Shadow IT : quand vos données quittent l’entreprise sans vous demander la permission
Votre collaborateur n’a pas fait d’erreur. Il a juste envoyé un fichier.
C’est exactement le problème.
La comptabilité de votre client est sur les serveurs de qui ?
La scène est banale : une fiduciaire doit transmettre un dossier comptable à son client. Le fichier est trop lourd pour une pièce jointe. Le collaborateur connaît WeTransfer, l’a déjà utilisé cent fois, ça prend trente secondes. Lien généré, fichier parti.
Ce fichier contient les comptes annuels, les salaires, les marges, les coordonnées bancaires. Il est maintenant stocké sur les serveurs d’une plateforme tierce, dans une infrastructure que la fiduciaire ne contrôle pas, sous des conditions d’utilisation que personne n’a relues depuis la première inscription.
En juillet 2025, WeTransfer a modifié ses conditions pour s’accorder une licence très large sur les fichiers transmis : perpétuelle, transférable, sous-licenciable, couvrant notamment l’amélioration de modèles de machine learning. De nombreux médias ont relayé la controverse. Face à la pression publique, WeTransfer a reculé en quelques jours et affirme aujourd’hui ne pas utiliser les fichiers pour entraîner des IA.
Mais voilà ce qui devrait retenir votre attention : la modification avait été introduite discrètement, sans notification. Sans la polémique, combien d’utilisateurs l’auraient remarquée ? Et si WeTransfer l’a fait une fois, quels autres services l’ont fait, ou le feront, sans que personne ne réagisse assez fort pour les faire reculer ?
Ce n’est pas une question rhétorique. C’est la structure du problème.
Ce que « juste un outil en ligne » veut dire juridiquement
Autre cas, encore plus courant. Un collaborateur reçoit un contrat PDF non éditable. Il cherche « modifier PDF en ligne », dépose le document sur l’un des dizaines de services disponibles, fait sa modification, retélécharge. Deux minutes, problème réglé.
Le contrat, potentiellement confidentiel, a transité par une plateforme dont les pratiques de conservation des données ne sont précisées nulle part dans l’interface. Combien de temps le fichier reste-t-il accessible sur leurs serveurs ? Qui y a accès ? Sous quelle juridiction ?
Ce n’est pas un cas extrême. C’est ce qui se passe tous les jours dans des dizaines de PME, sans que personne ne le considère comme un incident, parce que ça n’en a pas l’air.
Pourquoi vos collaborateurs font ça, et pourquoi c’est votre problème
Le shadow IT désigne l’ensemble des outils utilisés par vos équipes sans validation IT ou direction. Ce n’est pas de la négligence. C’est une réponse rationnelle à un outillage insuffisant : si personne ne leur a fourni d’alternative qui fonctionne aussi simplement, ils utilisent ce qu’ils trouvent.
Le résultat concret, c’est une cartographie des données d’entreprise que vous ne maîtrisez plus : documents clients sur des comptes cloud personnels, analyses financières partagées par messagerie privée, contrats traités sur des plateformes en ligne. Pris isolément, chacun de ces actes semble anodin. Cumulés, ils représentent une surface d’exposition sur laquelle vous n’avez ni contrôle ni visibilité.
Et si un client vous demande de démontrer où sont stockées ses données dans le cadre d’un audit ou d’un appel d’offres, « nos collaborateurs utilisent parfois des outils en ligne » n’est pas une réponse recevable.
Ce que ça coûte, concrètement
Pas nécessairement une amende. Souvent quelque chose de plus immédiat.
Un partenaire qui découvre que des données partagées sous accord de confidentialité ont transité par un service tiers peut invoquer une violation contractuelle. Un client grand compte peut exiger des garanties de conformité que vous n’êtes pas en mesure de fournir, et aller chercher ailleurs. Un collaborateur qui quitte l’entreprise emporte avec lui les accès aux outils cloud qu’il utilisait en dehors du périmètre officiel, sans que personne ne sache exactement ce qu’il avait déposé où.
