Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 3 juin 2026
Accueil/RGPD/GitHub Copilot et RGPD : guide DPO 2026
RGPD

GitHub Copilot et RGPD : guide DPO 2026

GitHub Copilot est-il conforme au RGPD ? Analyse du DPA, traitement du code, données personnelles dans les prompts, AIPD et bonnes pratiques pour DSI et DPO.

Par Thiébaut DevergrannePublie le 3 juin 2026Mis a jour le 3 juin 202611 min de lecture
Sommaire
  1. Qualification juridique : GitHub sous-traitant
  2. Le risque RGPD spécifique : les données personnelles dans le code
  3. Engagements Microsoft pour Copilot Business et Enterprise
  4. Analyse du DPA au regard de l’article 28
  5. Transferts hors UE et localisation
  6. AIPD : quand est-elle requise ?
  7. Risque propriété intellectuelle distinct du RGPD
  8. Recommandations opérationnelles pour DSI et DPO
  9. Cas particuliers
  10. FAQ : GitHub Copilot et RGPD

GitHub Copilot est devenu l’outil d’assistance au développement le plus largement déployé dans les équipes tech, des startups aux grandes ETI françaises. Intégré nativement à VS Code, JetBrains, Visual Studio et Neovim, l’assistant propose des suggestions de code, des complétions de fonctions, des explications et désormais une interface conversationnelle (Copilot Chat). Pour le responsable de traitement, le DPO et la DSI, GitHub Copilot soulève des questions RGPD spécifiques qui ne se posent pas pour les autres outils IA grand public.

Dans ma pratique de conseil auprès de DPO d’entreprises tech françaises, GitHub Copilot soulève trois questions structurantes : la qualification juridique de GitHub (entité Microsoft) au regard des suggestions générées et de la télémétrie collectée, la présence éventuelle de données personnelles dans le code et les prompts (logs, exemples, configurations), et l’articulation entre le risque RGPD et le risque de propriété intellectuelle (suggestions reproduisant du code d’entraînement). Ce guide propose une analyse opérationnelle pour le DSI souhaitant déployer Copilot tout en maintenant la conformité.

Pour une vue d’ensemble des enjeux IA et RGPD, voir Microsoft 365 Copilot, Claude IA et RGPD et notre actualité AI Act 2026.

Qualification juridique : GitHub sous-traitant

Le statut au sens de l’article 28 RGPD

GitHub, Inc. (filiale de Microsoft Corporation) — via son entité contractante européenne GitHub B.V. (Pays-Bas) — agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour les abonnements Copilot Business et Copilot Enterprise. Votre organisation détermine les finalités (assistance au développement, automatisation des tâches répétitives, génération de code de test) et les moyens essentiels (qui dispose d’une licence, dans quels environnements, sur quels dépôts). GitHub fournit l’infrastructure et traite les données selon les instructions documentées du client.

Pour le plan Copilot Individual (achat par un développeur individuel pour son usage personnel), la qualification est différente : GitHub est responsable de traitement vis-à-vis du développeur (cocontractant direct), et le contexte professionnel n’est généralement pas couvert par un DPA dédié. Pour un usage en entreprise, le passage à Copilot Business ou Enterprise est juridiquement requis pour activer le cadre article 28.

Périmètre fonctionnel : ce que Copilot voit

Comprendre ce que GitHub Copilot voit conditionne l’analyse RGPD. Concrètement :

  • Le code en cours d’édition dans l’IDE (fichier ouvert, fichiers du même répertoire, contexte du projet)
  • Les prompts soumis dans Copilot Chat
  • La télémétrie d’usage (suggestions acceptées, rejetées, modifiées) — anonymisée et désactivable au niveau Business/Enterprise
  • Les fichiers explicitement référencés par l’utilisateur dans Copilot Chat

Copilot ne voit pas :

  • Les fichiers non ouverts ou non référencés (sauf indexation explicite)
  • L’historique git complet
  • Les bases de données ou les systèmes connectés
  • Les secrets stockés dans des variables d’environnement (sauf s’ils figurent dans le code visible)

Le risque RGPD spécifique : les données personnelles dans le code

C’est le sujet le plus souvent sous-estimé. Le code en cours d’édition peut contenir des données personnelles à plusieurs titres :

Sources fréquentes de données personnelles dans le code

  • Données de test ou de seed : noms, emails, identifiants insérés en dur dans les fichiers de test
  • Configuration et secrets : adresses email d’administrateurs, identifiants de production
  • Logs et exemples : extraits de logs contenant des données utilisateur, exemples de payloads avec IP ou emails
  • Documentation inline : commentaires mentionnant des cas réels avec données identifiables
  • Migrations de base de données : scripts SQL contenant des données réelles pour test
  • Fixtures de test : fichiers JSON, CSV, YAML avec des données réelles

Lorsque Copilot envoie le contexte du fichier édité à son API, ces données personnelles sont transmises à GitHub comme prompt. Cela ne constitue pas nécessairement un manquement RGPD — Microsoft est sous-traitant et le traitement est encadré — mais cela ajoute une finalité (assistance au développement) qui doit être documentée dans le registre, et un sous-traitant supplémentaire à inventorier.

