Le « Shadow IT » en entreprise : le risque juridique ignoré par les dirigeants

Dans une PME, la priorité est l’agilité. Pour collaborer, les équipes utilisent les outils les plus simples : WhatsApp pour la communication interne, Google Drive personnel pour partager un fichier lourd, Trello pour gérer un projet, ou une simple clé USB. Ces pratiques peuvent contribuer au phénomène du shadow IT en entreprise.

Cette pratique, connue sous le nom de « Shadow IT » (l’informatique fantôme), désigne l’utilisation de logiciels, applications ou services cloud sans l’approbation et en dehors du contrôle de la direction.

Si cette agilité semble bénéfique à court terme, elle expose l’entreprise à des risques juridiques et financiers majeurs. Le dirigeant méconnaît souvent ces risques, dont il reste pourtant le premier responsable.

1. La Violation massive du RGPD

Lorsqu’un commercial utilise son compte Google Drive personnel pour stocker le fichier clients, ou qu’un manager utilise WhatsApp pour gérer les plannings de l’équipe, ces pratiques exposent les données personnelles de l’entreprise (clients et salariés) à un traitement sur des serveurs non maîtrisés.

• Perte de contrôle : L’entreprise ne peut plus garantir la sécurité des données (qui y accède ?).
• Non-conformité : Il devient impossible de répondre aux droits des personnes (droit d’accès, droit à l’oubli) si les données sont éparpillées sur des comptes personnels.
• Transferts Hors UE : Ces services (souvent américains) peuvent impliquer des transferts de données hors de l’Union Européenne. Malheureusement, ces transferts se font sans les garanties légales requises.

2. Concurrence Déloyale et Fuite de Savoir-Faire

Le « Shadow IT » est la porte ouverte au détournement d’actifs immatériels. Un salarié ou un associé qui part à la concurrence n’a même plus besoin de « voler » des fichiers : ils sont déjà sur ses comptes personnels (Dropbox, Google Drive) ou son téléphone.

La jurisprudence démontre que ces outils sont au cœur du contentieux. La Cour d’appel de Bordeaux (4e Ch. com., 29 mai 2017, n° 15/00043) a ainsi retenu la concurrence déloyale d’un ex-associé parti avec l’ordinateur et le téléphone portable de la société. La Cour a relevé que, peu importe la propriété des appareils, « ils lui ont été utiles pour maintenir les contacts avec les clients, ce qui ressort notamment de la présentation de certains devis proposés à l’identique »².

L’utilisation d’outils non maîtrisés par l’entreprise devient le mode opératoire du détournement. Structurer les accès n’est pas seulement une obligation RGPD. En effet, c’est aussi une mesure de protection de base de la propriété intellectuelle de l’entreprise.

3. La Sanction de la Faute (et la Responsabilité du Dirigeant)

Le fait que l’entreprise n’ait « pas été mise au courant » de l’utilisation de ces outils n’est pas une défense. Au contraire, cela démontre un défaut d’organisation et un manquement à l’obligation de sécurité (Article 32 du RGPD).

La seule parade efficace est la mise en place d’une Charte Informatique claire. Cette charte doit interdire ou encadrer strictement l’usage d’outils personnels à des fins professionnelles. C’est cette charte qui permet de sanctionner la faute.

Les juridictions sont sévères lorsque ces règles sont violées :

• La Cour d’appel de Bordeaux (Ch. soc., 26 fév. 2020, n° 17/02270) a validé un licenciement pour faute grave d’un salarié ayant massivement transféré des données « hautement sensibles » de sa messagerie professionnelle vers sa messagerie privée. La cour a qualifié ce comportement de « gravissime et déloyal »³.
  
• Dans le même sens, la Cour d’appel d’Aix-en-Provence (9e Ch., 12 fév. 2016, n° 14/00255) a confirmé une faute lourde pour la transmission d’informations confidentielles (données à un concurrent) via des courriels personnels. Cela s’est fait en violation de la clause de confidentialité et de la charte informatique⁴.
  
• Plus récemment, la Cour d’appel de Bordeaux (Ch. soc., 2 fév. 2023, n° 20/04537) a retenu la faute grave d’une salariée ayant utilisé son adresse personnelle depuis son poste de travail. Elle avait envoyé un fichier client stratégique à une société concurrente⁵.
  

Ces décisions prouvent que sans charte claire, le dirigeant est démuni. Avec une charte, il dispose d’un fondement pour sanctionner et d’une preuve de sa diligence en cas de contrôle.

De l’Agilité Fantôme à l’Agilité Maîtrisée

Le « Shadow IT » n’est pas un problème technique, c’est un problème de gouvernance. L’interdire totalement est souvent illusoire, mais l’ignorer est une faute stratégique.

Pour le dirigeant de PME :

1. Auditer les usages : Interroger les équipes sur les outils qu’elles utilisent réellement pour travailler.
2. Évaluer le risque : Quels outils posent un problème de sécurité ou de conformité (RGPD, propriété intellectuelle, concurrence) ?
3. Fournir des alternatives : Si les équipes utilisent des outils « fantômes », c’est souvent parce que les outils officiels ne sont pas adaptés. Par conséquent, fournir des solutions cloud sécurisées, maîtrisées et validées par contrat (avec les bons DPA – Data Processing Agreement) est la seule solution viable.
4. Former et Encadrer : Établir une charte informatique claire, la faire signer, et rappeler que l’utilisation d’outils non validés engage la responsabilité du salarié et met en danger l’entreprise.

Reprendre le contrôle de son « informatique fantôme », c’est reprendre le contrôle de ses actifs numériques et de son risque juridique.