le bordel d'abordLe vibe coding crée un angle mort RGPD avant même la première ligne livrée.
Générer du logiciel en décrivant l'intention à une IA explose. En entreprise, ça devient vite ingérable : du code que personne ne relit, une dette qui s'accumule, des failles qui passent en prod sans qu'on sache d'où elles viennent. Le RGPD ajoute une couche que les gens oublient — chaque prompt envoyé à un modèle peut contenir des données personnelles (un schéma de base, un bout de log, un exemple d'utilisateur), et chaque réponse devient du code qui traite ces données. La CNIL est claire : dès qu'un outil d'IA traite des données personnelles, le RGPD s'applique intégralement, sans exception et sans hiérarchie avec l'AI Act.
- Un prompt mal cadré, c'est un transfert de données potentiellement hors UE — non documenté.
- Le code régurgité peut contenir des secrets, des PII d'exemple, une clé restée dans un fichier.
- Personne ne relit : l'angle mort de conformité grossit à la vitesse de la génération.
qui est responsableL'entreprise qui déploie reste responsable de traitement. Pas le fournisseur du modèle.
C'est le point que beaucoup espèrent ne pas avoir à regarder : choisir Claude, GPT ou un autre modèle pour écrire votre code n'externalise pas votre responsabilité. Vous restez responsable de traitement pour les données que vous injectez et pour le code qui en sort. Le fournisseur de modèle est, au mieux, un sous-traitant — encore faut-il un DPA signé, un opt-out d'entraînement, et la traçabilité des transferts hors UE. Les sanctions ne sont pas théoriques : jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial. La vraie question n'est donc pas « le modèle est-il conforme ? » mais « ma chaîne de production de code est-elle conforme ? ».
- Responsable de traitement = vous ; sous-traitant = le fournisseur de modèle, sous DPA.
- Base légale, minimisation, durée de conservation : à documenter pour les prompts comme pour les outputs.
- Une AIPD est attendue dès qu'un traitement IA présente un risque élevé.
la vraie questionLa garde du code : où vit ce que la machine écrit ?
Le code généré par IA n'est pas un livrable abstrait — il vit quelque part. Avec la plupart des plateformes de vibe coding, il vit chez elles : repos hébergés sur leur infra, build sur leurs serveurs, souvent hors UE, parfois réutilisé. Vous perdez la garde de votre propre logiciel au moment précis où vous en avez le plus besoin pour prouver votre conformité. La Méthode Digital Native renverse ça : le code n'appartient jamais à l'outil. Il est commité, vérifié et poussé dans VOTRE GitHub, sur VOTRE plan, sous votre contrôle. L'outil orchestre ; il ne détient rien.
- Le code transite par votre GitHub — pas par un repo locataire chez le fournisseur.
- Garde, journal d'audit et droit de regard restent de votre côté.
- Migrer, auditer, supprimer : vous gardez les leviers RGPD que sont l'accès et l'effacement.
la méthode, puis le softwareUne méthode qui vérifie avant la prod — et le software pour l'appliquer.
Décrire une intention ne suffit pas à être conforme : il faut une structure qui vérifie. C'est la Méthode Digital Native — un Product Owner décrit le résultat sur le produit live, un Tech Lead encode les règles une fois (architecture, conventions, sécurité, exigences RGPD de l'entreprise), et des agents IA livrent à l'intérieur de ces règles. Des gates déterministes — lint, types, tests, secrets, sécurité — passent avant que quoi que ce soit n'atteigne la production. « Privacy by design » cesse d'être un slogan : c'est une étape de la chaîne, pas une bonne intention. Mais une méthode ne s'applique pas à la main ; il faut le software qui la rend réelle. C'est Agentation.
- Le Tech Lead encode vos règles RGPD une fois ; aucun agent ne livre en dehors.
- Gates déterministes (zéro token IA) : un scan de secrets et de PII avant tout push.
- Tout passe par votre GitHub : la conformité devient vérifiable, pas déclarative.
cocoricoSouverains sur l'outil, à défaut de l'être sur le modèle.
Agentation est une entreprise française, une équipe de français. Soyons honnêtes : on n'est pas souverains sur les modèles — Claude, GPT et les autres sont américains. Mais avec un modèle seul, on ne fait pas grand-chose. La valeur est dans l'outil qui orchestre, vérifie et garde le code — et là, on peut être pleinement souverains. Hébergement UE (Hetzner, Allemagne), données en UE (Supabase), code dans votre GitHub, conformité RGPD by design. C'est une part énorme de la chaîne, et c'est précisément la part qu'on choisit de tenir depuis la France.
- Hébergement Hetzner (Allemagne, UE) ; données Supabase en UE.
- Le code reste dans votre GitHub — nous ne le détenons jamais.
- Souveraineté sur l'orchestration : la couche où se joue vraiment la conformité.
FAQLe code généré par une IA américaine peut-il être conforme au RGPD ?
Oui, à condition de séparer deux choses. Le modèle (souvent américain) est un sous-traitant qu'il faut encadrer par un DPA avec opt-out d'entraînement et traçabilité des transferts. La chaîne qui produit, vérifie et héberge le code, elle, peut rester en UE et sous votre garde. Agentation orchestre depuis la France, héberge en UE et pousse le code dans votre GitHub — la conformité se joue sur cette couche, pas sur le modèle seul.
Qui est responsable si le code généré par IA viole le RGPD ?
L'entreprise qui déploie reste responsable de traitement pour les données qu'elle injecte dans les prompts et pour le code qui en sort. Le fournisseur de modèle est au mieux sous-traitant. C'est pourquoi la traçabilité (quel prompt, quel output, quel push) et les gates avant production ne sont pas optionnels : ils sont votre preuve de diligence.
Où est hébergé le code que produisent les agents ?
Dans votre propre GitHub, sur votre plan. Agentation n'héberge pas votre code et ne le réutilise pas. Notre orchestration tourne sur une infrastructure en UE (Hetzner, Allemagne) et nos données de service sont en UE (Supabase). Vous gardez la garde du code, donc les leviers RGPD que sont l'accès, l'audit et l'effacement.
En quoi est-ce différent d'une plateforme de vibe coding classique ?
Une plateforme de vibe coding héberge souvent votre code chez elle, build hors UE et vous rend un livrable que personne ne relit — l'angle mort RGPD parfait. La Méthode Digital Native ajoute un Tech Lead qui encode vos règles, des gates déterministes (dont un scan de secrets et de PII) avant la prod, et la garde du code chez vous. Vous recevez du code vérifié et souverain, pas un dépôt locataire que vous ne contrôlez plus.
Faut-il une AIPD pour générer du code avec de l'IA ?
Cela dépend du traitement. Si vos prompts ou le code généré manipulent des données personnelles à risque élevé, la CNIL attend une analyse d'impact (AIPD). La bonne pratique est de minimiser les données envoyées aux modèles, de documenter base légale et durée de conservation, et de faire passer chaque livrable par des contrôles automatiques avant la production — ce que la structure d'Agentation impose par défaut.