Recommandations opérationnelles

  1. Politique de hygiène code : interdire les données réelles dans les fichiers de test, fixtures, migrations
  2. Génération de données synthétiques : utiliser des outils comme Faker ou des générateurs internes pour produire des données de test
  3. Pseudonymisation des logs d’exemple : remplacer les données identifiantes par des placeholders
  4. Restriction des dépôts : ne pas activer Copilot sur les dépôts contenant des extraits de production sensibles

Engagements Microsoft pour Copilot Business et Enterprise

Microsoft a renforcé significativement les engagements pour les plans entreprise. Pour les abonnements Business et Enterprise :

  • Pas d’entraînement des modèles sur les prompts ou les complétions des utilisateurs
  • Pas de rétention des prompts au-delà de la session (purgé après réponse)
  • Pas d’usage cross-customer : aucune complétion d’un client ne peut être suggérée à un autre
  • Filtres de duplication : détection et exclusion des suggestions reproduisant exactement du code d’entraînement (réduit le risque PI mais ne l’élimine pas)
  • Logs d’audit : disponibles au niveau Enterprise pour les contrôles internes
  • EU Data Boundary : étendue à GitHub Copilot dans le cadre du déploiement Microsoft EU Data Boundary

Pour le plan Individual, ces engagements sont plus limités — d’où la nécessité de basculer vers les plans entreprise pour un usage professionnel.

Analyse du DPA au regard de l’article 28

Le DPA applicable à GitHub Copilot Business et Enterprise est intégré au Microsoft Products and Services Data Protection Addendum. Évaluation :

Exigence Art. 28 RGPD Couverture DPA Microsoft/GitHub Évaluation
Traitement uniquement sur instruction documentée (28.3.a) Oui, périmètre fixé par le contrat Conforme
Confidentialité du personnel (28.3.b) Engagements Microsoft, NDA salariés Conforme
Mesures de sécurité Art. 32 (28.3.c) SOC 2 Type II, ISO 27001, FedRAMP, certifications GitHub Conforme
Autorisation sous-sous-traitance (28.3.d) Liste publiée, OpenAI exclu comme sous-traitant pour Copilot Business+ Conforme
Aide à l’exercice des droits (28.3.e) API de gestion, suppression utilisateur Conforme
Aide aux Art. 32-36 (28.3.f) Notification de violation sous 72h Conforme
Suppression en fin de prestation (28.3.g) Procédure documentée post-résiliation Conforme
Audit du sous-traitant (28.3.h) Rapports SOC, audits encadrés Conforme

Le DPA atteint le niveau attendu pour un sous-traitant majeur, à condition d’utiliser les plans entreprise.

Transferts hors UE et localisation

GitHub Copilot opère sur l’infrastructure Microsoft Azure avec extension progressive de l’EU Data Boundary aux services Copilot. En 2026, la majorité du traitement Copilot pour les clients EU se déroule en zone UE. Les opérations résiduelles hors UE (support, monitoring, certaines fonctionnalités) sont couvertes par :

  1. Data Privacy Framework (DPF) — Microsoft est certifié
  2. Clauses contractuelles types (CCT 2021/914) — incluses dans le DPA

Pour les organisations particulièrement sensibles, vérifier la couverture EU Data Boundary spécifique à Copilot dans la documentation Microsoft à jour.

AIPD : quand est-elle requise ?

Le déploiement de GitHub Copilot ne déclenche pas automatiquement l’obligation d’AIPD pour la majorité des cas d’usage standard (assistance au développement, productivité). L’AIPD devient obligatoire ou fortement recommandée dans les situations suivantes :

Cas d’AIPD obligatoire

  • Copilot utilisé pour générer du code traitant des données sensibles (santé, biométrie, données pénales) à grande échelle
  • Copilot intégré à un système de décision automatisée affectant les personnes
  • Déploiement Copilot sur des dépôts contenant systématiquement des données personnelles (cas pathologique à corriger en amont)

Cas d’AIPD fortement recommandée

  • Premier déploiement IA générative dans l’organisation
  • Copilot accessible à plus de 50 développeurs dans une organisation traitant des données sensibles
  • Usage Copilot sur des projets de produits manipulant des données de santé, financières ou sensibles

L’AIPD documente le périmètre Copilot, l’analyse des risques (fuite via prompts, exposition de secrets, reproduction de code d’entraînement, données personnelles dans le code), et les mesures de mitigation. Les recommandations CNIL sur l’IA s’appliquent.

Risque propriété intellectuelle distinct du RGPD

Au-delà du RGPD, GitHub Copilot soulève un risque propriété intellectuelle distinct mais important :

  • Les suggestions de Copilot peuvent reproduire textuellement du code d’entraînement issu de dépôts publics, potentiellement sous licences restrictives (GPL, AGPL)
  • Microsoft propose une garantie de défense en propriété intellectuelle pour Copilot Business et Enterprise (Copilot Customer Copyright Commitment) sous conditions — vérifier les conditions d’éligibilité
  • La politique interne doit imposer une revue humaine des suggestions et une attention aux licences

Ce risque n’est pas RGPD mais doit être traité par le DSI / responsable juridique en parallèle.