Ces situations n’exigent pas une cyberattaque sophistiquée. Elles se produisent avec des comportements ordinaires, dans des entreprises ordinaires, par des gens qui font leur travail correctement.
Reprendre le contrôle sans bloquer le travail
La réponse n’est pas d’interdire. Une politique d’interdiction sans alternative génère de la frustration et pousse à des contournements encore moins visibles. La réponse, c’est de proposer des outils qui fonctionnent aussi bien que ceux que les collaborateurs trouvent eux-mêmes.
Remplacer, pas interdire
Un outil de transfert sécurisé hébergé sur votre infrastructure fait exactement ce que fait WeTransfer, mais les fichiers restent dans votre périmètre. Les accès sont traçables, les règles de conservation sont les vôtres. Pour le traitement de documents, une licence PDF en volume couvre les usages courants sans recourir à des plateformes en ligne.
Nommer clairement ce qui est autorisé
Un document simple qui liste les outils validés pour les usages courants. Pas un règlement de quarante pages. Une référence que les collaborateurs consultent quand ils cherchent un outil, avant de partir sur Google.
Expliquer avec un exemple réel
Une session de sensibilisation courte, qui prend l’épisode WeTransfer comme point de départ, crée plus d’impact durable qu’une politique IT affichée sur l’intranet. Les collaborateurs retiennent les histoires concrètes, pas les règles abstraites.
Cartographier avant de décider
Recensez ce qui existe. Quels outils vos équipes utilisent-elles vraiment ? Certains sont légitimes mais hors cadre. D’autres peuvent être remplacés. C’est le seul point de départ qui évite de légiférer dans le vide.
Ce que PVS peut mettre en place pour vous
Le sujet du shadow IT est devenu de plus en plus concret pour nos clients ces derniers mois. Des outils populaires qui modifient leurs conditions, des collaborateurs qui travaillent de plus en plus en mode hybride, des usages cloud qui se multiplient sans cadre : le contexte pousse naturellement vers une réponse structurée.
Nous avons développé en réponse une gamme de solutions internes qui couvrent les usages les plus courants : partage sécurisé de fichiers volumineux, traitement de documents pdf , et d’autres cas d’usage qui amènent habituellement les collaborateurs à sortir du périmètre de l’entreprise. Tout est hébergé localement, les données ne quittent pas votre infrastructure, les accès sont traçables.
Ces solutions sont incluses sans surcoût dans nos contrats Trust illimité. Pour les autres configurations, elles sont disponibles sur devis.
Si vous voulez savoir où en est votre entreprise sur ce sujet, c’est par là que ça commence : un appel de 15 minutes et vous avez une image claire de ce qui sort de votre périmètre et de ce qui peut être maîtrisé.
Questions fréquentes
Qu’est-ce que le shadow IT exactement ? Le shadow IT désigne tous les outils et services numériques utilisés par des collaborateurs sans validation de la direction ou du responsable IT. Messageries personnelles pour des échanges professionnels, stockage cloud non contractualisé, plateformes en ligne pour traiter des documents : ce sont les cas les plus fréquents en PME.
WeTransfer est-il illégal à utiliser dans un contexte professionnel ? Son utilisation n’est pas illégale en soi. Le problème est contractuel et réglementaire : si des données personnelles ou confidentielles transitent par une plateforme tierce sans accord de traitement des données adapté, cela peut constituer une violation du RGPD et de vos obligations envers vos clients.
Comment savoir si mon entreprise est concernée par le shadow IT ? Posez la question à vos collaborateurs : quels outils utilisent-ils pour des tâches que les outils internes ne couvrent pas facilement ? La réponse est presque toujours révélatrice. Un audit des flux sortants au niveau réseau peut également identifier les plateformes externes régulièrement sollicitées.
Faut-il tout bloquer pour se protéger ? Non, et ce serait contre-productif. Le blocage sans alternative génère de la frustration et pousse à des contournements encore moins visibles. La bonne approche : identifier les usages réels, fournir des alternatives adaptées, informer les collaborateurs.
