Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
RGPD

GitLab et RGPD : guide de conformité 2026

GitLab et le RGPD : SaaS vs self-hosted et souveraineté, sous-traitance, DPA, logs CI/CD, transferts et configuration recommandée.

L’essentiel. GitLab existe en deux modèles aux conséquences RGPD opposées. En version SaaS (GitLab.com), GitLab Inc. est un sous-traitant au sens de l’article 28 du RGPD, avec transferts internationaux à documenter (société américaine). En version auto-hébergée (self-managed, sur votre infrastructure ou dans un cloud souverain), GitLab n’héberge pas vos données : il n’est plus sous-traitant du contenu, et vous gardez la maîtrise complète de la localisation. Ce choix d’architecture est le premier arbitrage de souveraineté, exactement comme pour une plateforme d’automatisation self-hostable. Dans les deux cas, le risque réel réside dans les données personnelles présentes dans l’historique Git, les issues et surtout les journaux de pipelines CI/CD.

GitLab est une plateforme DevOps complète : gestion de code source, intégration et déploiement continus (CI/CD), suivi de tickets, registre de conteneurs, sécurité applicative. Contrairement à la plupart des outils SaaS, GitLab est diffusé à la fois comme service géré (GitLab.com) et comme logiciel installable sur votre propre infrastructure. Cette dualité est au cœur de son analyse RGPD, car elle détermine qui héberge les données et où.

Dans ma pratique de conseil auprès d’organisations soumises à des exigences de souveraineté — secteur public, santé, défense, opérateurs sensibles —, GitLab self-managed revient souvent comme la solution qui concilie fonctionnalités DevOps et maîtrise de la donnée. C’est la même logique d’arbitrage que pour une plateforme d’automatisation auto-hébergeable comme n8n : choisir le self-hosting, c’est déplacer la question de la conformité contractuelle vers la conformité de votre propre infrastructure. Pour une vue d’ensemble, consultez notre guide RGPD par outil, et pour le concurrent direct en mode SaaS, notre analyse de GitHub.

Qualification juridique : deux modèles, deux régimes

GitLab SaaS : GitLab Inc. comme sous-traitant

Sur GitLab.com (offre SaaS), GitLab Inc. agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre organisation est le responsable de traitement : vous déterminez les finalités (héberger votre code, exécuter vos pipelines, suivre vos tickets) et les moyens essentiels. GitLab fournit l’infrastructure et traite les données selon les instructions contractuelles. Vous devez alors disposer d’un contrat de sous-traitance conforme, documenter les transferts hors UE et inscrire le traitement au registre.

GitLab self-managed : pas de sous-traitance du contenu

En version auto-hébergée (self-managed), GitLab est un logiciel que vous installez et exploitez sur votre propre infrastructure ou dans un cloud de votre choix. GitLab Inc. n’héberge pas vos données de contenu : il n’est donc pas sous-traitant du contenu au sens du RGPD. Vous devenez le seul maître de la localisation, de la sécurité et des sauvegardes. C’est un avantage décisif pour la souveraineté, au prix d’une responsabilité opérationnelle accrue : c’est vous qui devez garantir le chiffrement, les correctifs de sécurité et la journalisation.

Cette bascule doit être clairement tracée dans votre registre : le même outil, selon son mode de déploiement, appelle une analyse radicalement différente.

Les catégories de données personnelles dans GitLab

Quel que soit le mode d’hébergement, GitLab concentre des données personnelles à plusieurs endroits :

  • Historique des commits : nom et adresse email de chaque contributeur, de façon indélébile dans l’historique Git.
  • Issues, merge requests et discussions : descriptions, commentaires, mentions de personnes, parfois coordonnées de clients rapportées dans un ticket.
  • Journaux de pipelines CI/CD : c’est un point spécifique et souvent négligé. Les logs d’exécution des jobs capturent régulièrement des variables d’environnement, des identifiants, des adresses email, des sorties de scripts contenant des données de production.
  • Données personnelles dans le code : jeux de tests avec de vrais emails, fichiers de configuration, dumps de bases commités par erreur.
  • Variables CI/CD et secrets : identifiants de déploiement, clés d’API, jetons.
  • Profils des membres : noms, emails, appartenance aux groupes et projets.

Le principe de minimisation des données s’applique pleinement : ni le code, ni les tests, ni les pipelines ne doivent manipuler de données personnelles réelles sans nécessité.

Analyse du DPA GitLab (offre SaaS)

Pour GitLab.com, GitLab publie un Data Processing Addendum (DPA). Voici les points d’analyse au regard de l’article 28 du RGPD.

