
Les repositories GitHub servent-ils à entraîner l'IA ?
Oui, les repositories GitHub publics servent à entraîner des modèles d'IA. C'est un fait documenté. GitHub Copilot, Codex et d'autres modèles ont été entraînés sur du code open source hébergé sur la plateforme. Si vous avez un jour publié du code en public sur GitHub, il a des chances d'avoir nourri un modèle de langage. Cet article fait le point sur ce que GitHub autorise, ce que les acteurs de l'IA récupèrent réellement, et les leviers à votre disposition pour protéger votre code.
Ce que GitHub fait de votre code public
GitHub héberge plus de 300 millions de dépôts. La majorité est publique, donc accessible à n'importe quel programme de collecte de données. En 2020, GitHub (propriété de Microsoft) a officialisé son partenariat avec OpenAI. Ce partenariat donne à OpenAI un accès au code public pour entraîner ses modèles.
Le résultat est concret. Copilot, lancé en 2021, a été entraîné sur des milliards de lignes de code issues de repositories publics. OpenAI a constitué un jeu de données incluant du code GitHub pour développer Codex. Des chercheurs ont également montré que Copilot pouvait reproduire des fragments entiers de code existant, parfois avec les commentaires d'origine, ce qui a déclenché un débat légitime sur le droit d'auteur...
GitHub considère que le code public relève d'un accès ouvert, conforme à ses conditions d'utilisation. En pratique, cela signifie que tout dépôt public est susceptible d'être inclus dans un corpus d'entraînement, que son auteur en soit conscient ou non. Même un projet personnel publié il y a des années, sans activité récente, a pu être scrapé et intégré dans un dataset.
Repositories privés : quelle protection ?
Les dépôts privés fonctionnent sous un autre régime. GitHub indique ne pas utiliser le code des repositories privés pour l'entraînement de ses modèles. C'est écrit dans leur documentation officielle et dans les conditions du service Copilot.
La distinction entre public et privé est nette sur le papier. Deux nuances méritent d'être soulignées. D'abord, le code privé transite par les serveurs de GitHub si vous activez Copilot sur ces dépôts. GitHub affirme ne pas stocker ni réutiliser ce code au-delà de la requête, mais le code passe par leurs infrastructures. Ensuite, les offres Copilot Business et Copilot Enterprise renforcent ces garanties avec des engagements contractuels plus stricts sur la non-rétention des données.
Si vous travaillez sur un projet sensible et que vous utilisez Copilot sur un repo privé avec un plan gratuit, le code n'est pas censé servir à l'entraînement. Mais il transite. Pour les entreprises qui manipulent du code propriétaire, les plans supérieurs offrent une couverture juridique plus solide.
| Type de dépôt | Entraînement IA ? | Transit serveur ? |
|---|---|---|
| Public | Oui | Oui |
| Privé (gratuit/Pro) | Non selon GitHub | Oui si Copilot activé |
| Privé (Business/Enterprise) | Non, garanties contractuelles | Oui, sans rétention |
Copilot, Claude, Codex : que deviennent vos données ?
Le sujet dépasse GitHub. Quand vous utilisez un assistant IA dans votre éditeur de code, votre travail transite sur des serveurs externes. Ce qui se passe ensuite dépend de l'outil et du canal utilisé.
- OpenAI (fournisseur de Codex et GPT-5) n'utilise pas les données envoyées via l'API pour l'entraînement. C'est une politique en vigueur depuis mars 2023. En revanche, l'interface web de ChatGPT peut utiliser vos conversations pour améliorer ses modèles, sauf si vous avez désactivé cette option dans les paramètres (Settings puis Data Controls). Les plans ChatGPT Team et Enterprise excluent cette utilisation par défaut.
- Anthropic (éditeur de Claude) applique une logique comparable. L'API Claude n'utilise pas vos données pour l'entraînement. L'interface web de Claude peut le faire si vous n'avez pas activé l'opt-out dans vos préférences. C'est une distinction que peu d'utilisateurs connaissent, et elle change tout quand on travaille sur du code sensible.
- Cursor, Windsurf et d'autres éditeurs IA reposent sur ces mêmes modèles tiers. Leurs propres politiques s'ajoutent à celles des fournisseurs sous-jacents, mais le code finit par transiter sur les mêmes serveurs.
Les corpus de code qui alimentent les modèles
OpenAI n'est pas le seul acteur à avoir exploité du code GitHub. Des jeux de données massifs ont été constitués à partir du code public disponible sur la plateforme, et ils circulent largement.
