En 2021, GitHub a lancé Copilot, un assistant de code alimenté par l'IA. L'outil est impressionnant. Mais il y a un détail que beaucoup de développeurs ont découvert trop tard : Copilot a été entraîné sur leur code, hébergé publiquement sur GitHub, sans consentement explicite.
Depuis, un procès class-action a été intenté. Gentoo Linux a quitté GitHub. Des milliers de développeurs ont migré vers Codeberg. Et la question s'est étendue aux repos privés : quand vous poussez du code sur un serveur américain, qui peut réellement y accéder, et dans quel but ?
Cet article fait le point sur ce que GitHub et GitLab font réellement de votre code, et pourquoi GitForge s'engage sur un principe simple : votre code ne servira jamais à entraîner une IA.
Ce que GitHub fait vraiment de votre code
Le modèle d'entraînement Copilot
GitHub Copilot a été initialement entraîné par OpenAI sur l'ensemble des repos publics hébergés sur GitHub. Cela représente des centaines de millions de fichiers, couvrant tous les langages, tous les frameworks, toutes les licences — y compris du code GPL, MIT, Apache, et même du code sous copyright restrictif.
Le procès class-action intenté en novembre 2022 allègue que GitHub et OpenAI ont violé les termes des licences open source en utilisant du code licencié pour entraîner un modèle commercial, sans attribution ni respect des conditions de redistribution.
Le tribunal a partiellement rejeté certaines revendications, mais le débat juridique reste ouvert. Et le fait demeure : votre code open source a été aspiré pour créer un produit à 19€/mois par utilisateur, sans votre consentement préalable.
L'opt-out existe, mais...
En 2024, GitHub a introduit un programme d'opt-out permettant aux développeurs d'exclure leurs repos de l'entraînement futur. Pour les plans Enterprise et Business, le code n'est pas utilisé pour l'entraînement par défaut.
Mais il y a plusieurs problèmes fondamentaux :
- Le mal est déjà fait pour les repos publics utilisés avant l'opt-out. Votre code est dans le modèle, vous ne pouvez pas l'en retirer.
- Le mécanisme est opt-out, pas opt-in. Par défaut, votre code est utilisé. C'est à vous de cocher une case pour vous en exclure.
- La protection complète exige Enterprise à 21€/user/mois — encore une « taxe enterprise » pour un droit fondamental.
- Vous devez faire confiance à GitHub pour respecter l'opt-out. Aucun audit indépendant ne le vérifie.
Les prompts et suggestions Copilot
Au-delà de l'entraînement initial, chaque interaction avec Copilot envoie du contexte — votre code, vos commentaires, vos fichiers ouverts — aux serveurs de GitHub/OpenAI pour générer des suggestions.
Même si GitHub affirme ne pas utiliser ces données pour réentraîner ses modèles, vos fragments de code transitent par des serveurs américains, soumis au CLOUD Act. Un organisme gouvernemental US pourrait théoriquement y accéder.
Et GitLab ? Ce que Duo fait de vos données
GitLab a lancé Duo, son propre assistant IA, en 2023. L'approche est plus respectueuse : GitLab affirme ne pas entraîner ses propres modèles sur le code de ses clients et contractualise cette promesse avec ses fournisseurs d'IA.
Cependant, GitLab Duo envoie vos prompts et extraits de code à des fournisseurs d'IA tiers (Anthropic, Google) pour générer les réponses. Vos données transitent par des serveurs d'entreprises américaines, même si GitLab promet qu'elles ne sont pas stockées ni utilisées pour l'entraînement.
Et Duo n'est pas gratuit : c'est un add-on à 19€/user/mois en plus du plan Premium. Pour 50 développeurs, ça fait 11 400€/an supplémentaires.
Le mouvement de révolte : pourquoi les projets quittent GitHub
La controverse IA n'est pas théorique. Des projets majeurs ont agi :
| Projet | Action | Raison |
|---|---|---|
| Gentoo Linux | Migration des miroirs de GitHub vers Codeberg (2025) | « Tentatives continues de forcer l'usage de Copilot sur nos repos. » |
| Zig (langage) | Migration complète vers Codeberg (2025) | Indépendance vis-à-vis des plateformes corporate. |
| Codeberg e.V. | Politique anti-extraction IA | Rejet de l'extraction de code pour l'entraînement de modèles propriétaires. |
| Gentoo (politique) | Interdiction des contributions générées par IA (2024) | Risques de copyright, qualité du code, préoccupations éthiques. |
Ce n'est pas un phénomène marginal. C'est un mouvement de fond porté par des communautés techniques qui refusent que leur travail soit monétisé sans leur consentement.
Les 4 risques concrets pour votre entreprise
1. Fuite de propriété intellectuelle
Si votre code propriétaire a été utilisé pour entraîner un modèle d'IA, des fragments peuvent être régénérés dans les suggestions d'autres utilisateurs. Le procès class-action a documenté des cas où Copilot reproduisait du code sous licence, parfois mot pour mot, sans attribution.
Pour une entreprise dont le code contient des algorithmes propriétaires ou des secrets commerciaux, c'est un risque sérieux.