Exigence Art. 28 RGPD Couverture documentée dans le DPA GitLab
Objet, durée, nature et finalité Définis dans le DPA et les conditions du service
Types de données et catégories de personnes Décrits dans le DPA
Instructions documentées du responsable Traitement sur instructions documentées
Confidentialité du personnel Engagement de confidentialité prévu
Mesures de sécurité (Art. 32) Mesures techniques et organisationnelles décrites
Sous-traitants ultérieurs Liste et mécanisme de notification
Assistance aux droits des personnes Engagement d’assistance prévu
Suppression ou restitution en fin de contrat Suppression / export prévu
Droit d’audit Rapports de certification et audits

Je ne prononce pas de verdict de conformité : le DPA décrit des engagements que vous devez vérifier dans sa version applicable à votre abonnement et documenter. Cette grille sert précisément à conduire cette vérification, par exemple à l’aide d’un questionnaire fournisseur. Pour GitLab self-managed, la question du DPA de contenu ne se pose pas puisque GitLab n’héberge pas vos données ; en revanche, un contrat de sous-traitance peut être nécessaire pour les services de support ou les fonctionnalités connectées éventuellement activées.

Transferts internationaux (offre SaaS)

GitLab Inc. est une société américaine. Pour GitLab.com, le transfert de données hors UE doit être documenté. Selon la documentation consultée en juillet 2026, GitLab s’appuie sur les clauses contractuelles types (CCT) intégrées à son DPA et, le cas échéant, sur les mécanismes de transfert applicables aux services américains. Votre analyse d’impact sur les transferts (TIA) doit évaluer le cadre juridique américain et documenter les mesures supplémentaires.

C’est précisément sur ce point que le self-managed change la donne : en hébergeant GitLab dans l’UE (voire dans un cloud qualifié SecNumCloud pour les organisations les plus exigeantes), vous supprimez le transfert international lié à l’éditeur. La souveraineté devient un choix d’architecture, pas une clause contractuelle.

Sécurité informatique

GitLab, plateforme dédiée aux équipes techniques, intègre nativement de nombreuses fonctions de sécurité.

Certifications documentées (offre SaaS) : SOC 2, ISO/IEC 27001 (à vérifier selon le périmètre et la version à jour de la documentation).

Mesures techniques documentées :

  • Chiffrement en transit et au repos (offre SaaS ; à votre charge en self-managed).
  • Authentification : SSO SAML, MFA, provisionnement SCIM.
  • Gestion granulaire des permissions par groupe et par projet, avec rôles.
  • Secret detection dans les pipelines : détection des secrets exposés dans le code.
  • SAST / DAST / dependency scanning : analyse statique, dynamique et des dépendances.
  • Journal d’audit des actions administratives.
  • Variables CI/CD protégées et masquées.

En self-managed, l’essentiel des mesures de sécurité — chiffrement au repos, sauvegardes, correctifs, durcissement du serveur — relève de votre responsabilité. C’est le contrepoids de la souveraineté : vous gagnez la maîtrise, vous héritez de la charge. Un audit RGPD de votre instance self-managed est vivement recommandé pour vérifier ce durcissement.

Configuration recommandée pour la conformité RGPD

  1. Trancher SaaS vs self-managed selon vos exigences de souveraineté. C’est l’arbitrage structurant. Si la localisation UE et la maîtrise complète sont impératives, privilégiez le self-managed hébergé dans l’UE. Sinon, GitLab.com avec DPA signé peut convenir.

  2. Pour GitLab.com, signer et archiver le DPA. Acceptez le DPA applicable à votre abonnement et conservez-en une copie datée. Documentez les transferts.

  3. Activer SSO et MFA obligatoire. Imposez l’authentification via votre fournisseur d’identité et le MFA pour tous les membres.

  4. Sécuriser les pipelines CI/CD. C’est le point le plus spécifique à GitLab. Utilisez des variables protégées et masquées pour les secrets, évitez d’imprimer des données sensibles dans les logs, et limitez la durée de conservation des journaux de jobs.

  5. Activer secret detection. La détection de secrets dans les pipelines prévient l’exposition d’identifiants et de données personnelles.

  6. Interdire les données personnelles réelles dans le code et les tests. Formalisez cette règle dans votre charte informatique : données synthétiques ou anonymisées uniquement.

  7. Structurer les permissions par groupe. Appliquez le moindre privilège : un prestataire externe n’accède qu’aux projets nécessaires, avec le rôle minimal.

  8. Documenter le traitement au registre. Inscrivez GitLab au registre en précisant le mode de déploiement (SaaS ou self-managed) et les catégories de données (contributeurs, contenu des issues, logs CI/CD).

