17 mars 2026
DeepSeek : l'application qui dévore votre entreprise...
1 million de données fuitées, vos codes sources en Chine et une sanction de 4% de votre CA qui n'attend que vous.
En phase d'hyper-croissance, on embauche, on équipe, on accélère. Ce que l'on ne voit pas : chaque nouvelle recrue arrive avec ses outils IA, ses habitudes, ses réflexes. Et la gouvernance IT ne suit jamais le rythme des recrutements.
Résultat : votre surface d'exposition aux fuites de données grandit exactement au même rythme que vos effectifs.
DeepSeek : le révélateur d'un problème qui vous concerne directement
Le 20 janvier 2025, DeepSeek lance son modèle R1, performances comparables à GPT-4, gratuit, accessible en deux clics. En quelques jours, il devient l'application la plus téléchargée sur l'App Store américain. Vos collaborateurs l'ont essayé avant que vous ne sachiez qu'il existait.
Dix jours plus tard, la société de cybersécurité Wiz découvre une base de données DeepSeek accessible publiquement, sans aucune authentification.
Plus d'un million d'entrées exposées : historiques de conversations, clés API, données opérationnelles. Tout en clair, disponible pour n'importe qui sachant où chercher. La faille a été corrigée en moins d'une heure, une fois signalée.
Mais pendant combien de temps était-elle ouverte ? Personne ne le sait.
Ce n'est pas une anecdote sur la sécurité d'un acteur chinois.
C'est le miroir de ce qui se passe dans vos équipes : des outils adoptés massivement, en quelques jours, sans validation IT, sans accord de traitement des données, sans que personne n'ait posé la question "et si ça fuite ?".
Et la CNIL française a ouvert une enquête sur DeepSeek dans la foulée, pour non-conformité au RGPD. Les données des utilisateurs ? Stockées sur des serveurs en Chine.
Ce détail a son importance : dès lors que vos collaborateurs utilisent un outil IA sans accord de traitement des données signé, vous êtes en infraction caractérisée au RGPD, indépendamment de l'outil choisi. Les sanctions peuvent atteindre 4 % du chiffre d'affaires mondial.
Ce n'est plus un risque théorique : la CNIL a prononcé plusieurs mises en demeure sur ce motif précis en 2024.
Ce que vos collaborateurs font vraiment avec l'IA
Les chiffres sont difficiles à ignorer. Selon une étude Harmonic Security portant sur les prompts réellement envoyés aux LLM, 45,8 % des requêtes risquent d'exposer des données clients. Et dans les entreprises qui interdisent formellement l'IA, 43 % des employés continuent de l'utiliser malgré tout.
Un commercial qui colle sa base prospects dans ChatGPT pour affiner une segmentation. Un ingénieur qui partage du code propriétaire pour débugger plus vite. Un responsable RH qui charge un CV dans DeepSeek pour rédiger un retour candidat.
Chacun gagne dix minutes. L'entreprise, elle, perd le contrôle de ses données.
Ce comportement n'est pas de la malveillance. C'est de l'efficacité. Et c'est précisément pour ça que l'interdiction seule ne fonctionne pas.
L'hyper-croissance aggrave le phénomène. Quand vous doublez vos effectifs en dix-huit mois, vous n'avez pas le temps de former chaque collaborateur aux bonnes pratiques IA avant qu'il ne soit opérationnel. Il fait ce qu'il sait faire. Il utilise les outils qu'il connaît.
Quatre actions pour reprendre la main sans freiner la machine
Le Shadow AI ne se résout pas par l'interdiction.
Il se résout par la substitution : donnez à vos équipes un chemin sécurisé aussi simple que l'outil qu'elles utilisent en ce moment.
