Découverte du shadow AI
Nous identifions quels outils d'IA l'équipe utilise déjà, à quelle fréquence et avec quel type de données, sans montrer personne du doigt.
Le shadow AI, c'est l'usage de ChatGPT, Copilot ou de toute autre IA sans passer par le contrôle de l'entreprise. Nous plaçons une porte d'entrée unique devant les modèles d'IA pour savoir quels outils sont utilisés, par qui et quelles données en sortent.
Quand une personne de votre équipe colle un contrat, une base clients ou le code source dans une IA gratuite, ces données quittent votre périmètre sans que personne ne le sache. Ce n'est pas de la mauvaise foi : l'outil résout le problème plus vite que le canal officiel. Le vrai risque n'est pas que l'IA soit utilisée, c'est qu'elle le soit sans contrôle : fuite d'informations confidentielles, non-respect du RGPD si des données personnelles sont en jeu, et zéro traçabilité si quelque chose tourne mal.
Un AI Gateway est la couche qui se place entre votre équipe et les modèles d'IA. Il filtre les données qui peuvent sortir, décide quels outils sont autorisés par rôle ou service, enregistre chaque requête pour pouvoir l'auditer ensuite et applique les politiques d'usage définies par l'entreprise au lieu de les laisser à l'appréciation de chacun. Il ne s'agit pas de bloquer l'IA : il s'agit que tout le monde l'utilise, mais par le canal que vous contrôlez.
L'article 4 du Règlement (UE) 2024/1689 (AI Act), applicable depuis le 2 février 2025, oblige les fournisseurs et les déployeurs à garantir un niveau suffisant de maîtrise de l'IA chez leur personnel. Un gateway sans politique d'usage ni critère derrière ne couvre pas cette obligation : nous accompagnons les deux volets, le technique et la gouvernance. Et l'autorité espagnole de protection des données (AEPD) recommande expressément de ne pas introduire d'informations confidentielles de l'entité ni de données de salariés ou de clients dans des outils d'IA non contrôlés.
Si des données personnelles transitent par ces outils, entrent en jeu la minimisation de l'article 5 du RGPD, le contrat de sous-traitance de l'article 28 lorsque le fournisseur d'IA traite les données pour votre compte, et les garanties de transfert international si le fournisseur est hors de l'UE.
Nous commençons par une découverte du shadow AI : quels outils l'équipe utilise déjà, à quelle fréquence et avec quel type de données, sans montrer personne du doigt. Sur cette base, nous construisons la politique d'usage, la configuration du gateway et les journaux d'audit nécessaires pour démontrer, si besoin, ce qui a été fait et pourquoi. L'objectif est de réduire le risque réel de fuite et de vous couvrir face à l'AI Act et au RGPD, pas de promettre une conformité que personne ne peut certifier à l'avance.
Nous identifions quels outils d'IA l'équipe utilise déjà, à quelle fréquence et avec quel type de données, sans montrer personne du doigt.
Nous définissons quels outils sont autorisés par rôle ou service et quelles données ne peuvent pas en sortir.
Nous mettons en place la porte d'entrée unique vers les modèles d'IA, avec le filtrage des données sensibles déjà défini dans la politique.
Nous activons les journaux d'audit de chaque requête, pour pouvoir montrer ce qui a été fait et pourquoi si nécessaire.
Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.
Découverte du shadow AI
Cartographie des outils d'IA utilisés par l'équipe, de leur fréquence et des données concernées.
Politique d'usage de l'IA
Document listant les outils autorisés par rôle ou service et les données qui ne peuvent pas en sortir.
Configuration de l'AI Gateway
Mise en place de la porte d'entrée unique avec filtrage des données sensibles.
Journaux d'audit
Traçabilité de chaque requête effectuée via le gateway.
Révision des contrats de sous-traitance
Vérification des contrats de l'article 28 du RGPD avec les fournisseurs d'IA qui traitent des données personnelles.
Session d'information sur la maîtrise de l'IA
Explication ponctuelle au personnel sur l'usage autorisé de l'IA, alignée sur l'article 4 de l'AI Act.
L'usage d'outils d'intelligence artificielle —ChatGPT, Gemini, Copilot ou autres— par des salariés ou des services sans approbation ni supervision de l'entreprise, en dehors de toute politique interne.
L'article 4 de l'AI Act impose depuis le 2 février 2025 que le personnel utilisant des systèmes d'IA ait un niveau de connaissance adapté à son rôle et au risque du système. La plupart des obligations du règlement s'appliquent à partir du 2 août 2026, et le cadre de gouvernance et de sanctions —coordonné en Espagne par l'AESIA— se déploie par phases depuis le 2 août 2025. Nous vous aidons à construire cette couverture de façon documentée.
Non. Le gateway est la pièce technique qui applique la politique ; sans politique derrière, il ne fait que filtrer le trafic sans critère. Nous travaillons les deux ensemble.
C'est la situation la plus fréquente, pas une exception. Nous commençons par une découverte qui ne pointe personne du doigt, et nous migrons cet usage vers des outils gouvernés au lieu de l'interdire d'un coup.
Si des données personnelles de clients ou de salariés transitent par ces outils, s'appliquent la minimisation des données de l'article 5, le contrat de sous-traitance de l'article 28 lorsque le fournisseur d'IA traite ces données pour votre compte, et les garanties de transfert international lorsque le fournisseur est hors de l'UE. Le gateway aide à ce que ces flux restent contrôlés et journalisés.