Vibe coding et RGPD : pourquoi votre site généré par IA est peut-être illégal

Les agents de code comme Claude Code et Codex livrent un site qui marche en quelques heures, mais ils introduisent en silence des infractions au RGPD que vous n'avez jamais demandées : cookies posés avant consentement, données personnelles gardées indéfiniment, aucun moyen pour l'utilisateur de les supprimer. Voici pourquoi ça arrive avec tous les agents, ce que ça peut coûter, et le skill Claude Code gratuit qui scanne votre projet et corrige les problèmes RGPD.

Vous décrivez une application à un agent de code, il écrit le code, vous déployez, et quelques heures plus tard vous avez un vrai produit en ligne. C'est la promesse du vibe coding, et la plupart du temps elle est tenue. Le site charge, l'inscription fonctionne, le tableau de bord est propre. Tout ce que vous voyez est nickel.

Le problème, c'est tout ce que vous ne voyez pas. Pendant qu'il branchait vos fonctionnalités, l'agent a aussi pris des dizaines de petites décisions sur les cookies, le traçage, le stockage des données et les droits des utilisateurs. Personne ne lui a demandé de penser à la loi, alors il n'y a pas pensé. Au moment où vous livrez, votre site flambant neuf repose déjà peut-être sur une pile d'infractions au RGPD, et vous n'en savez rien.

Ce n'est pas un problème propre à Claude, ni à Codex. C'est une propriété structurelle de la façon dont fonctionnent les agents de code, et elle vaut pour tous. Voyons précisément ce qui dérape, ce que ça peut vous coûter, et le skill Claude Code gratuit qui trouve et corrige ces problèmes avant qu'un régulateur ne le fasse.

Ce qu'un agent de code rate en silence

Un agent de code optimise une seule chose : faire marcher la fonctionnalité. Demandez-lui des statistiques et il colle un script de tracking. Demandez-lui un formulaire de contact et il stocke chaque envoi dans une table. Demandez-lui une connexion et il conserve les comptes indéfiniment. Chaque choix est raisonnable isolément. Mis bout à bout, ils forment la liste type des infractions que les régulateurs sanctionnent le plus souvent.

Voici ce qui passe entre les mailles sur un site typique fait au vibe coding :

  • Les cookies et traceurs se déclenchent avant le consentement. Statistiques, cartes intégrées, polices, pixels sociaux et outils de session se chargent dès l'ouverture de la page. Selon le RGPD et la directive ePrivacy, les cookies non essentiels exigent un consentement préalable et libre. Un site qui les dépose au premier affichage est déjà non conforme, et un bandeau qui n'apparaît qu'après le déclenchement du traceur n'y change rien.
  • Les données personnelles sont gardées pour toujours. L'agent crée une table users, une table submissions, une table logs, et n'ajoute jamais de politique de conservation. Le RGPD impose de ne garder une donnée personnelle que le temps réellement nécessaire. « Pour toujours, au cas où » est exactement la violation du principe de limitation de conservation que la loi vise.
  • Aucun moyen de supprimer ses données. Les utilisateurs ont un droit à l'effacement, le fameux droit à l'oubli. Presque aucune app faite au vibe coding ne livre un parcours « supprimer mon compte » ni une procédure documentée pour honorer une demande d'effacement. La donnée entre, et il n'y a aucune porte de sortie.
  • Pas de droit d'accès ni de portabilité. Une personne peut demander une copie de tout ce que vous détenez sur elle. Si votre seule réponse est une requête SQL manuelle que vous n'avez jamais testée, vous ne remplissez pas vos obligations d'accès et de portabilité.
  • Des données quittent l'UE en silence. Ce script de statistiques ou cette police hébergée ajoutés en deux secondes envoient peut-être des adresses IP et des identifiants vers des serveurs hors UE, sans aucun mécanisme légal de transfert.
  • Aucun registre de ce que vous collectez. Le RGPD attend de vous que vous connaissiez et documentiez vos traitements. Une app dont les flux de données ne vivent que dans l'historique de chat oublié de l'agent n'a aucun registre.

Rien de tout cela n'apparaît dans une démo. L'app marche à la perfection. La couche légale est simplement absente, et elle le reste jusqu'à ce que quelqu'un porte plainte ou qu'un régulateur frappe à la porte.