Recommandations opérationnelles pour DSI et DPO

1. Choix du plan

  • Copilot Business minimum pour tout usage professionnel — jamais Copilot Individual en entreprise
  • Copilot Enterprise pour les organisations soumises à des exigences renforcées (secteurs régulés, audit interne)

2. Configuration recommandée

  • Désactivation de la télémétrie (logs d’usage envoyés à Microsoft) si non nécessaire à votre contexte
  • Filtres de blocage : exclusion de certains types de fichiers (*.env, secrets.*, fixtures/*)
  • Contrôles d’accès : restriction de Copilot aux dépôts non sensibles
  • SSO et MFA pour l’accès GitHub
  • Logs d’audit activés au niveau Enterprise

3. Gouvernance

  • Charte d’usage IA développeur : usages autorisés, données interdites en prompt
  • Formation : risques RGPD et PI, bonnes pratiques de revue
  • Politique de hygiène code : élimination progressive des données réelles dans les fichiers de test
  • Inscription au registre des traitements : Copilot comme finalité « assistance au développement », sous-traitant Microsoft/GitHub

4. Articulation contractuelle

  • DPA Microsoft Products and Services activé sur Copilot Business/Enterprise (automatique avec l’abonnement entreprise)
  • Customer Copyright Commitment activé pour bénéficier de la garantie PI

Cas particuliers

Développement de logiciels traitant des données de santé

Pour les éditeurs de logiciels de santé soumis à HDS, l’usage de Copilot impose une analyse spécifique : les fichiers de test contenant des données réelles de santé sont à proscrire absolument. La voie privilégiée est l’usage de données synthétiques et le développement dans des environnements isolés.

Code propriétaire critique

Pour les codebases stratégiques (algorithmes propriétaires, secrets industriels), évaluer si l’usage de Copilot expose à un risque de fuite (même encadré contractuellement). Pour les structures les plus sensibles, restreindre Copilot aux dépôts non stratégiques.

Développement sous-traité (ESN, freelances)

Pour les développeurs externes accédant à vos dépôts via Copilot, vérifier que leur usage s’inscrit dans le cadre contractuel de votre prestation : l’utilisation de leur propre licence Copilot Individual sur votre code n’est pas couverte par votre DPA.

FAQ : GitHub Copilot et RGPD

GitHub Copilot est-il conforme au RGPD ?

L’architecture contractuelle de Copilot Business et Enterprise est conforme à l’article 28 RGPD. La conformité d’ensemble dépend de la configuration côté client (plan choisi, politique d’usage, hygiène code) et de l’absence systématique de données personnelles non maîtrisées dans les fichiers édités.

Les prompts envoyés à Copilot sont-ils utilisés pour entraîner les modèles ?

Non pour Copilot Business et Enterprise — engagement contractuel explicite. Pour Copilot Individual, les conditions sont différentes et peuvent inclure un usage à des fins d’amélioration produit selon les paramètres utilisateur. C’est la raison principale pour laquelle un usage entreprise impose le passage en plan Business minimum.

Faut-il une AIPD pour déployer Copilot dans une équipe de développeurs ?

Pas nécessairement pour un usage standard. L’AIPD devient obligatoire si Copilot est intégré à un système de décision automatisée, déployé sur du code traitant des données sensibles à grande échelle, ou si l’organisation n’a jamais formellement analysé son usage IA. Pour le premier déploiement, l’AIPD constitue de toute façon une bonne pratique.

Que se passe-t-il si Copilot suggère du code couvert par une licence restrictive ?

Pour les plans Business et Enterprise avec le Customer Copyright Commitment activé, Microsoft offre une garantie de défense en cas de réclamation tierce, sous conditions documentées. La revue humaine des suggestions reste néanmoins une bonne pratique : vérifier que le code ne reproduit pas une œuvre identifiable.

Comment intégrer Copilot au registre des traitements ?

Créer une fiche pour la finalité « assistance au développement par IA » : catégories de données traitées (code source, métadonnées de session, prompts Copilot Chat), base légale (intérêt légitime documenté), sous-traitant (Microsoft Corporation via GitHub Inc.), durée de conservation (aucune au-delà de la session), garanties (DPA, EU Data Boundary, certifications).

Faut-il informer le CSE du déploiement Copilot ?

Oui pour les organisations dotées d’un CSE, en application du Code du travail. L’introduction d’un outil d’IA dans les processus de travail relève de l’information-consultation du CSE (Art. L.2312-8). Cette obligation est distincte de la conformité RGPD.

Pour structurer la conformité Copilot et automatiser la documentation des outils IA dans le registre, un logiciel RGPD permet de centraliser l’inventaire des sous-traitants IA et de maintenir l’AIPD à jour.

Articles lies

RGPD

Airtable et RGPD : guide de conformité 2026

3 juin 2026 · 9 min
RGPD

Article 72 RGPD : la procédure du CEPD décryptée

3 juin 2026 · 8 min
RGPD

Article 73 RGPD : la présidence du CEPD décryptée

3 juin 2026 · 7 min