  9. En self-managed, durcir et journaliser l’instance. Chiffrement au repos, sauvegardes chiffrées, correctifs de sécurité appliqués sans délai, journalisation des accès.

Erreurs fréquentes et points d’attention

Les logs de pipelines, angle mort par excellence

Les journaux d’exécution des jobs CI/CD sont le point de fuite le plus sous-estimé de GitLab. Un script de déploiement qui affiche une variable d’environnement, un test qui logge une réponse d’API contenant des emails, un job qui imprime un extrait de base de données : autant de données personnelles capturées dans les logs, conservées et accessibles à tous les membres du projet. Auditez vos pipelines pour supprimer les impressions sensibles et réduisez la rétention des logs.

La confusion SaaS / self-managed dans le registre

Documenter « GitLab » sans préciser le mode d’hébergement rend l’analyse RGPD inexploitable. GitLab.com (sous-traitance, transferts) et GitLab self-managed (hébergement interne) sont deux traitements distincts. Le registre doit trancher.

Le secret ou la donnée personnelle dans l’historique Git

Comme sur toute plateforme Git, une donnée personnelle ou un secret commis par erreur reste dans l’historique même après suppression dans un commit ultérieur. En cas d’exposition, cela peut constituer une violation de données à évaluer. La réécriture d’historique est alors nécessaire.

Le self-managed non maintenu

Choisir le self-managed pour la souveraineté et négliger ensuite les correctifs de sécurité est contre-productif : une instance non mise à jour cumule les vulnérabilités. La souveraineté suppose une équipe capable d’assurer le maintien en condition de sécurité.

Sur le plan de la gouvernance, maintenir l’inventaire des traitements et le suivi des sous-traitants à jour lorsqu’on combine SaaS et self-hosting sur de nombreux outils devient vite ingérable manuellement : un logiciel RGPD permet d’industrialiser la cartographie des traitements et le suivi des mesures de sécurité par outil.

FAQ

GitLab est-il conforme au RGPD ?

La question appelle une distinction. GitLab.com fournit les éléments contractuels et techniques d’un usage conforme (DPA, certifications, chiffrement, SSO/MFA, secret detection), sous réserve de votre configuration et de la documentation des transferts. GitLab self-managed déplace la responsabilité vers vous : la conformité dépend alors du durcissement de votre propre instance. Je ne formule pas de verdict de conformité dans un cas comme dans l’autre : elle se construit par la configuration et la gouvernance, pas par le seul choix de l’outil.

GitLab self-managed règle-t-il la question de la souveraineté ?

En grande partie, oui, pour la localisation des données : en hébergeant GitLab sur une infrastructure située dans l’UE (voire qualifiée SecNumCloud), vous supprimez le transfert international lié à l’éditeur et gardez la maîtrise physique des données. Mais la souveraineté ne se résume pas à la localisation : vous devenez responsable de la sécurité, des sauvegardes et des correctifs. Le gain de maîtrise s’accompagne d’une charge opérationnelle réelle.

Faut-il un DPA pour GitLab self-managed ?

Pour le contenu, non : GitLab n’héberge pas vos données en self-managed, il n’est donc pas sous-traitant du contenu. Un contrat de sous-traitance peut néanmoins être nécessaire pour les prestations de support, l’assistance technique ou les fonctionnalités connectées (télémétrie, services d’IA) éventuellement activées, qui peuvent impliquer un traitement par GitLab Inc. Vérifiez ces flux avant de conclure.

Comment gérer les données personnelles dans les logs CI/CD ?

Trois leviers : réduire à la source (ne pas imprimer de données sensibles dans les scripts et les tests), masquer (utiliser les variables masquées et protégées pour les secrets) et limiter la conservation (réduire la durée de rétention des journaux de jobs). Auditez périodiquement vos pipelines, car les logs verbeux réapparaissent facilement au fil des évolutions du code.

Faut-il réaliser une AIPD pour GitLab ?

Pour un usage standard de gestion de code sans données personnelles à grande échelle, une analyse d’impact n’est pas formellement requise, mais l’inscription au registre reste nécessaire. Une AIPD devient pertinente si GitLab est utilisé pour des traitements impliquant des données personnelles significatives — par exemple des pipelines manipulant des données de production, ou un usage dans un contexte sensible (santé, secteur public).

GitLab.com ou GitHub : lequel est le plus adapté au RGPD ?

Les deux plateformes proposent un DPA et un socle de sécurité comparables en mode SaaS. La différence structurante est que GitLab existe aussi en self-managed, ce qui en fait un choix privilégié quand la souveraineté et la localisation UE sont impératives. GitHub reste principalement une offre cloud gérée. Notre analyse de GitHub détaille l’autre côté de la comparaison.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →