Confidentialité de GitHub Copilot : guide des garanties et du dépannage

Comment GitHub Copilot gère vos données

Comme nous l’expliquons dans notre tutoriel GitHub Copilot : bonnes pratiques, Copilot envoie un instantané du contexte de code environnant aux serveurs de GitHub à chaque saisie dans votre IDE. Le modèle traite ce contexte et renvoie une suggestion : ce sont les données d’interaction qui alimentent l’expérience.

Pour les utilisateurs individuels (Free, Pro et Pro+), la déclaration de confidentialité de GitHub autorise l’utilisation de ces données d’interaction pour l’entraînement des modèles. Les utilisateurs peuvent se désinscrire à tout moment via leurs paramètres de confidentialité personnels. Les offres Business et Enterprise sont couvertes par des termes contractuels séparés qui excluent totalement les données d’interaction de l’entraînement : aucune action requise côté utilisateur.

Ce qui est considéré comme données d’interaction

Le code de dépôts privés stocké au repos n’est pas utilisé. En revanche, les données d’interaction générées lorsque vous utilisez activement Copilot dans un dépôt privé peuvent servir à l’entraînement, sauf si vous vous désinscrivez. Mais que recouvrent exactement les « données d’interaction » ?

Lorsque vous utilisez Copilot, le système collecte plusieurs types de signaux pour améliorer son assistance au code, notamment : 

• Entrées et invites : Toutes les commandes ou questions envoyées à Copilot Chat ou au CLI. 
• Sorties : Les suggestions de code ou réponses textuelles du modèle, y compris le fait que vous les ayez acceptées ou refusées. 
• Contexte de code : Des extraits autour de la position du curseur et le contenu des fichiers ouverts utilisés pour proposer des suggestions pertinentes. 
• Métadonnées et structure : Noms de fichiers, structure du dépôt et vos parcours de navigation dans l’IDE. 
• Retour utilisateur : Vos évaluations (pouce levé/baissé) et les commentaires saisis.

Différences de traitement des données selon l’offre

GitHub propose plusieurs niveaux de compte : Free, Pro, Business et Enterprise. Le traitement des données varie selon l’offre, comme indiqué dans le tableau ci‑dessous. 

Au‑delà de la désinscription pour les offres individuelles, l’essentiel à retenir est que les utilisateurs Business et Enterprise bénéficient d’exclusions de contenu, d’une indemnisation PI et de contrôles d’administration au niveau de l’organisation, indisponibles dans les offres gratuites et individuelles.  Pour une comparaison plus détaillée de chaque niveau au‑delà du traitement des données, consultez notre guide GitHub Copilot Plans.

Quelques points d’attention : les exclusions de contenu ne s’appliquent pas encore au mode Édition, au mode Agent dans les chats IDE, au GitHub Copilot CLI ni à l’agent cloud. La couverture d’indemnisation PI exige que le filtre de détection de duplication soit activé et que la suggestion soit utilisée sans modification.

Configurer les paramètres de confidentialité de Copilot

La confidentialité des données est devenue un enjeu majeur pour toute entreprise. Passons en revue les paramètres qui déterminent si vos interactions alimentent l’entraînement des modèles lorsque vous utilisez GitHub Copilot.

Désinscription pour Free, Pro et Pro+

Pour votre compte individuel, vous pouvez refuser l’utilisation de vos données pour l’entraînement en allant dans les paramètres GitHub et en positionnant « Autoriser GitHub à utiliser mes données pour l’entraînement de modèles d’IA » sur Désactivé, comme illustré ci‑dessous. 

Se désinscrire stoppe la collecte future et ne réduit pas les fonctionnalités de Copilot. Toutefois, GitHub ne peut pas garantir la suppression de données déjà utilisées lors d’entraînements antérieurs ; vos données collectées auparavant peuvent donc rester dans des jeux d’entraînement existants.