The Stack, publié par le projet BigCode, contient plus de 3 To de code source issu de GitHub, couvrant 358 langages de programmation. Ce dataset a servi à entraîner StarCoder, un modèle de code open source. Son caractère public signifie que n'importe qui peut le télécharger et l'intégrer dans un pipeline d'entraînement.
RedPajama et The Pile incluent également des portions de code GitHub dans leurs corpus. Common Crawl, le projet de crawl web le plus utilisé pour l'entraînement des grands modèles de langage, capture régulièrement des pages GitHub et le code qu'elles contiennent. Votre code public sur GitHub a donc pu nourrir des dizaines de modèles, pas seulement Copilot.
Ces datasets sont constitués une fois, puis partagés et réutilisés. Même si vous supprimez votre dépôt aujourd'hui, le code qui a été collecté hier reste dans ces corpus. Il n'existe aucun mécanisme centralisé pour retirer du code d'un dataset existant.
Comment limiter l'exposition de votre code
Plusieurs leviers existent pour réduire la présence de votre code dans les corpus d'entraînement. Aucun n'est parfait, mais chacun apporte une couche de protection.
- Passer un dépôt en privé est la mesure la plus directe. GitHub ne devrait pas utiliser ce code pour l'entraînement de ses modèles. Si le dépôt a été public par le passé, le code a pu être collecté avant le passage en privé. L'opt-out Copilot permet d'exclure vos dépôts publics de l'entraînement du modèle. Vous le trouverez dans les paramètres de votre profil GitHub : Settings puis Copilot. Cette exclusion ne s'applique qu'à Copilot et aux modèles OpenAI. Les autres acteurs qui ont déjà collecté votre code n'ont aucune obligation de le retirer de leurs datasets.
- Ajouter une licence restrictive crée un cadre juridique. Les licences GPL et AGPL imposent des conditions sur la redistribution. Une licence personnalisée peut interdire explicitement l'usage du code pour l'entraînement de modèles d'IA. L'application de ces licences reste complexe. Les procès en cours aux États-Unis, notamment celui intenté par des développeurs contre GitHub et OpenAI, montreront si elles offrent une protection réelle.
- Pour les projets les plus sensibles, une solution self-hosted comme Ollama avec un modèle local (CodeLlama, DeepSeek Coder) élimine toute exposition externe. Le code ne quitte jamais votre machine. C'est la seule option qui offre une garantie totale, au prix d'une puissance de calcul limitée par votre matériel.
Sources
- GitHub Copilot Trust Center : Politique officielle de GitHub sur l'utilisation des données et l'entraînement des modèles.
- BigCode - The Stack : Documentation du dataset The Stack utilisé pour entraîner StarCoder.
- GitHub Copilot Litigation : Recours collectif des développeurs contre GitHub et OpenAI pour violation de droits d'auteur.
GitHub utilise-t-il le code des dépôts privés pour entraîner ses modèles ?
Non. GitHub indique que les dépôts privés ne sont pas utilisés pour l'entraînement de Copilot. Les plans Business et Enterprise offrent des garanties contractuelles supplémentaires sur la non-rétention des données.
Peut-on retirer son code des corpus d'entraînement existants ?
Pas de manière fiable. L'opt-out Copilot empêche les futurs entraînements du modèle OpenAI, mais le code déjà collecté par d'autres acteurs reste dans leurs datasets. Aucun mécanisme de retrait global n'existe à ce jour.
Les assistants IA dans VS Code envoient-ils mon code sur des serveurs ?
Oui, sauf si vous utilisez un modèle local. Copilot, Cursor et d'autres outils envoient le contexte de votre code à des serveurs distants pour générer des suggestions. Le code transite même s'il n'est pas utilisé pour l'entraînement.
Une licence open source protège-t-elle contre l'utilisation par l'IA ?
C'est un sujet juridique non tranché. Les licences open source couvrent l'utilisation et la redistribution du code, mais n'abordent pas explicitement l'entraînement de modèles d'IA. Des procès sont en cours pour clarifier ce point.
Quelle différence entre l'API ChatGPT et l'interface web pour mes données ?
L'API OpenAI n'utilise pas vos données pour l'entraînement par défaut. L'interface web de ChatGPT peut les utiliser si vous n'avez pas désactivé cette option dans Settings → Data Controls. C'est une distinction importante pour le code sensible.





