l'angle mortLe vibe coding crée un risque RGPD que personne ne voit passer.
Une équipe métier décrit une appli à une IA, la branche sur vos systèmes, la publie — sans que la DSI ni la sécurité ne soient dans la boucle. Le problème : une application bricolée qui collecte des données rattachées à votre marque vous expose au RGPD exactement comme si votre DSI l'avait livrée. Sauf que personne ne sait quelle base légale justifie le traitement, où vont les données, combien de temps elles sont conservées, ni si un modèle américain les a vues au passage. Une étude Veracode a trouvé des faiblesses de sécurité dans 45 % des échantillons de code généré par IA. Du code que personne ne comprend devient impossible à auditer, à certifier, à défendre devant la CNIL.
- Responsabilité de traitement : elle reste la vôtre, même quand l'IA a écrit le code.
- Traçabilité : DORA, HDS, RGPD imposent de maîtriser ses traitements — un code opaque échoue d'office.
- Transferts hors UE : un prompt envoyé à un modèle non encadré peut faire fuiter des données personnelles.
ce que dit la CNILLe RGPD ne s'arrête pas à la porte de l'IA.
Les recommandations de la CNIL sont claires : un système d'IA qui traite des données personnelles doit avoir une finalité déterminée, légitime et explicite, fixée dès la conception — pas ajoutée après coup. Il faut une base légale parmi les six du RGPD, une minimisation des données (seulement ce qui est nécessaire), des durées de conservation définies, et la capacité d'exercer les droits d'accès, de rectification et d'effacement. Le recours à un sous-traitant ne dilue pas votre responsabilité : vous devez vérifier l'hébergement, la conservation et la sécurité technique. Autrement dit, « l'IA l'a fait » n'est pas une défense — c'est à votre organisation de prouver la conformité, à chaque traitement.
- Finalité explicite fixée dès la conception, pas rétro-justifiée.
- Minimisation + durées de conservation : pas de collecte « au cas où ».
- Sous-traitant ≠ décharge : vous restez responsable de l'hébergement et de la sécurité.
la sortieLa Méthode Digital Native : encoder la conformité une fois, vérifier à chaque fois.
Une méthode existe pour produire du logiciel à la vitesse de l'IA sans renoncer au contrôle. Un Product Owner décrit l'intention directement sur le produit en ligne. Un Tech Lead encode les règles une seule fois — architecture, conventions, mais aussi vos contraintes RGPD : quelles données ne quittent jamais le périmètre, quelles bases légales, quels traitements interdits. Puis des agents IA livrent à l'intérieur de cette structure, qui VÉRIFIE tout avant la prod : des gates déterministes — lint, types, tests, scan de sécurité et de secrets — passent avant que la moindre ligne n'atteigne la production, le tout via VOTRE GitHub. Le code existe, mais il n'arrive jamais en prod sans être contrôlé. « Je n'ai pas relu le code » ne veut plus dire « personne ne l'a contrôlé » : ça veut dire qu'une structure le fait, systématiquement.
- Le Tech Lead encode vos règles RGPD une fois ; aucun agent ne peut livrer en dehors.
- Gates déterministes (lint, types, tests, sécurité, secrets) avant la prod — zéro token, zéro hasard.
- Tout passe par votre GitHub : revue, traçabilité, historique — auditables par défaut.
le logicielUne méthode ne suffit pas : il faut le software qui l'applique.
Agentation est l'outil qui rend la Méthode Digital Native réelle. Vous pointez le produit en ligne, vous décrivez le résultat voulu ; le Tech Lead applique vos règles ; les agents livrent ; la structure vérifie ; ça revient fait, dans votre GitHub, sur votre propre abonnement IA. Vous restez en zone résultat — vous jugez le produit comme vos utilisateurs le feront — pendant que la conformité et la qualité sont garanties par une structure, pas par votre vigilance ponctuelle.