Politiques d’organisation et d’entreprise

Les utilisateurs Business et Enterprise sont déjà exclus de l’entraînement des modèles, mais les administrateurs doivent néanmoins revoir les politiques de partage des données pour contrôler les fonctionnalités Copilot activées à l’échelle de l’organisation :

• Settings de l’org > Copilot > Policies permet de gérer les bascules de fonctionnalités, l’attribution des sièges et la sélection de modèles pour tous les membres.
• Les politiques au niveau de l’organisation prévalent sur les préférences individuelles ; tout réglage ici s’applique à tous.
• Les propriétaires Enterprise peuvent définir des politiques héritées sur plusieurs organisations et auditer l’état courant depuis un tableau de bord unique.

Utiliser les exclusions de contenu de Copilot

Vous pouvez décider d’empêcher Copilot d’accéder à certains contenus. Depuis les paramètres du dépôt, vous pouvez indiquer le contenu que Copilot doit ignorer. 

Fonctionnement des exclusions de contenu

Pour les fichiers exclus : 

• Les suggestions en ligne ne seront pas proposées. 
• Leur contenu ne servira pas à générer des suggestions dans d’autres fichiers. 
• Leur contenu ne sera pas utilisé pour les réponses de GitHub Copilot Chat.
• Copilot ne réalisera pas de revue de code sur ces fichiers. 

Les exclusions peuvent être configurées par les administrateurs de dépôt, les propriétaires d’organisation et les propriétaires Enterprise.

Configurer des exclusions au niveau du dépôt et de l’organisation

Au niveau du dépôt, rendez‑vous dans Settings > Copilot > Content Exclusion, puis indiquez des chemins avec des motifs glob. Des motifs courants incluent **"**/secrets/**"**  pour exclure tout chemin contenant un répertoire secrets, et **"*.env"**  pour exclure tous les fichiers d’environnement. 

L’API REST offre une option programmatique si vous gérez des exclusions sur de nombreux dépôts et souhaitez versionner votre configuration.

Au niveau de l’organisation, le chemin est : Org Settings > Copilot > Content Exclusion. Les règles définies ici s’appliquent à tous les dépôts de l’organisation.

Les règles au niveau de l’organisation et du dépôt s’additionnent, donc les deux s’appliquent simultanément. Les règles au niveau Enterprise priment sur celles d’org et de dépôt.

Pour vérifier que les exclusions fonctionnent : ouvrez un fichier exclu et demandez à Copilot Chat « explain this file ». Si Chat fournit une réponse pertinente sur le contenu du fichier, l’exclusion n’est pas appliquée. C’est le signal pour recharger l’extension et re‑vérifier la syntaxe de la règle.

Limites à connaître

Lors de l’utilisation des exclusions de contenu de GitHub Copilot, il est important d’avoir en tête les points suivants : 

• Copilot CLI, le mode Agent et les Cloud Agents ne respectent pas les règles d’exclusion (mi‑2026).
• Fuite sémantique : les informations de type et les infobulles issues de fichiers exclus peuvent encore influencer indirectement les suggestions.
• Les liens symboliques (symlinks) et les systèmes de fichiers distants ne sont pas couverts.

Référencement du code et détecteur de duplication

GitHub Copilot vous aide à comprendre la provenance du code suggéré en référenciant et en liant la source. Lorsque vous acceptez une suggestion de ce type, Copilot journalise l’URL de la source et sa licence. 

Sur cette base, vous pouvez décider d’utiliser ou non l’extrait et du type d’attribution à prévoir. 

Fonctionnement du filtre de duplication

Lorsqu’il génère une suggestion, Copilot exécute un filtre face au code public connu. Si la suggestion correspond à un dépôt public au‑delà d’un seuil de similarité, elle est soit bloquée, soit signalée avec attribution. 