2. Non-conformité RGPD
Si votre code contient des données personnelles — même dans des fichiers de test, des mocks, ou des logs — son utilisation pour l'entraînement IA peut constituer un traitement non consenti au sens du RGPD. Votre DPO devrait être informé de la politique de votre forge Git en matière d'IA.
3. Risque contractuel avec vos clients
Beaucoup de contrats B2B contiennent des clauses de confidentialité interdisant le partage de code avec des tiers. Si votre hébergeur utilise ce code pour entraîner une IA — même indirectement — vous pourriez être en violation contractuelle sans le savoir.
4. Dépendance technologique
En adoptant Copilot ou Duo, vous intégrez un outil propriétaire dans votre workflow quotidien. Vos développeurs s'habituent aux suggestions, vos processus s'adaptent. Quitter la plateforme devient plus difficile quand vos workflows sont construits autour de ses outils IA.
L'engagement GitForge : zéro IA, zéro extraction
Notre position est claire et non négociable :
- Votre code ne sera jamais utilisé pour entraîner un modèle d'intelligence artificielle, qu'il soit propriétaire ou open source.
- Aucun scraping, aucune extraction, aucune télémétrie sur le contenu de vos repositories.
- Pas d'assistant IA intégré qui envoie vos extraits de code à des serveurs tiers (OpenAI, Google, Anthropic).
- Votre code reste sur des serveurs Scaleway en France, opérés par une entreprise française, sans aucune exposition au CLOUD Act.
- Cet engagement est contractuel, pas juste marketing. Il sera inscrit dans nos CGU et notre DPA.
Pourquoi c'est crédible
Parce que notre modèle économique est aligné avec cette promesse. GitForge est une forge Git, pas une entreprise d'IA. Nous n'avons aucun intérêt à extraire, analyser ou revendre vos données. Notre revenu vient de l'hébergement de votre code, pas de sa monétisation.
C'est fondamentalement différent de GitHub (Microsoft), dont la stratégie repose sur Copilot — un produit à 19€/user/mois qui ne peut exister que grâce aux données des utilisateurs de la plateforme.
Comparatif : qui fait quoi de votre code ?
| Critère | GitHub | GitLab | GitForge |
|---|---|---|---|
| Code public utilisé pour entraînement IA | Oui (Copilot) | Non | Non, jamais |
| Code privé utilisé pour entraînement | Non (Enterprise). Opt-out nécessaire sinon. | Non | Non, jamais |
| Code envoyé à des LLM tiers | Oui (Copilot → OpenAI) | Oui (Duo → Anthropic/Google) | Non, aucun LLM |
| Opt-out disponible | Oui (depuis 2024, opt-out) | Oui (désactiver Duo) | Inutile : pas d'IA |
| Engagement contractuel | DPA Enterprise uniquement | DPA avec fournisseurs IA | CGU + DPA (zéro IA) |
| Hébergement | USA (CLOUD Act) | USA (CLOUD Act) | France (Scaleway) |
| Prix / 50 devs / an (avec SSO) | 12 600€ | 17 400€ | 2 340€ |
« Mais j'utilise Copilot et j'adore » — et c'est OK
Soyons honnêtes : les assistants de code IA sont des outils puissants. Beaucoup de développeurs y trouvent un gain de productivité réel. L'objectif de cet article n'est pas de diaboliser l'IA, mais de poser la question du consentement et du contrôle.
Vous devriez pouvoir choisir d'utiliser un assistant IA sans que votre forge Git impose ce choix à votre place.
Chez GitForge, si vous voulez utiliser un outil d'IA tierce (Cursor, Cline, Windsurf, ou tout autre), vous êtes libre. Ces outils fonctionnent en local ou via leurs propres serveurs, indépendamment de votre forge. Mais notre plateforme, elle, ne touchera jamais à votre code.
La différence est fondamentale : c'est vous qui décidez si et quand de l'IA accède à votre code. Pas votre hébergeur.
Ce que vous pouvez faire dès maintenant
Si vous restez sur GitHub
- Vérifiez vos paramètres Copilot : Settings → Copilot → désactivez les suggestions et l'entraînement.
- Pour les organisations : activez la politique « no Copilot training » au niveau org.
- Auditez vos repos publics : contiennent-ils du code propriétaire ou des données sensibles ?
- Vérifiez vos contrats clients : vos clauses de confidentialité sont-elles compatibles avec les CGU de GitHub ?
Si vous voulez une solution propre
- Migrez vers GitForge : import natif depuis GitHub/GitLab, CI/CD compatible GitHub Actions.
- Vos repos, issues, PRs et labels sont importés en quelques clics.
- Votre code reste en France, hors CLOUD Act, hors circuit IA.
- Et la facture passe de 12 600€ à 2 340€/an pour 50 développeurs.
Conclusion
L'ère où les développeurs poussaient leur code sans se poser de questions est révolue. En 2026, votre forge Git n'est plus seulement un outil technique — c'est un choix politique, économique et éthique.
GitForge existe pour offrir une alternative où votre code vous appartient, point final. Pas de scan IA, pas de CLOUD Act, pas de « taxe enterprise » pour protéger votre propriété intellectuelle.