c’est l’absence de stratégie IA.

1. Shadow IA : de quoi parle-t-on exactement ?

1.1 Définition

Le shadow IA (ou «shadow AI») désigne l’utilisation d’outils d’intelligence artificielle générative par les agents d’une organisation, en dehors de tout cadre officiel et sans l’approbation de la direction des systèmes d’information. C’est l’équivalent du shadow IT, mais appliqué spécifiquement aux outils d’IA.

La différence majeure avec le shadow IT classique : un seul prompt contenant une information confidentielle suffit à provoquer une fuite de données. Il n’y a pas besoin d’installer un logiciel ou de contourner un pare-feu. Un simple copier-coller dans un navigateur.

1.2 Les outils concernés

Dans les collectivités, le shadow IA concerne principalement :

• ChatGPT (OpenAI) : l’outil le plus utilisé. Version gratuite accessible à tous depuis un navigateur. Données envoyées sur des serveurs américains.
• Google Gemini : souvent utilisé via le navigateur Chrome ou Gmail. Mêmes problématiques de localisation des données.
• Copilot gratuit (Microsoft) : intégré à Windows et Edge. Les agents pensent à tort que c’est la même chose que Microsoft 365 Copilot (ce n’est pas le cas).
• Claude (Anthropic) : de plus en plus utilisé pour la rédaction de documents longs. Serveurs américains.
• Outils spécialisés : traducteurs IA (DeepL version gratuite), générateurs d’images, assistants de code. Souvent utilisés ponctuellement sans réflexion sur les données transmises.

2. L’ampleur du shadow IA dans les collectivités

2.1 Des chiffres alarmants

Le phénomène du shadow IA touche l’ensemble du secteur public français, des ministères aux plus petites communes :

• 60 % de taux de shadow IA estimé dans les collectivités territoriales (Banque des Territoires, 2025).
• 84 % des collectivités utilisatrices d’IA ont recours à l’IA générative, souvent sans cadrage (baromètre Data Publica 2025).
• Plus d’un quart des données saisies dans des outils d’IA publics sont désormais des données sensibles (rapport Netskope 2026).
• Le nombre d’utilisateurs de GenAI en SaaS a quasiment triplé en un an, avec près de la moitié utilisant des identifiants personnels.

2.2 Pourquoi les agents utilisent-ils l’IA en cachette ?

La réponse est simple et ne doit pas être moralisée : les agents cherchent à être plus efficaces dans un contexte de pression croissante.

• Surcharge administrative : les collectivités font face à un manque de temps, une complexité administrative croissante et des obligations de traçabilité de plus en plus lourdes.
• Difficultés de recrutement : la fonction publique territoriale peine à recruter. Les équipes doivent faire plus avec moins.
• Efficacité constatée : un agent qui utilise ChatGPT pour rédiger un courrier gagne 30 à 60 minutes. C’est un gain immédiat et tangible.
• Absence d’alternative officielle : dans la majorité des collectivités, aucun outil d’IA n’a été mis à disposition par la DSI. L’interdiction pure et simple pousse à la clandestinité.

Le paradoxe du shadow IA Plus une collectivité interdit l’IA sans proposer d’alternative, plus le shadow IA augmente. L’interdiction brutale est contre-productive : elle pousse les agents à plus de clandestinité. La seule solution durable est d’encadrer, former et outiller.

3. Les 5 risques majeurs du shadow IA pour votre collectivité

Risque 1 : Fuite de données personnelles des citoyens

C’est le risque le plus immédiat et le plus grave. Quand un agent copie un courrier contenant des données personnelles (nom, adresse, numéro de dossier, situation sociale) dans ChatGPT, ces données sont envoyées sur les serveurs d’OpenAI aux États-Unis. Elles échappent définitivement au contrôle de la collectivité.

Exemple concret : un agent du CCAS colle dans ChatGPT un dossier de demande d’aide sociale pour rédiger une réponse. Le nom du demandeur, sa situation familiale, ses revenus et ses difficultés sont désormais sur des serveurs américains soumis au Cloud Act.