Quand vous acceptez la suggestion, Copilot journalise 

• La date et l’heure d’acceptation
• Le fichier où la suggestion a été ajoutée
• Un extrait du code ajouté
• La licence et l’URL de la source du code

Vous pouvez afficher les références de code directement dans votre IDE lorsqu’une correspondance est signalée. Dans VS Code, elles apparaissent dans le panneau de sortie Copilot à côté de la suggestion.

Ce que le filtre ne détecte pas

Le filtre de duplication ne signale pas les éléments suivants : 

• Les courts extraits et motifs communs, trop génériques pour être signalés.
• Le code restructuré ou partiellement modifié par rapport à une source.

L’objectif du filtre est de détecter les correspondances mot‑à‑mot ou quasi identiques, pas la similarité conceptuelle.

Indemnisation PI et protections contractuelles

GitHub offre une indemnisation en matière de propriété intellectuelle (PI) aux clients Copilot Business et Enterprise. Si une suggestion déclenche une réclamation PI, GitHub prend en charge la défense juridique. 

Deux conditions s’appliquent : 

1. Le filtre de duplication doit être activé
2. Vous devez disposer d’une offre éligible

Les utilisateurs Free et Pro ne sont pas couverts. Il s’agit d’une garantie commerciale ; elle n’empêche pas l’apparition de correspondances, mais couvre le risque si une correspondance entraîne un litige.

Gérer les politiques Copilot sur GitHub.com

La page des politiques Copilot sur GitHub.com permet aux administrateurs d’organisation et d’entreprise de contrôler ce que Copilot peut faire à l’échelle de l’équipe. 

Activer et désactiver des fonctionnalités Copilot

Les administrateurs peuvent activer/désactiver indépendamment les complétions de code, le Chat, la revue de code, l’intégration GitHub CLI et le mode agent. Cette granularité est utile pour un déploiement progressif ou pour restreindre certaines capacités à des équipes spécifiques. 

L’attribution des sièges se fait également ici : vous contrôlez qui a accès et vous pouvez attribuer des sièges par utilisateur ou par groupe.

Configurer les modèles d’IA autorisés

Copilot prend désormais en charge plusieurs modèles sous‑jacents, et les administrateurs peuvent restreindre ceux disponibles pour l’organisation. Vous pouvez verrouiller un modèle précis, ou autoriser toutes les options disponibles et laisser les développeurs choisir. 

Pour les environnements publics et réglementés, GitHub propose des modèles conformes au programme FedRAMP (Federal Risk and Authorization Management Program). 

Vérifiez les paramètres de politique Copilot dans l’onglet Copilot de votre organisation pour voir ce qui est disponible selon votre offre.

Audit et conformité

Les métriques d’usage de Copilot, dont les taux de complétion, le nombre d’utilisateurs actifs, ainsi que les tendances par fonctionnalité et par modèle, sont disponibles sous l’onglet Insights au niveau Enterprise et au niveau Organisation (Insights > Copilot usage). 

La politique « Copilot usage metrics » doit être activée avant d’accéder au tableau de bord. Des ventilations par membre sont disponibles via un export NDJSON. 

Les données de sièges et de licences sont distinctes et se trouvent dans Org Settings > Copilot > Access.

Pour un aperçu détaillé de la nouvelle API Usage Metrics et d’autres fonctionnalités avancées, n’oubliez pas de lire notre guide GitHub Copilot Enterprise.

Notez que le journal d’audit n’inclut pas les données de session client, telles que les invites ; une solution personnalisée est nécessaire pour cela. Pour conserver l’historique au‑delà de 180 jours ou configurer des alertes d’anomalies, GitHub recommande d’exporter le journal d’audit vers une plateforme SIEM via sa fonctionnalité d’export en continu.

Dépanner GitHub Copilot

Lorsque Copilot cesse de fonctionner, la cause est quasi toujours l’un des points suivants. Passez‑les en revue avant d’ouvrir un ticket de support.

Suggestions manquantes ou interrompues

Commencez par l’icône d’état Copilot dans la barre d’état de votre IDE. Une barre diagonale sur l’icône signifie qu’une exclusion de contenu est active pour le fichier en cours. 

