72 % des actifs romands utilisent l'IA au travail, mais 69 % des entreprises n'ont aucune règle. Comprendre le Shadow AI et ses risques juridiques en Suisse auxquels vous vous exposez est primordial.

Vos collaborateurs se servent de ChatGPT, Gemini ou Claude tous les jours pour avancer plus vite. Le problème n'est pas qu'ils l'utilisent, c'est que personne dans l'entreprise ne l'a décidé, ni encadré. Deux études suisses de 2026 chiffrent précisément ce décalage, et il concerne sans doute déjà votre PME.
Vous avez sans doute remarqué qu'un collaborateur colle un compte rendu dans ChatGPT pour le résumer, qu'un autre fait relire un courriel délicat par Gemini, qu'un troisième demande à Copilot de reformuler une offre client. Chacun de ces gestes rend service. Mis bout à bout, sans aucune règle commune, ces comportements forment ce qu'on appelle le Shadow AI : une IA qui entre dans l'entreprise par le poste d'un utilisateur, sans que la direction l'ait choisie ni contrôler les données qui la traversent.
Deux études parues en 2026 mesurent la même bascule et partage le constat d'un cadre pour les entreprises.
La première étude, menée par Qualinsight auprès de 1'030 professionnels actifs de Suisse romande, montre que 72 % des actifs utilisent déjà l'IA au travail. 40 % s'en servent chaque semaine. L'adoption des outils IA accélère fortement : 80 % des utilisateurs déclarent un usage en hausse par rapport à l'année dernière.
La seconde, le Baromètre RH 2026 du canton de Vaud réalisé par Michael Page avec la Fédération Patronale Vaudoise auprès de 902 dirigeants et responsables RH, arrive au même point par la porte des entreprises. 62 % des entreprises vaudoises utilisent l'IA, un niveau comparable à la moyenne suisse et mondiale. Néanmoins, 69 % n'ont défini aucune politique ni aucun cadre formel pour son utilisation.
Côté salariés, 72 % des usages reposent sur des versions gratuites et non cadrées des outils. Côté entreprises, l'adoption se fait par le bas, à partir d'initiatives individuelles, plutôt que pilotée depuis la direction. Le verdict du Baromètre RH tient en une phrase : l'enjeu n'est plus d'adopter l'IA, mais de la gouverner avec les bons outils.
Ce ne sont pas des employés qui contournent nécessairement une règle, mais des employés qui comblent l'absence de règle avec les outils grand public qu'ils ont à leur disposition, faute de cadre.
Quand un collaborateur colle un contrat, un dossier RH ou un fichier client dans un outil gratuit, ces informations quittent le plus souvent la Suisse pour des serveurs soumis au droit américain, et, selon les réglages du compte, elles peuvent servir à entraîner le modèle. L'étude Qualinsight montre que ce flux est presque toujours invisible pour l'utilisateur : 70 % des utilisateurs n'ont jamais vérifié où vont les données qu'ils partagent, et 60 % ne savent pas où celles-ci sont hébergées. La donnée de l'entreprise échappe complètement au contrôle de l'utilisateur.
Interrogés sur leur première préoccupation face à l'IA, les professionnels romands ne citent pas la perte d'emploi mais la fiabilité des résultats, en tête à 21 %. Une IA généraliste peut citer un article qui n'existe pas ou raisonner sur du droit étranger sans le signaler. Nous avons détaillé ces limites dans notre comparatif ChatGPT, Claude, Gemini ou LegalPass. Une réponse fausse, non vérifiée, qui devient une décision, coûte bien plus cher que le temps qu'elle a fait gagner.
L'interdiction de l'IA ne fait pas disparaître son usage, elle le rend invisible. La question n'est plus de savoir si vos équipes utilisent l'IA. Elles l'utilisent. La question est de savoir si vous en gardez le contrôle. C'est le mécanisme du Shadow AI : quand une entreprise bannit ChatGPT ou ses équivalents, les collaborateurs ne cessent pas de les utiliser. Ils les utilisent depuis leur téléphone personnel, hors de tout contrôle.
Trois étapes suffisent à transformer un Shadow AI subi en usage maîtrisé grâce à une gouvernance interne.
La première étape est de rendre l'usage visible. On ne gouverne pas ce qu'on ne voit pas. Demandez à vos équipes quels outils elles utilisent réellement, pour quelles tâches, avec quelles données. Cette cartographie, même sommaire, fait apparaître les cas sensibles à traiter en priorité : les documents qui contiennent des données personnelles, des données RH ou des secrets d'affaires.
La deuxième étape est de poser une règle simple et écrite. Le paradoxe relevé par l'étude Qualinsight est parlant : 77 % des actifs réclament une réglementation claire, mais 70 % n'ont jamais vérifié leurs données. Les collaborateurs attendent un cadre, il faut le leur donner. Une charte d'une page suffit à démarrer : quels outils sont autorisés, quelles données ne doivent jamais y être collées, à quel moment anonymiser un document avant de le soumettre, et vers quelle solution se tourner quand l'enjeu est juridique. L'anonymisation, en particulier, supprime la donnée personnelle avant la transmission, donc le risque à sa racine. Nous en avons fait un réflexe à part entière dans notre article Anonymisation des données : le réflexe avant l'IA.