Risque 2 : Non-conformité RGPD

Dès qu’un agent transfère des données personnelles vers un outil d’IA hébergé hors UE sans base légale, la collectivité enfreint le RGPD. La CNIL a déjà sanctionné plusieurs organisations pour ce type de pratique en 2025. Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel.

Pour une collectivité, le risque est double : la sanction financière et l’atteinte réputationnelle. Un article dans la presse locale sur une fuite de données citoyennes via ChatGPT peut détruire la confiance en quelques heures.

Risque 3 : Non-conformité IA Act

L’IA Act européen, applicable depuis février 2025, impose aux organisations utilisant des systèmes d’IA d’assurer la formation de leur personnel (article 4) et de recenser les systèmes IA utilisés. Le shadow IA place de fait la collectivité dans l’illégalité : des systèmes non recensés sont utilisés par des agents non formés.

Sanctions : jusqu’à 35 millions d’euros d’amende pour non-conformité à l’IA Act.

Risque 4 : Fiabilité de l’action publique

Les outils d’IA générative «halucinent» : ils inventent parfois des informations fausses avec un aplomb total. Un agent qui s’appuie sur une réponse hallucinée de ChatGPT pour renseigner un citoyen ou instruire un dossier met en danger l’équité du service public. Une décision administrative basée sur une information erronée générée par IA pourrait engager la responsabilité de la collectivité.

Risque 5 : Perte de contrôle organisationnel

Quand chaque agent utilise un outil différent, avec des prompts différents, sans aucune traçabilité, c’est l’ensemble de la gouvernance de l’information qui s’effondre. Les documents produits n’ont pas de version de référence. Les informations transmises aux citoyens ne sont pas cohérentes. La DSI ne sait même pas quels outils sont utilisés.

Risque	Conséquence	Sanction potentielle
Fuite de données	Données citoyennes sur serveurs américains	Amende CNIL + atteinte réputationnelle
Non-conformité RGPD	Transfert illégal de données hors UE	Jusqu’à 20 M€ ou 4 % du CA
Non-conformité IA Act	Systèmes non recensés, agents non formés	Jusqu’à 35 M€ d’amende
Fiabilité action publique	Décisions basées sur des hallucinations IA	Responsabilité juridique de la collectivité
Perte de contrôle	Aucune traçabilité, outils dispersés	Inefficacité organisationnelle

4. Autodiagnostic : votre collectivité est-elle touchée ?

Répondez sincèrement à ces 8 questions. Si vous répondez «oui» à 3 ou plus, votre collectivité est très probablement touchée par le shadow IA.

#	Question	Oui/Non
1	Des agents vous ont-ils déjà parlé de ChatGPT ou d’un autre outil d’IA ?
2	Votre DSI a-t-elle officiellement validé un ou plusieurs outils d’IA générative ?
3	Avez-vous une charte d’usage de l’IA dans votre collectivité ?
4	Vos agents ont-ils reçu une formation à l’IA générative ?
5	Votre DPO a-t-il été consulté sur l’utilisation de l’IA par les agents ?
6	Connaissez-vous le nombre d’agents qui utilisent des outils d’IA dans votre collectivité ?
7	Des documents contenant des données personnelles ont-ils pu être saisis dans des IA grand public ?
8	Avez-vous un plan de mise en conformité avec l’IA Act ?

Résultat 3 à 5 «Non» : votre collectivité présente des vulnérabilités significatives. Il est temps d’agir. 6 à 8 «Non» : situation critique. Vous devez engager un audit shadow IA et un plan de formation immédiatement. Teriagen propose un diagnostic gratuit pour évaluer votre situation en 1 heure.

5. Reprendre le contrôle : la méthode Teriagen en 5 étapes

Interdire ne fonctionne pas. La seule approche efficace est d’encadrer, former et outiller. Voici la méthode que nous avons éprouvée auprès de 15 collectivités.

