Shadow AI en RH : comment contrer cette pratique à risque très répandue

Le "Shadow AI" ou l'IA Fantôme en RH représente aujourd'hui un enjeu critique pour les directeurs des ressources humaines canadiens et québécois.

Avec 70% des professionnels RH utilisant déjà l'IA générative et 50% des employés recourant à des outils non autorisés, la gestion des risques liés au "Shadow AI" dans l'environnement de travail devient prioritaire pour les RH.

Usages du "Shadow AI" en RH : État des Lieux

Les chiffres sont éloquents :

• 81% des responsables RH explorent des solutions d'IA (Gartner 2023), tandis que 38% des employés partagent des informations sensibles avec des outils d'IA sans autorisation.

• L'utilisation d'IA générative a bondi de 74% à 96% entre 2023 et 2024, intensifiant les risques du Shadow AI en RH.

  
  

Risques Critiques du "Shadow AI en RH"

Violations de données et non-conformité légale

Le Shadow AI en RH expose les organisations à des fuites de données personnelles sensibles :

1. Données nominatives, Coordonnées, Adresses,

2. Parcours personnels et professionnels

3. Salaires,

4. Évaluations, Notes, Commentaires, Compétences,

5. Dossier disciplinaire et relations de travail

6. Dossiers médicaux,

7. Informations de recrutement,

8. Données de coaching et de développement,

9. etc.

Une entreprise sur cinq a déjà subi une fuite de données liée à l'IA générative non autorisée.

La non-conformité à la PIPEDA (fédéral) et à la Loi 25 (Québec) représente un risque majeur. La Loi 25 exige la désignation d'un responsable de protection des données, des politiques de gouvernance strictes, et un consentement éclairé. Les sanctions peuvent atteindre 20

millions d'euros ou 4% du chiffre d'affaires mondial.

Biais et atteinte à la réputation

Les outils d'IA non validés peuvent générer des biais discriminatoires dans le recrutement et l'évaluation, exposant l'organisation à des recours juridiques et à une atteinte réputationnelle significative.

Solutions gratuites vs payantes : Gestion des risques

Les solutions gratuites (ChatGPT de base) présentent des risques accrus pour le Shadow AI en RH car elles utilisent souvent les données pour améliorer leurs modèles. Les versions payantes offrent de meilleures garanties de confidentialité et des accords de traitement plus stricts, mais nécessitent une évaluation selon les critères de la Loi 25, notamment l'EFVP (Évaluation des Facteurs relatifs à la Vie Privée).

Plan d'action "anti-shadow AI" en RH

1. Gouvernance et Politiques

• Désigner un responsable de protection des données (Loi 25) et établir des politiques claires définissant les outils autorisés et les procédures de validation.

2. Formation et Sensibilisation

• Déployer un programme de formation spécifique au Shadow AI en RH couvrant les risques de sécurité, les obligations PIPEDA/Loi 25, et les bonnes pratiques.

3. Solutions Autorisées et Surveillance

• Proposer des alternatives sécurisées conformes aux exigences canadiennes et québécoises, tout en implémentant des outils de surveillance pour détecter l'utilisation non autorisée.

Conclusion

Le Shadow AI en RH constitue un défi majeur nécessitant une approche proactive combinant gouvernance, formation et solutions autorisées. Les DRH et CRHO qui anticipent ces enjeux transformeront les risques en opportunités d'innovation sécurisée, préservant la conformité PIPEDA/Loi 25 et la confiance des employés.

Consulter notre série d'article sur l'IA en RH :

Précisez et chiffrez votre stratégie SIRH et IA en RH : écrivez nous, planifiez un rendez-vous pour discuter de vos besoins, abonnez-vous à notre infolettre et téléchargez dès maintenant l’une de nos cartographies SIRH 2025 ici → https://www.nexarh.com/cartographies-hr-tech-hcm-talent