Comparaison en deux colonnes intitulée ce qui est livré contre ce que la loi exige. La colonne de gauche liste ce que livre un agent de code avec des coches vertes : l'authentification fonctionne, l'interface est soignée, les paiements sont en place, le build est propre. La colonne de droite liste ce que le RGPD exige avec des marques d'alerte rouges qui apparaissent une à une : le consentement avant les cookies, une limite de conservation des données, le droit à l'effacement, une base légale documentée. Une fente en pointillés descend au milieu pour montrer l'espace invisible entre un site qui tourne et un site conforme.

L'agent remplit la colonne de gauche sans faute. La colonne de droite est la partie que personne ne lui a demandé de construire, alors elle reste vide.

Pourquoi tous les agents font ça, pas seulement Claude

C'est tentant d'accuser un seul outil, mais la cause est plus profonde. Les agents de code apprennent sur du code public, et la plupart du code public n'a jamais été écrit avec le RGPD en tête. Quand un modèle a vu dix mille exemples de « ajouter Google Analytics » qui collent le script directement dans le <head>, c'est le motif qu'il reproduit. Les données d'entraînement encodent la mauvaise habitude, donc la sortie en hérite.

Il existe des chiffres solides sur la version plus large de ce problème. Le rapport 2025 de Veracode sur la sécurité du code généré par IA a testé la sortie de plus de 100 grands modèles sur des dizaines de tâches et a constaté que 45 % du code généré par IA introduisait une faille de sécurité. La même étude a trouvé que le code écrit par IA portait 2,74 fois plus de vulnérabilités que le code écrit par des humains, et, fait parlant, que les modèles plus récents et plus gros ne faisaient pas mieux. C'est structurel, pas un bug que la prochaine version corrige.

La conformité au RGPD a exactement la même forme que la sécurité. Les deux sont des exigences invisibles que l'objectif « faire marcher » contourne sans s'arrêter. Donc que vous pilotiez Claude Code ou Codex, Antigravity CLI, Cursor ou n'importe quel autre agent, vous êtes exposé au même angle mort. L'outil change, le trou reste.

Ce qu'une infraction au RGPD peut réellement coûter

C'est ici que ça cesse d'être abstrait. Les amendes RGPD sont plafonnées au plus élevé de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, et les régulateurs ont commencé à taper dans le haut de la fourchette.

Rien qu'en 2025, la CNIL a prononcé 486 millions d'euros d'amendes, soit près de dix fois son total de 2024. Deux décisions tombées le même jour de septembre en représentent l'essentiel : 325 millions d'euros contre Google pour des manquements sur les cookies et la transparence publicitaire, et 150 millions d'euros contre Shein pour des traceurs déposés sans consentement. Les catégories exactes d'erreur qu'un agent IA livre par défaut sont les mêmes que celles qui valent des amendes à neuf chiffres.

C'est facile de lire ces montants et de croire que les régulateurs ne s'en prennent qu'aux géants. C'est faux. La CNIL applique une procédure simplifiée taillée pour les cas petits et factuels : un bandeau cookies non conforme, une demande d'accès ignorée, une politique de mot de passe faible. Ce sont les manquements du quotidien d'une petite structure, et ce sont exactement ceux qu'un site fait au vibe coding rate. La taille de votre entreprise change le montant de l'amende, pas le fait que vous puissiez en prendre une.

Graphique en barres verticales intitulé où sont tombées les amendes RGPD en 2025. Trois barres montent depuis une ligne de base en s'animant : 150 millions d'euros contre Shein pour des traceurs posés sans consentement, 325 millions d'euros contre Google pour des manquements sur les cookies et la transparence, et la barre la plus haute à 486 millions d'euros, le total prononcé par le régulateur français en 2025, presque dix fois l'année précédente. Un badge dans le coin note le plafond légal de 20 millions d'euros ou 4 pour cent du chiffre d'affaires mondial par infraction.

Les grosses amendes touchent les grandes entreprises, mais les infractions derrière, cookies sans consentement et manque de transparence, sont les mêmes qu'un agent de code livre sur un petit site par défaut.