Étape 1 : Cartographier le shadow IA (Shadow AI Discovery)

La première action n’est pas de sanctionner, mais de comprendre. Nous réalisons un audit anonyme des usages réels d’IA dans votre collectivité : quels outils sont utilisés, par quels services, pour quels usages, avec quels types de données.

• Questionnaire anonyme auprès des agents (format non culpabilisant)
• Entretiens ciblés avec les chefs de service et directeurs
• Analyse des flux réseau par la DSI (optionnel, si les moyens le permettent)
• Livrable : carte complète des usages IA, des risques associés et des opportunités identifiées.

Étape 2 : Déployer des alternatives sécurisées

Pour éliminer le shadow IA, il faut donner aux agents un outil au moins aussi performant que ce qu’ils utilisent en cachette, mais encadré et sécurisé.

• Mistral Le Chat (gratuit) : première alternative immédiate. IA française, modèles performants. Pour les usages sans données sensibles.
• Microsoft 365 Copilot : pour les usages bureautiques quotidiens. Les données restent dans le tenant Microsoft 365 de la collectivité.
• Mistral AI sur SecNumCloud (Outscale) : pour les données sensibles. Hébergement français, qualifié ANSSI. Aucune donnée ne quitte le territoire.
• RAG interne : connecter l’IA aux bases documentaires de la collectivité pour des réponses contextualisées et fiables.

Étape 3 : Former tous les agents

92 % des agents formés par Teriagen utilisent encore l’IA de manière encadrée 6 mois après. Sans formation, ce chiffre tombe à 23 %. La formation n’est pas un coût, c’est un investissement à ROI de 300-400 %.

Nos formations sont adaptées aux trois catégories d’agents (A, B, C) et couvrent le prompting, les bonnes pratiques RGPD, la détection des hallucinations et la complémentarité des outils (Mistral AI, Copilot, ChatGPT).

Étape 4 : Rédiger et déployer la charte IA

Chaque collectivité doit se doter d’une charte IA définissant clairement :

• Les outils autorisés et dans quelles conditions
• Les données qui ne doivent jamais être saisies dans un outil d’IA grand public
• Les processus de validation pour les contenus générés par IA
• Les rôles et responsabilités (DPO, DSI, chefs de service)
• Le plan de formation et de mise à jour des compétences

C’est la recommandation n°1 du rapport du Sénat sur l’IA dans les collectivités (mars 2025). Teriagen accompagne chaque collectivité dans la rédaction de cette charte.

Étape 5 : Piloter et mesurer dans la durée

Le shadow IA n’est pas un problème que l’on règle une fois pour toutes. C’est un enjeu de gouvernance continue. Nous mettons en place des indicateurs de suivi : taux d’adoption des outils officiels, évolution du shadow IA, retours des agents, conformité RGPD/IA Act.

6. Comment 3 collectivités ont éliminé le shadow IA

Collectivité A : commune de 15 000 habitants

Situation initiale : aucune politique IA. Les agents du CCAS, de l’urbanisme et de la communication utilisaient ChatGPT au quotidien avec des données citoyennes.

Action Teriagen : audit shadow IA, formation de 40 agents sur 2 jours, déploiement de Mistral Le Chat comme alternative immédiate, rédaction de la charte IA.

Résultat à 6 mois : shadow IA réduit de 80 % à 12 %. Gain moyen de 5h/semaine par agent. Conformité RGPD rétablie.

Collectivité B : intercommunalité de 8 communes

Situation initiale : la DSI avait interdit ChatGPT par note de service. Résultat : les agents utilisaient leur téléphone personnel pour accéder à l’IA. Le shadow IA était encore plus invisible.

Action Teriagen : levée de l’interdiction, déploiement de Microsoft 365 Copilot pour 30 cadres, formation multi-outils (Copilot + Mistral), charte IA adoptée en comité syndical.

Résultat : taux d’adoption des outils officiels : 89 %. Bulletin municipal rédigé en moitié moins de temps.

Collectivité C : département

Situation initiale : des cadres de direction utilisaient ChatGPT pour préparer des notes de synthèse contenant des données stratégiques et politiques.