Si l’icône semble normale mais que les suggestions n’apparaissent pas, vérifiez dans cet ordre : 

• Mettez à jour votre IDE et l’extension Copilot vers la dernière version.
• Vérifiez que votre abonnement est actif et que votre compte dispose d’un siège attribué.
• Contrôlez les règles d’exclusion pour le fichier et le dépôt actuels, et testez votre connexion réseau. 

Les configurations de proxy et VPN sont des bloqueurs silencieux fréquents. L’IDE doit atteindre les serveurs de Copilot sur l’infrastructure GitHub, et certains proxys d’entreprise les bloquent sans message d’erreur clair.

Exclusion de contenu inattendue

Après l’ajout ou la modification d’exclusions, jusqu’à 30 minutes peuvent être nécessaires pour qu’elles prennent effet dans les IDE où les paramètres sont déjà chargés. 

Pour appliquer les changements immédiatement : 

• Dans VS Code, ouvrez la palette de commandes et lancez Developer : Reload Window. 
• Dans les IDE JetBrains et Visual Studio, fermez puis rouvrez l’application. 
• Dans Vim/Neovim, aucune action : les exclusions sont récupérées automatiquement à chaque ouverture de fichier.

Après rechargement, testez explicitement l’exclusion : ouvrez le fichier exclu et demandez au Chat de l’expliquer. Si le Chat répond sur ce fichier, l’exclusion n’est pas appliquée ; vous devez revérifier la syntaxe de la règle. 

Notez que trois fonctionnalités Copilot ne prennent pas en charge les exclusions de contenu : Copilot CLI, l’agent de codage Copilot (agent autonome cloud) et le mode Agent dans Copilot Chat dans les IDE. Si vous observez des accès inattendus à des fichiers dans l’un de ces contextes, ce n’est pas une mauvaise configuration.

Problèmes d’authentification et de jetons

Si Copilot est indisponible dans VS Code alors que vous êtes connecté, déconnectez‑vous via l’icône Accounts en bas à gauche, rechargez la fenêtre (F1 > Developer : Reload Window dans VS Code), puis reconnectez‑vous.

Dans Visual Studio, confirmez que le compte GitHub connecté correspond à celui disposant d’un siège Copilot, actualisez vos identifiants si besoin, ou essayez de supprimer puis réajouter votre compte GitHub et redémarrer Visual Studio.

Limitation de débit

Le modèle de facturation à l’usage de Copilot implique des plafonds propres à chaque offre, et les modèles premium consomment cette capacité plus vite que les modèles de base. 

Si les suggestions s’arrêtent en cours de session ou si Copilot Chat renvoie des erreurs, passer sur la sélection automatique de modèle (ou un modèle avec un multiplicateur plus faible) peut résoudre le problème le temps que la fenêtre d’usage se réinitialise. 

Les administrateurs Enterprise peuvent surveiller l’usage de manière proactive via le tableau de bord analytique de Copilot pour anticiper les limites. 

En cas de problème de service, vérifiez githubstatus.com avant de passer du temps à déboguer en local.

Conclusion

GitHub Copilot offre aux équipes un contrôle réel sur la gestion de leurs données, depuis des protections contractuelles au niveau des offres jusqu’aux exclusions de contenu fines et au filtre de duplication. 

Comprendre ces paramètres (et savoir les configurer correctement) vous permet d’adopter Copilot en toute confiance, que vous soyez développeur indépendant ou en déploiement à l’échelle d’une entreprise. Si quelque chose ne fonctionne pas comme prévu, les étapes de dépannage ci‑dessus devraient vous remettre rapidement sur de bons rails.

Si vous souhaitez pratiquer avec GitHub Copilot, apprendre à le personnaliser et à tirer parti de toutes ses fonctionnalités intelligentes, je vous recommande vivement notre cours Software Development with GitHub Copilot.