Faites le test lundi matin : demandez qui, dans votre équipe, a utilisé ChatGPT, Copilot ou Gemini la semaine dernière pour le travail. Puis comparez avec ce que vous pensiez. Dans la plupart des TPE, l'écart est énorme — c'est ce qu'on appelle le « shadow AI » : l'IA utilisée sans cadre, sans validation, souvent sans que personne ne le sache. Le problème n'est pas que vos salariés soient de mauvaise volonté. C'est qu'en l'absence de règles, chacun improvise.
Risque n° 1 : vos données confidentielles partent chez un tiers
C'est le risque le plus immédiat et le plus sous-estimé. Un devis client collé dans ChatGPT pour « reformuler plus pro », un fichier de prospection envoyé pour « faire un résumé », un contrat soumis pour « vérifier une clause » : à chaque fois, des informations confidentielles quittent votre entreprise vers les serveurs d'un prestataire, parfois hors d'Europe, parfois réutilisées pour entraîner des modèles selon les réglages du compte.
Le pire scénario n'est pas l'amende : c'est le client qui découvre que ses données ont transité par un outil grand public. La confiance commerciale ne se répare pas avec un avenant.
Risque n° 2 : des données personnelles traitées hors RGPD
Dès qu'un prompt contient le nom d'un client, d'un candidat ou d'un salarié, vous êtes dans un traitement de données personnelles — avec toutes les obligations du RGPD : base légale, information des personnes, registre. Un usage non déclaré est, par définition, non conforme. Et c'est vous, l'employeur, qui êtes responsable — pas le salarié qui a tapé le prompt.
Risque n° 3 : des contenus faux publiés sous votre nom
L'IA générative produit des textes plausibles, pas des textes vrais. Un chiffre inventé dans une proposition commerciale, une référence réglementaire qui n'existe pas dans un email client, une fiche produit trompeuse : sans règle de relecture humaine systématique, c'est une question de temps.
Risque n° 4 : des questions de droits d'auteur non réglées
Qui possède le logo généré par IA que votre alternant a mis sur la plaquette ? Pouvez-vous protéger un contenu créé par une machine ? Avez-vous le droit d'utiliser ce visuel commercialement ? Ces questions ont des réponses — mais il faut les avoir posées avant de publier, pas après une mise en demeure.
Risque n° 5 : l'obligation de formation que vous ignorez
Depuis février 2025, l'article 4 de l'AI Act impose à toute entreprise dont le personnel utilise l'IA d'en garantir la maîtrise : sensibilisation aux risques, et une trace qui le prouve. Si vos salariés utilisent l'IA « en douce », vous êtes mécaniquement en défaut — vous ne pouvez pas former des usages que vous ne connaissez pas.
Reprendre la main, sans interdire
Interdire l'IA ne marche pas : elle est trop utile, vos équipes contourneront. La bonne réponse tient en trois gestes :
- Recenser les usages réels, sans blâme — un simple tour de table honnête.
- Encadrer par une charte courte : outils autorisés, données interdites, relecture obligatoire.
- Former l'équipe une fois, et garder l'attestation.
Une après-midi suffit pour transformer un risque diffus en un cadre clair — et en argument commercial face aux clients qui posent de plus en plus la question.