1. Cartographiez avant de décider:
Vous ne savez probablement pas quels outils IA sont utilisés dans votre organisation. Si vous disposez d'un proxy ou d'une solution DLP, un audit des flux sortants sur deux semaines vous donnera une image réelle. Si ce n'est pas encore en place, une alternative rapide existe : un sondage anonyme auprès des managers de département, avec trois questions simples (quels outils, pour quels usages, à quelle fréquence), prend 48 heures et couvre 80 % du terrain.
Ce n'est pas parfait, mais c'est suffisant pour prioriser. Sans ce point de départ, toute politique est aveugle.
2. Instaurez une liste blanche, pas une liste noire :
Interdire ChatGPT ne sert à rien si vous ne proposez pas d'alternative. Définissez les outils autorisés, documentez-les, et communiquez sur les raisons. Une charte d'usage sans outil de remplacement ne tient pas six mois.
3. Traitez le problème à la source, en temps réel :
La vraie question n'est pas "quel outil utilise mon collaborateur ?" mais "quelles données lui permettre d'envoyer ?". Il existe pour cela une catégorie d'outils spécifiques, les proxys d'anonymisation pour LLM, qui s'intercalent entre l'utilisateur et le modèle IA.
Avant que le prompt parte vers ChatGPT ou un autre service, l'outil détecte et masque automatiquement les éléments sensibles : noms, références contractuelles, données financières, identifiants RH. L'IA reçoit un texte dépouillé. Le collaborateur obtient sa réponse. Vous gardez le contrôle de ce qui sort, sans avoir à bloquer l'usage.
4. Ne traitez pas tout à la fois :
Identifiez les deux ou trois services qui concentrent le plus de données sensibles (RH, finance, R&D selon votre secteur) et commencez par là. Un pilote ciblé sur six semaines est plus efficace et plus acceptable qu'un déploiement global mal préparé. Et il vous donnera les arguments pour convaincre les équipes récalcitrantes.
La dimension organisationnelle compte autant que la technique. La DSI et les managers métier doivent construire cette gouvernance ensemble. Une politique imposée d'en haut sans dialogue avec les utilisateurs finaux est contournée en quarante-huit heures.
Ce que Bosl.ai apporte concrètement dans ce contexte
C'est exactement ce type de problème qu'akawan a outillé avec Bosl.ai.
Le principe : une couche d'anonymisation qui s'intercale entre vos collaborateurs et les LLM qu'ils utilisent, en temps réel, sans modifier leurs habitudes de travail.
Concrètement, avant que le prompt parte vers ChatGPT, Gemini ou un autre modèle, Bosl.ai détecte et masque les données sensibles : noms, données financières, informations RH, références projets. L'IA reçoit un prompt dépouillé des éléments identifiants.
Le collaborateur obtient sa réponse. Vous gardez le contrôle de ce qui sort.
La solution existe en SaaS pour un déploiement rapide, en On-Premise pour les environnements qui exigent que rien ne sorte du périmètre, et sous forme de plugin Chrome pour les équipes qui travaillent directement sur ChatGPT. Pour les organisations qui veulent zéro contact avec des IA externes, l'option Bosl.ai ECO repose sur un modèle souverain entièrement en interne.
Chez akawan, on ne livre pas l'outil seul. On commence par analyser vos flux réels, on identifie les données les plus exposées, et on co-construit le périmètre de déploiement avec vos équipes IT et métier. C'est ce qui fait la différence entre un outil qu'on installe et un dispositif qui tient dans la durée.
La croissance ne ralentira pas. La gouvernance, elle, peut aller vite.
Le Shadow AI n'est pas un problème de demain. Il est actif aujourd'hui, dans vos équipes, sur les outils que vous n'avez pas encore recensés. Plus votre organisation grossit, plus le problème s'étend.
La bonne nouvelle : il n'est pas nécessaire de tout résoudre en même temps. Un périmètre ciblé, une couche de protection efficace, et une gouvernance construite avec les utilisateurs plutôt que contre eux suffisent à réduire significativement le risque.
Vos équipes veulent aller vite. Donnez-leur un chemin sécurisé pour le faire.