Ce que le RGPD demande vraiment (en clair)

Vous n'avez pas besoin de devenir juriste pour combler l'essentiel du trou. La majeure partie de la conformité du quotidien tient à une poignée de comportements concrets que votre code respecte ou non :

  • Le consentement avant les cookies non essentiels. Rien qui trace, profile ou mesure ne doit s'exécuter tant que l'utilisateur n'a pas activement accepté. Les cookies strictement nécessaires sont la seule exception.
  • Une base légale pour chaque donnée collectée. Consentement, contrat ou intérêt légitime, décidé avant de stocker quoi que ce soit, pas après.
  • La minimisation des données. Ne collectez que ce dont la fonctionnalité a réellement besoin. L'instinct de l'agent de tout logger est l'exact contraire.
  • Des limites de conservation. Chaque catégorie de donnée personnelle a besoin d'une durée de vie définie et d'un moyen de la supprimer à échéance.
  • Les droits des personnes. Accès, rectification, effacement et portabilité ont tous besoin d'un parcours réel et fonctionnel, pas d'une promesse dans une politique de confidentialité.
  • Une notice de confidentialité claire et un registre des traitements. Les gens doivent pouvoir voir ce que vous collectez et pourquoi, et vous devez pouvoir le prouver.

Relisez cette liste face à la section sur ce que les agents ratent et le recouvrement est presque parfait. La bonne nouvelle, c'est que comme ce sont des comportements concrets au niveau du code, un outil peut les scanner.

La solution : un skill Claude Code gratuit qui scanne et répare

Voici ce que la checklist manuelle ne peut pas vous donner : une passe automatique sur votre vrai code. Un développeur nommé Jeremy Longshore a publié un skill Claude Code gratuit et open source baptisé scanning-for-gdpr-compliance (référencé dans certains catalogues sous le nom GDPR Compliance Scanner) qui fait exactement ça. Il vit dans le dépôt claude-code-plugins-plus et tourne entièrement dans Claude Code, donc aucun service externe à créer.

Le skill lit votre projet comme le ferait un auditeur de la confidentialité. Il inspecte les flux de données, les emplacements de stockage, les traitements, les mécanismes de consentement, les politiques de conservation, les contrôles d'accès et la façon dont vous gérez les droits des personnes. Puis il fait trois choses qui comptent :

  1. Il détecte. Des règles repèrent les motifs ci-dessus : traceurs déclenchés avant consentement, données personnelles sans limite de conservation, parcours d'effacement absent, traitements non documentés.
  2. Il classe par gravité. Les constats reviennent notés et priorisés, donc un traceur qui fuit des identifiants passe avant une ligne manquante dans votre notice. Vous corrigez d'abord ce qui est dangereux au lieu de vous noyer dans une liste plate.
  3. Il corrige dans votre code. Comme il tourne dans l'agent, il ne se contente pas de produire un rapport à traiter plus tard. Il peut appliquer directement les changements recommandés, transformant « vous avez un problème ici » en une vraie modification dans la même passe.

L'installer tient en une ligne. Avec la marketplace de plugins, vous ajoutez la source et installez le skill :

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

Puis vous lancez un scan en langage naturel. Le skill répond à des phrases comme :

scan GDPR compliance
check data privacy
validate GDPR

Vous pouvez aussi l'installer en déposant le dossier du skill dans le répertoire .claude/skills/ de votre projet, la manière standard dont Claude Code découvre les skills. Dans les deux cas, le scan tourne sur votre vrai dépôt, pas sur une checklist abstraite.

Schéma de pipeline de gauche à droite intitulé scanner, classer, corriger. Une boîte intitulée votre code alimente une boîte intitulée le skill RGPD scanne, qui alimente une pile de trois niveaux de gravité intitulés critique, élevé et moyen qui s'allument en séquence, puis débouche sur une boîte intitulée correction appliquée dans le code, et se termine sur une boîte verte intitulée plus proche de la conformité. Un petit marqueur parcourt le chemin pour montrer un projet qui traverse le flux.

Code en entrée, constats priorisés au milieu, vraies modifications en sortie. La même boucle que vous utilisez déjà pour les fonctionnalités, pointée sur la conformité.

Un mot de prudence honnête, parce que la confiance se joue là : un scan n'est pas un feu vert juridique. Le skill attrape les infractions mécaniques au niveau du code qui constituent l'essentiel du risque quotidien, les cookies, la conservation, le parcours d'effacement absent, et il vous rapproche nettement de la conformité en quelques minutes. Il ne remplace pas un avocat spécialisé en protection des données pour ce qui est sensible, une analyse d'impact (AIPD) ou le traitement de données de santé. Voyez-le comme la première passe technique qui retire les infractions évidentes, puis faites intervenir une relecture humaine sur les cas limites.

