Agents IA
Prompt engineering pour entreprises : les bases qui font la différence
Maîtrisez le prompt engineering pour obtenir des résultats professionnels avec GPT-4 et Claude. Techniques, templates et exemples concrets pour les équipes métier.
En avril 2023, Samsung apprend que trois de ses ingénieurs ont copié-collé du code source confidentiel et des notes de réunions internes directement dans ChatGPT pour obtenir de l’aide. Résultat : des données propriétaires potentiellement intégrées dans les futures réponses du modèle d’OpenAI. Samsung a depuis interdit ChatGPT sur ses réseaux internes. Mais combien de PME françaises ont eu la même conversation avec leurs équipes ?
65 % des employés utilisent des outils IA personnels dans un contexte professionnel sans en avoir informé leur employeur, selon une étude Microsoft/LinkedIn de 2024. Dans les faits, vos collaborateurs utilisent probablement déjà ChatGPT, Claude ou Gemini pour rédiger des emails, analyser des contrats ou résumer des réunions — avec vos données sensibles en pièces jointes.
Ce phénomène a un nom : le Shadow AI. Et pour une PME française, les conséquences peuvent aller d’une amende RGPD à une perte d’avantage concurrentiel durable.
Qu’est-ce que le Shadow AI exactement ?
Le Shadow IT désigne l’usage d’outils informatiques non approuvés par le service IT d’une entreprise (Dropbox personnel, WhatsApp professionnel, etc.). Le Shadow AI en est l’évolution naturelle : l’utilisation d’outils d’intelligence artificielle grand public dans un contexte professionnel, sans validation ni encadrement de l’entreprise.
Concrètement, il s’agit de :
- ChatGPT (OpenAI) — rédaction d’emails, résumé de documents, génération de rapports
- Microsoft Copilot personnel (compte gratuit, pas la version Entreprise) — assistante bureautique
- Claude (Anthropic) ou Gemini (Google) — analyse de données, aide à la décision
- DALL-E, Midjourney — création de visuels marketing avec des briefs contenant des infos internes
- Whisper / transcriptions automatiques — enregistrement de réunions client uploadé sur des serveurs tiers
La différence clé avec Shadow IT : les données saisies dans ces outils ne restent pas sur votre serveur. Elles transitent vers des infrastructures américaines, peuvent être utilisées pour entraîner des modèles (selon les CGU), et sortent définitivement du périmètre de contrôle de votre entreprise.
Quelles données vos employés exposent-ils sans le savoir ?
L’enjeu n’est pas théorique. Voici les types de données que des collaborateurs de PME transmettent quotidiennement à des IA non approuvées :
| Type de données | Exemple concret | Niveau de risque |
|---|---|---|
| Données clients | Noms, emails, coordonnées, historique d’achats | Critique (RGPD) |
| Données contractuelles | Clauses, tarifs, conditions spécifiques | Élevé |
| Données financières | Bilans, prévisions, marges, devis | Élevé |
| Code source / propriété intellectuelle | Algorithmes, scripts internes, API keys | Critique |
| Données RH | Salaires, évaluations, candidatures | Critique (RGPD) |
| Données stratégiques | Plans de développement, appels d’offres | Élevé |
Un exemple typique : votre responsable commercial colle le tableau des tarifs clients dans ChatGPT pour qu’il génère un email de relance personnalisé. En 30 secondes, votre grille tarifaire confidentielle a quitté votre entreprise.
Quels sont les risques juridiques du Shadow AI pour votre PME ?
Le RGPD s’applique dès le premier copier-coller
Dès qu’un employé transmet des données personnelles (nom d’un client, email, coordonnées) à un outil IA tiers sans base légale ni garanties contractuelles, votre entreprise est en infraction avec le RGPD. En tant que responsable de traitement, c’est le dirigeant qui est responsable, même si l’employé a agi seul.
La CNIL a rappelé en 2024 que l’utilisation d’IA grand public à des fins professionnelles constitue un transfert de données hors de l’UE soumis aux obligations du RGPD. Les sanctions peuvent atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.
L’AI Act européen renforce les obligations
Entré en vigueur progressivement depuis 2024, l’AI Act impose aux entreprises de documenter et contrôler les usages IA dans leurs processus. Une entreprise qui n’a aucune politique IA formalisée prend un risque juridique croissant.
Le risque de secret des affaires
La loi française sur le secret des affaires (transposition de la directive UE 2016/943) protège les informations stratégiques, à condition que l’entreprise ait mis en place des mesures raisonnables pour les protéger. Une entreprise qui laisse ses employés transférer librement des données dans des outils tiers sans politique écrite affaiblit considérablement sa protection juridique en cas de litige.
Comment détecter le Shadow AI dans votre entreprise ?
Avant de mettre en place une politique, il faut mesurer l’étendue du phénomène. Quelques leviers concrets :
Indicateurs techniques :
- Analyse des logs proxy/firewall : volume de trafic vers
chat.openai.com,claude.ai,gemini.google.com - Monitoring des extensions navigateur installées sur les postes
- Audit des applications SaaS connectées aux comptes Microsoft/Google des employés
Indicateurs RH :
- Sondage anonyme interne : “Utilisez-vous des outils IA personnels dans votre travail ?”
