Ce qu'il faut retenir
- GitHub Copilot envoie vos snippets de code à Microsoft/OpenAI — votre propriété intellectuelle transite aux États-Unis
- Le code généré par Copilot peut contenir des fragments de code open source sous licences incompatibles (GPL, AGPL)
- En tant qu'entité américaine, Microsoft est soumis au Cloud Act — votre code source peut être saisi par la justice US
- Copilot Business désactive l'entraînement mais ne résout pas structurellement le Cloud Act
Comment GitHub Copilot utilise votre code
GitHub Copilot fonctionne via un modèle d'IA (basé sur Codex d'OpenAI, maintenant GPT-4) qui reçoit en contexte votre fichier ouvert, les fichiers ouverts adjacents, et parfois l'ensemble du dépôt (Copilot Workspace). Chaque suggestion nécessite d'envoyer ce contexte aux serveurs de Microsoft.
Concrètement, quand un développeur travaille avec Copilot activé :
- Les N lignes de code autour du curseur sont envoyées à Microsoft en temps réel
- Les noms de fichiers, de fonctions, de variables font partie du contexte transmis
- Les commentaires — souvent les plus révélateurs de la logique métier — sont inclus
- Avec Copilot Chat, des extraits entiers ou des descriptions d'architecture sont partagés
Pour une équipe de 20 développeurs actifs, c'est des millions de tokens de code propriétaire qui transitent quotidiennement vers l'infrastructure Microsoft.
Risque propriété intellectuelle : votre code source chez un tiers
Le code source est protégé par le droit d'auteur dès sa création, sans dépôt ni formalité. Quand vous transmettez du code à Copilot, vous confiez votre propriété intellectuelle à un tiers. Les implications :
- Confidentialité : votre algorithme propriétaire, votre logique métier, votre architecture technique sont transmis à Microsoft. Même avec un accord de non-divulgation contractuel, les données transitent physiquement.
- Entraînement des modèles : par défaut (Copilot Individual), GitHub utilise vos données pour améliorer ses modèles. Votre code propriétaire peut contribuer à entraîner un modèle qui aide vos concurrents.
- Perte de contrôle : une fois transmis, vous ne pouvez pas "retirer" votre code du contexte des serveurs Microsoft.
Cloud Act et code source : le risque concret
Microsoft est une entité américaine. À ce titre, GitHub (propriété de Microsoft depuis 2018) et tous ses services — Copilot inclus — sont soumis au Cloud Act américain. Une ordonnance judiciaire américaine peut contraindre Microsoft à remettre les données traitées par Copilot, y compris votre code source.
Les cas où cela peut se produire :
- Litige commercial entre votre entreprise et un acteur américain (partenaire, concurrent, client)
- Enquête antitrust impliquant votre secteur
- Procédure de découverte (discovery) dans un litige civil américain où vous êtes tiers
- Enquête de renseignement économique ciblant votre domaine technologique
Pour une entreprise avec un avantage technologique (fintech, medtech, deeptech, logiciel métier spécialisé), c'est un risque stratégique majeur — et souvent non perçu car le vecteur est un outil de productivité banal.
Le cas particulier de la défense et des secteurs sensibles
Pour les sous-traitants de la défense, les fournisseurs de systèmes critiques (énergie, eau, transport) ou les entreprises classifiées, utiliser GitHub Copilot peut constituer une violation des clauses de sécurité contractuelles avec leurs donneurs d'ordre. Les contrats DGA (Direction Générale de l'Armement) incluent systématiquement des clauses de protection de l'information qui s'appliquent aux outils utilisés pour développer les solutions livrées.
Secret industriel et R&D : le vrai enjeu
La directive européenne sur les secrets d'affaires (transposée en France par la loi du 30 juillet 2018) protège les informations techniques et commerciales confidentielles ayant une valeur économique. Le code source est typiquement un secret d'affaires.