- Décrivez l'intention sur le produit live ; recevez un résultat vérifié, pas une branche à inspecter.
- Sur votre GitHub, votre plan IA : le code reste chez vous, nous ne le voyons jamais.
- La conformité devient un invariant de la structure, pas une checklist post-livraison.
cocoricoSouverains sur les outils : une équipe française, des données en UE.
Agentation est une entreprise française, faite par une équipe de français. La souveraineté numérique est lucide : on n'est peut-être pas souverains sur les MODÈLES (Claude, GPT…), mais on peut l'être sur les OUTILS qui les orchestrent — et c'est déjà l'essentiel, car avec juste des modèles, on ne fait pas grand-chose. C'est là que se joue la maîtrise : qui orchestre, où sont stockées les données, où vit le code. Chez nous, l'hébergement est en UE (Hetzner, Allemagne), les données en UE (Supabase), le code dans VOTRE GitHub, et le tout pensé RGPD dès la conception. Plutôt qu'une boîte noire américaine de plus, une couche d'orchestration que vous pouvez auditer, encadrer et garder sous votre périmètre.
- Équipe française : un interlocuteur dans votre juridiction, pas un support outre-Atlantique.
- Hébergement UE (Hetzner, Allemagne) + données UE (Supabase) : pas de transfert hors UE par défaut.
- Le code vit dans votre GitHub ; nous ne le voyons pas. La souveraineté est sur l'outil, là où elle est atteignable.
FAQLe code généré par IA est-il soumis au RGPD ?
Le code lui-même non, mais le traitement de données personnelles qu'il met en œuvre, oui — totalement. Dès qu'une application générée par IA collecte ou manipule des données personnelles, le RGPD s'applique comme pour n'importe quel logiciel, et la responsabilité de traitement reste celle de votre organisation. « L'IA l'a écrit » n'est jamais une exonération. C'est pourquoi il faut une structure qui encode vos règles RGPD et vérifie chaque livraison avant la prod.
Mes prompts ou mon code partent-ils vers un modèle américain ?
Avec Agentation, le code vit dans votre propre GitHub et tourne sur votre propre abonnement IA — nous ne le voyons jamais. L'orchestration, l'hébergement et les données sont en UE (Hetzner en Allemagne, Supabase). La souveraineté se joue sur l'outil qui orchestre : vous gardez la maîtrise du périmètre, des données et du dépôt, même si le modèle sous-jacent reste fourni par un tiers.
Comment être sûr qu'un traitement reste conforme si je ne relis pas le code ?
C'est le rôle du Tech Lead et des gates déterministes. Vos contraintes RGPD — bases légales, données à ne jamais exposer, traitements interdits, durées de conservation — sont encodées une fois ; les agents livrent à l'intérieur ; et des vérifications automatiques (lint, types, tests, scan de sécurité et de secrets) bloquent toute livraison non conforme avant la production. Vous jugez le résultat ; la structure garantit l'implémentation et sa traçabilité, le tout auditable via votre GitHub.
En quoi est-ce différent d'un assistant IA classique ou du vibe coding ?
Le vibe coding vous rend du code à relire, corriger et défendre seul — vous êtes à la fois le goulot d'étranglement et le filet de sécurité, et c'est précisément ce qui crée l'angle mort de gouvernance. Agentation place un Tech Lead et des gates automatiques entre vous et le modèle : vous recevez des résultats vérifiés et tracés, pas de la sortie brute à surveiller. La conformité devient un invariant de la structure, pas une revue manuelle aléatoire.
Agentation est-il hébergé en UE et conforme RGPD ?
Oui. L'hébergement est en UE (Hetzner, Allemagne), les données en UE (Supabase), et tout est pensé RGPD dès la conception. Le code de vos projets reste dans votre GitHub et tourne sur votre abonnement IA. C'est une entreprise française : votre interlocuteur est dans votre juridiction, sans transfert hors UE par défaut.