- Entretiens avec les managers d’équipes (commercial, technique, finance)
Outils de détection :
- Solutions CASB (Cloud Access Security Broker) comme Microsoft Defender for Cloud Apps
- Plateformes DLP (Data Loss Prevention) pour monitorer les flux de données sortants
- Pour les PME avec moins de moyens : un audit simple des logs navigateur suffit souvent à révéler l’étendue réelle des usages
Comment encadrer l’usage de l’IA par vos équipes ?
L’interdiction pure est inefficace. Elle pousse les usages dans l’ombre sans les éliminer. La bonne approche combine cadre clair + alternatives approuvées + formation.
1. Publier une charte IA interne
Un document d’une à deux pages, signé par chaque employé, qui précise : quels outils sont autorisés, quelles données ne peuvent jamais être saisies dans une IA externe, et les conséquences d’un manquement.
2. Former les équipes, pas les sanctionner
La plupart des employés ne savent pas que copier-coller un contrat dans ChatGPT pose un problème juridique. Une session de sensibilisation de 30 minutes vaut mieux que 10 emails de mise en garde ignorés.
3. Valider une liste d’outils approuvés
Définir formellement quels outils IA sont autorisés (et dans quelles conditions), quels outils nécessitent une demande préalable, et quels outils sont interdits.
4. Désigner un référent IA
Même dans une PME de 10 personnes, avoir un interlocuteur identifié pour les questions IA évite les prises de décision individuelles non coordonnées.
La bonne approche : offrir des alternatives IA souveraines à vos équipes
La raison principale pour laquelle les employés utilisent des outils IA non approuvés est simple : les outils approuvés n’existent pas encore dans leur entreprise. La solution est d’aller plus vite qu’eux en déployant des alternatives sécurisées.
Options concrètes pour les PME :
- Mistral AI (entreprise française) — API souveraine, données hébergées en Europe, offre dédiée aux entreprises avec garanties contractuelles RGPD
- Microsoft Copilot for Microsoft 365 (version Entreprise) — contrairement au Copilot gratuit, cette version ne transmet pas vos données à OpenAI pour l’entraînement et offre des garanties contractuelles
- Ollama — solution open source permettant de faire tourner des LLM (Llama, Mistral, Phi) entièrement en local, sur vos propres serveurs. Zéro donnée transmise à l’extérieur
- LM Studio — interface desktop pour faire tourner des modèles locaux sur les postes des employés, sans connexion internet
L’approche recommandée pour une PME : déployer un LLM local via Ollama sur un serveur interne, exposé en interface web à toute l’équipe. Coût : quelques centaines d’euros de matériel + une journée d’intégration. Résultat : vos employés ont leur propre “ChatGPT interne” — sans aucune donnée qui ne sort de vos locaux.
Template : charte d’utilisation de l’IA pour les PME
Voici un modèle simplifié en 5 points que vous pouvez adapter à votre contexte :
1. Outils autorisés Les outils IA suivants sont approuvés pour un usage professionnel : [liste à compléter]. Tout autre outil nécessite une validation préalable du responsable informatique ou de la direction.
2. Données interdites Il est strictement interdit de saisir dans un outil IA externe les catégories de données suivantes : données personnelles de clients ou d’employés, données financières confidentielles, code source propriétaire, informations couvertes par un accord de confidentialité (NDA).
3. Responsabilité individuelle Chaque employé est responsable des données qu’il transmet à des outils IA. En cas de doute, la règle par défaut est de ne pas transmettre l’information.
4. Signalement des incidents Tout employé ayant transmis par erreur des données confidentielles à un outil non approuvé doit le signaler immédiatement à [référent désigné], sans crainte de sanction, afin de permettre une réaction rapide.
5. Évolution de la politique Cette charte est révisée tous les 6 mois pour tenir compte de l’évolution rapide des outils disponibles.
FAQ — Shadow AI et PME françaises
Le RGPD s’applique-t-il si c’est un employé qui utilise ChatGPT de son propre chef ? Oui. La responsabilité du traitement des données incombe à l’entreprise, pas à l’employé. Si un collaborateur transmet des données clients à un outil tiers dans le cadre de son travail, c’est l’entreprise qui est en infraction. L’absence de politique IA écrite ne constitue pas une défense valable.
Est-ce que Microsoft Copilot intégré à Office 365 est sécurisé ? La version Copilot for Microsoft 365 (payante, dédiée aux entreprises) offre des garanties contractuelles : vos données ne sont pas utilisées pour entraîner les modèles OpenAI. La version gratuite de Copilot (copilot.microsoft.com) ne bénéficie pas des mêmes protections. La distinction est importante et souvent mal comprise par les équipes.
Par où commencer si on n’a jamais abordé le sujet IA dans notre PME ? Par un audit rapide des usages réels (sondage anonyme + analyse des logs navigateur), suivi d’une réunion d’équipe de sensibilisation. En parallèle, rédigez une charte d’une page — même imparfaite — qui fixe les règles de base. Commencer par un document simple vaut mieux qu’attendre une politique exhaustive qui ne verra jamais le jour.
Le Shadow AI n’est pas une menace hypothétique : c’est une réalité dans la plupart des PME françaises aujourd’hui. La bonne nouvelle, c’est qu’il ne faut pas des mois ni un budget conséquent pour reprendre le contrôle. Une charte claire, une session de formation et des alternatives approuvées suffisent à réduire drastiquement votre exposition.
Vous souhaitez déployer une solution IA souveraine pour votre équipe ou mettre en place une politique IA adaptée à votre PME ? Contactez-nous pour un audit gratuit — nous établissons un diagnostic de votre situation en moins d’une heure.