Pourquoi ça se complique avec une flotte d'agents

Un développeur avec un agent a un seul code à tenir honnête. Dès que vous faites tourner plusieurs agents en parallèle, chacun livrant des fonctionnalités dans le même produit, la surface d'infractions silencieuses se multiplie. Un agent ajoute un script de statistiques, un autre monte une table de logs, un troisième branche un widget tiers, et aucun humain n'a jamais examiné les implications « vie privée » de l'ensemble.

C'est la même raison qui rend le contexte et la cohérence difficiles à l'échelle, un thème sur lequel on revient sans cesse, qu'on parle de faire tourner des agents de code en parallèle ou de vibe coder sans se noyer. La solution a la même forme : intégrer le standard au setup partagé plutôt que d'en faire une vérification qu'on pense à faire à la fin.

Dans AgentsRoom, le cockpit multi-agents, les skills et les règles que vous configurez une fois s'appliquent à chaque agent de la pièce, que vous pilotiez Claude Code, Codex ou les autres fournisseurs depuis un même endroit. Branchez une passe de conformité dans votre workflow une seule fois et chaque agent en hérite, au lieu d'espérer que chacun se rappelle, indépendamment, une règle que personne ne lui a apprise. La discipline qui garde une session propre est ce qui tient une flotte entière à l'écart des ennuis réglementaires.

Une checklist de conformité pratique pour les sites faits par IA

Avant de considérer un site fait par IA comme terminé, passez-le au crible de cette liste. Le scanner en attrapera la plupart, mais savoir ce que vous cherchez rend le rapport lisible :

  • Aucun cookie ni traceur non essentiel ne se déclenche avant le consentement de l'utilisateur.
  • Chaque stockage de donnée personnelle a une durée de conservation définie et un mécanisme de suppression.
  • Les utilisateurs peuvent demander et recevoir une copie de leurs données.
  • Les utilisateurs peuvent supprimer leur compte et faire effacer leurs données.
  • Une notice de confidentialité explique ce que vous collectez, pourquoi et sur quelle base légale.
  • Les scripts tiers et les transferts de données hors UE ont un mécanisme licite.
  • Vous pouvez produire un registre de vos traitements si on vous le demande.

Si vous ne pouvez pas cocher chaque case, votre site fait par IA porte un risque RGPD, et une seule plainte suffit à le faire ressortir.

À retenir

Le vibe coding est réellement rapide, et c'est cette vitesse qui est le piège. L'agent remplit tout ce que vous voyez et saute tout ce que vous ne voyez pas, ce qui est précisément là où vit le RGPD. Cookies avant consentement, données gardées pour toujours, aucun moyen de les supprimer : ce ne sont pas des cas exotiques, c'est la sortie par défaut de tous les agents de code, et ce sont les mêmes manquements que les régulateurs ont sanctionnés à hauteur de centaines de millions d'euros en 2025.

La solution n'est pas d'arrêter d'utiliser des agents. C'est d'ajouter la passe manquante. Lancez le skill gratuit scanning-for-gdpr-compliance sur votre projet, laissez-le classer et réparer les infractions évidentes, puis faites relire le reste par un humain. Quelques minutes de scan coûtent bien moins cher que de découvrir le trou par le courrier d'un régulateur.

Vous construisez avec plus d'un agent ? Téléchargez AgentsRoom pour piloter Claude Code, Codex et d'autres depuis un seul cockpit, voyez ce que chacun prend en charge dans la matrice de compatibilité des fournisseurs, et lisez comment garder le rythme dans vibe coder sans se noyer.

Télécharger AgentsRoom

Lancez vos agents Claude sur tous vos projets, depuis une seule fenêtre.

GratuitTélécharger AgentsRoom

App companion : suivez vos agents en déplacement

Télécharger sur
App Store
Disponible sur
Google Play

Utilisez Claude, Codex, Antigravity CLI ou un autre fournisseur IA.

Installer l'extension
Chrome Web Store

Remontez bugs et demandes directement dans votre backlog public.

Aperçu d'AgentsRoom en action.

Multi-projets
Multi-provider
Multi-agents
Statut en direct
Diff & commit
App mobile
Aperçu live
Équipes d'agents
Tests navigateur
Dev pilotée par backlog
Bibliothèque de prompts
Bibliothèque de skills
Voir toutes les fonctionnalités