Pour qu'un secret d'affaires soit protégé, l'entreprise doit avoir pris des "mesures raisonnables" pour en préserver la confidentialité. Utiliser GitHub Copilot sans politique encadrant son usage peut fragiliser cette protection : en transmettant votre code à un tiers, vous pourriez être considéré comme n'ayant pas pris les mesures raisonnables.
Dans un contexte de litige pour vol de secret industriel, l'adversaire pourrait argumenter que votre code n'était pas suffisamment protégé si vous l'avez transmis à un service cloud tiers sans restriction.
Contamination par les licences open source
GitHub Copilot a été entraîné sur des milliards de lignes de code public, incluant du code sous licences GPL, LGPL, AGPL et MPL — des licences dites "copyleft" qui exigent que tout code dérivé soit publié sous la même licence.
Si Copilot suggère et que vous acceptez un fragment de code qui provient d'un dépôt GPL, vous pourriez théoriquement être obligé de publier votre propre code sous GPL. GitHub a ajouté un filtre de détection des correspondances directes, mais :
- Le filtre n'est pas parfait — il détecte les correspondances exactes, pas les adaptations légères
- Il n'indique pas systématiquement la source d'une suggestion
- Des poursuites judiciaires sont en cours aux États-Unis pour clarifier la responsabilité (GitHub Copilot class action, 2022)
GitHub Copilot Business/Enterprise suffit-il ?
Les offres payantes apportent des améliorations :
- Copilot Business : désactive l'utilisation du code pour entraîner les modèles, politiques d'entreprise, SSO
- Copilot Enterprise : personnalisation sur votre codebase (RAG sur vos dépôts), contrôles de sécurité avancés
Mais les limitations structurelles demeurent : GitHub et Microsoft restent des entités américaines soumises au Cloud Act. L'engagement contractuel de ne pas utiliser votre code pour l'entraînement ne signifie pas que la justice américaine ne peut pas y accéder. Pour les données vraiment stratégiques, aucune offre Copilot ne résout ce problème.
Alternatives souveraines à GitHub Copilot
Le marché des assistants de code souverains a mûri :
| Solution | Hébergement | Cloud Act | Modèle |
|---|---|---|---|
| GitHub Copilot | Microsoft USA/EU | Oui | GPT-4 / Codex |
| Continue.dev + LLM local | Vos serveurs | Non | Mistral, Llama, Qwen |
| Tabby (open source) | Vos serveurs | Non | StarCoder, Mistral |
| Codeium Self-Hosted | Vos serveurs | Non | Windsurf (propriétaire) |
| Intelligence Privée + IDE | France certifié | Non | Codestral, LLaMA |
La solution la plus simple à déployer : Continue.dev (extension VS Code/JetBrains open source) connecté à un LLM déployé localement via Ollama ou vLLM. Le code ne quitte jamais le poste du développeur.
Un assistant de code qui reste dans votre infrastructure
Intelligence Privée déploie un assistant de code (Codestral, Mistral, LLaMA) sur votre infrastructure. Vos développeurs gardent la productivité, votre code reste chez vous.
Voir une démo →Questions fréquentes
GitHub Copilot stocke-t-il mon code ?
Selon GitHub, les snippets de code envoyés en contexte sont utilisés pour générer des suggestions puis supprimés — ils ne sont pas stockés de façon permanente. Mais ils transitent bien par les serveurs Microsoft, ce qui suffit à créer une exposition au Cloud Act.
Mon contrat GitHub Enterprise me protège-t-il du Cloud Act ?
Non. Un contrat avec Microsoft peut limiter certains usages de vos données, mais ne peut pas prévenir une ordonnance judiciaire américaine imposée à Microsoft en vertu d'une loi fédérale. Le Cloud Act est une loi — il prévaut sur les clauses contractuelles.
Que faire si mes développeurs utilisent Copilot sans autorisation ?
C'est du shadow AI. Premier réflexe : cartographier l'usage réel (outils endpoint management, logs réseau). Ensuite : politique d'usage documentée, formation, et déploiement d'une alternative souveraine pour satisfaire le besoin légitimement.