La troisième étape est de donner aux équipes le bon outil et la formation qui va avec. Une charte sans alternative pousse simplement les usages ailleurs. Pour les tâches à faible enjeu, comme reformuler un courriel ou dégrossir un sujet, une IA généraliste reste un excellent assistant à condition d'avoir effectué le travail d'anonymisation si nécessaire. Pour tout ce qui engage l'entreprise, un contrat, un dossier RH, une échéance légale, la fiabilité n'est plus optionnelle et l'outil doit être pensé pour cela. C'est précisément le rôle d'une plateforme juridique suisse comme LegalPass : générer des documents conformes au droit suisse à partir de modèles rédigés par des avocats suisses, faire relire un contrat existant par une revue assistée par IA encadrée, signer jusqu'à la signature électronique qualifiée, et conserver le tout dans un coffre-fort hébergé en Suisse. Les données ne quittent jamais le pays et ne servent jamais à entraîner un modèle tiers.
Il serait malhonnête de faire du Shadow AI un épouvantail. Une IA généraliste rend de vrais services, et vouloir la bannir reviendrait à se priver d'un gain de temps réel.
Pour brainstormer, reformuler, simplifier ou comprendre une notion, ChatGPT, Claude ou Gemini font parfaitement l'affaire. Dès qu'un document engage l'entreprise, dès que des données confidentielles entrent en jeu, dès qu'il s'agit d'un contrat à signer ou d'une échéance à tenir, la nature de la tâche change et l'usage doit être encadré.
Reprendre le contrôle du Shadow AI ne demande pas d'expertise technique, seulement une décision. Cartographiez les usages cette semaine, profitez de notre modèle de charte IA avec LegalPass, et donnez à vos équipes une solution fiable là où les enjeux sont élevés.
Le Shadow AI désigne l'utilisation d'outils d'intelligence artificielle par les collaborateurs sans validation ni cadre défini par l'entreprise. Selon l'étude Qualinsight 2026, 27 % des utilisateurs romands emploient l'IA sans validation officielle, et 49 % des organisations n'ont aucune règle claire. Ce n'est pas un contournement volontaire, plutôt le remplissage d'un vide laissé par l'absence de politique.
L'usage de l'IA n'est pas illégal en soi. Le risque naît davantage de ce qu'on partage dans une solution grand public. Coller des données personnelles, RH ou des secrets d'affaires dans un outil gratuit qui exporte ces données hors de Suisse peut constituer un manquement à vos obligations découlant de la nLPD et votre devoir de discrétion. C'est le traitement de la donnée, et non l'outil, qui pose problème.
L'interdiction fonctionne rarement : l'IA est déjà utilisée chaque jour et son usage progresse. Un cadre clair est plus efficace qu'une interdiction. Autorisez l'IA généraliste pour les tâches à faible enjeu, encadrez ou isolez les usages sensibles, et proposez une solution souveraine pour tout ce qui engage l'entreprise.
Trois réflexes : anonymiser un document avant de le soumettre à un outil public avec la technologie SwissGeneris de LegalPass, réserver les données sensibles à une solution hébergée en Suisse qui n'entraîne pas de modèle tiers, et écrire une charte simple qui dit quelles données ne doivent jamais être collées dans un outil grand public.
Oui. LegalPass est une plateforme juridique suisse qui génère des documents conformes au droit suisse, permet la revue de contrats assistée par IA, la signature électronique qualifiée et l'archivage dans un coffre-fort hébergé en Suisse. Les données restent en Suisse et ne servent pas à entraîner un modèle tiers.
Générez un document, faites relire un contrat, signez en ligne : sur une base égale suisse, hébergée en Suisse. Quinze jours d'essai pour tester notre solution AI.
Ce contenu est informatif et ne remplace pas un conseil juridique individualisé. Pour une situation spécifique, faites valider votre cas par un·e professionnel·le du droit avec LegalPass. Les notions citées (nLPD, art. 321a, 398 et 717 CO, Cloud Act, signature électronique qualifiée) relèvent du droit suisse et doivent être confirmées au cas par cas. Les données statistiques proviennent de l'étude Qualinsight 2026 et du Baromètre RH 2026 du canton de Vaud (Michael Page × FPV).

ChatGPT, Gemini et Claude hallucinent sur le droit suisse. Découvrez pourquoi une plateforme juridique suisse comme LegalPass sécurise vos contrats.

Vos collaborateurs utilisent déjà l'IA générative en y collant des documents pleins de données personnelles (noms, adresses, salaires, santé), ce qui crée une fuite silencieuse — sans pirate, juste un copier-coller. Or la nLPD, en vigueur depuis le 1er septembre 2023, encadre ce type de traitement pour toute entreprise traitant des données de personnes en Suisse, avec des amendes visant les responsables. L'anonymisation des données est la parade : elle supprime la donnée personnelle avant transmission, donc le risque à la racine.