Action Teriagen : déploiement de Mistral AI via API sur infrastructure sécurisée, formation des 60 cadres de direction, mise en place d’un comité de gouvernance IA.

Résultat : zéro fuite de données stratégiques. ROI de 400 % sur la première année.

Conclusion : encadrer plutôt qu’interdire

Le shadow IA n’est pas un problème de discipline. C’est un problème de stratégie. Vos agents utilisent l’IA parce qu’elle leur fait gagner du temps. Ils le font en cachette parce qu’on ne leur a pas donné d’alternative.

La solution n’est pas d’interdire. C’est d’encadrer, de former et d’outiller. C’est de transformer un risque en opportunité.

Chaque jour sans stratégie IA, c’est un jour de plus où des données citoyennes quittent votre collectivité vers des serveurs américains, où votre conformité RGPD et IA Act s’érode, et où vous perdez du terrain face aux 77 % de collectivités qui ont déjà engagé un projet IA.

Audit Shadow IA gratuit pour votre collectivité Teriagen réalise un diagnostic gratuit de maturité IA pour votre collectivité : cartographie des usages non encadrés, évaluation des risques RGPD/IA Act, et recommandations concrètes. En 1 heure, vous savez où vous en êtes et ce que vous devez faire. Contactez-nous : contact@teriagen.com — www.teriagen.com

FAQ : Questions fréquentes sur le shadow IA en collectivité

Cette section répond aux questions les plus fréquemment posées par les DGS, DSI et DPO.

Qu’est-ce que le shadow IA dans une collectivité ?

Le shadow IA désigne l’utilisation d’outils d’intelligence artificielle générative (ChatGPT, Google Gemini, Copilot gratuit) par les agents d’une collectivité, en dehors de tout cadre officiel validé par la DSI. C’est un phénomène massif : 60 % des collectivités sont touchées.

Le shadow IA est-il illégal ?

En soi, utiliser ChatGPT n’est pas illégal. Mais transférer des données personnelles de citoyens vers des serveurs américains sans base légale enfreint le RGPD. Et ne pas former les agents utilisant l’IA enfreint l’IA Act. La collectivité peut être tenue responsable.

Faut-il interdire ChatGPT dans la collectivité ?

Non. L’interdiction pure et simple est contre-productive : elle pousse les agents à utiliser leur téléphone personnel, rendant le shadow IA encore plus invisible. La bonne approche est d’encadrer les usages, proposer des alternatives sécurisées et former les agents.

Quelles alternatives sécurisées proposer aux agents ?

Trois solutions principales : Mistral Le Chat (gratuit, IA française) pour les usages généraux, Microsoft 365 Copilot pour les usages bureautiques intégrés, et Mistral AI sur SecNumCloud (Outscale) pour les données sensibles. Teriagen vous aide à choisir la combinaison adaptée.

Comment détecter le shadow IA dans ma collectivité ?

Teriagen réalise un audit anonyme non culpabilisant : questionnaire auprès des agents, entretiens avec les chefs de service, et optionnellement analyse des flux réseau par la DSI. L’objectif n’est pas de sanctionner mais de comprendre et d’encadrer.

Combien coûte un audit shadow IA ?

Teriagen propose un diagnostic initial gratuit d’1 heure. L’audit complet dépend de la taille de la collectivité. Contactez-nous pour une proposition adaptée : contact@teriagen.com.

Quelle est la différence entre shadow IT et shadow IA ?

Le shadow IT concerne l’utilisation de logiciels ou matériels non autorisés. Le shadow IA est spécifique aux outils d’IA générative. La différence clé : avec le shadow IA, un seul copier-coller dans ChatGPT peut suffire à provoquer une fuite de données. Le risque est instantané.

La formation des agents à l’IA est-elle vraiment obligatoire ?

Oui. L’article 4 de l’IA Act européen, en vigueur depuis février 2025, impose à toute organisation utilisant des systèmes d’IA d’assurer un niveau suffisant de connaissance en matière d’IA à son personnel. Les sanctions peuvent atteindre 35 millions d’euros.