Politique de transparence sur l'intelligence artificielle

RackList est conçu et exploité par une équipe de développement (« team dev ») placée sous la direction de la personne physique identifiée à la section 2 des mentions légales, qui exerce la qualité de lead développeur (« lead dev ») et de responsable éditorial. Cette équipe a fait le choix assumé, structurant et intégralement transparent d'intégrer des outils d'intelligence artificielle générative en qualité d'exécutants techniques, placés sous orchestration humaine continue. La présente politique expose, conformément à l'esprit de l'article 50 du Règlement (UE) 2024/1689 du 13 juin 2024 (« AI Act ») dont l'entrée en application est fixée au 2 août 2026, l'ensemble des modalités de cette intégration, afin de permettre aux utilisateurs et aux hébergeurs référencés d'évaluer en pleine connaissance de cause la gouvernance technique du service.

Ce choix relève d'une stratégie revendiquée. La densité de mobilisation de l'intelligence artificielle, conjuguée à la direction continue exercée par la team dev, a permis à l'éditeur de tenir un engagement clair envers la communauté des consommateurs d'hébergement : délivrer une plateforme aboutie, complète et conforme, dans un calendrier resserré, sans concession sur le périmètre fonctionnel, la sécurité ou la conformité réglementaire. Cette méthode a, en pratique, permis à RackList de mettre son service à disposition du public avant l'un de ses concurrents directs (notamment l'éditeur connu sous la dénomination « Top Heberg »). L'éditeur revendique cette démarche : un besoin communautaire avait été clairement exprimé, l'engagement a été de le servir intégralement, sans demi-mesure et jusqu'au bout.

La présente politique couvre l'intégralité des interactions entre les outils d'intelligence artificielle et la plateforme RackList, à savoir :

• la conception, le développement, la relecture, le refactoring et le débogage du code source du site et de son infrastructure (back-end Symfony, front-end Twig/Stimulus, configuration Docker, automatisations DevOps) ;
• la génération de tests automatisés (unitaires, fonctionnels, d'intégration) systématiquement exécutés et revus par la team dev ;
• la rédaction de documentation technique interne, de commentaires de code, de messages de commit et de notes d'architecture ;
• les opérations d'exploitation (rédaction de scripts, de playbooks, de migrations, de manifestes d'infrastructure), encadrées par le principe du moindre privilège et soumises à une revue humaine préalable à toute exécution sensible.

Sont en revanche hors du périmètre de cette politique : tout contenu éditorial ou fonctionnel visible par les utilisateurs finaux du site (voir section 8), qui demeure produit exclusivement par des auteurs humains ou par des algorithmes déterministes documentés.

L'usage de l'intelligence artificielle ne procède pas d'une délégation passive ; il s'inscrit dans une chaîne d'orchestration humaine continue dont les responsabilités sont expressément réparties :

• Lead dev : définit l'architecture cible, formule la stratégie produit, rédige les prompts directeurs, arbitre les choix techniques structurants, valide chaque livrable avant intégration en production et engage la responsabilité éditoriale de l'éditeur.
• Team dev : conduit la revue de code ligne à ligne, complète les jeux de tests, contrôle l'application des standards (PHPStan niveau 8, PHP-CS-Fixer, declare(strict_types=1)) et formule les corrections substantielles imposées à l'outil d'intelligence artificielle.
• Outil d'intelligence artificielle : agit en qualité d'exécutant. Il produit des propositions sur instruction explicite, propose des refactorings, rédige du code conforme aux spécifications transmises et exécute des tâches d'analyse. Aucune de ses productions n'atteint la production sans validation humaine préalable.

La marque de l'apport intellectuel humain (orientation, sélection, correction, intégration, validation) caractérise l'œuvre logicielle au sens du Code de la propriété intellectuelle. Voir également la section 9 (jurisprudence Pachot).

À la date de publication de la présente politique, la team dev mobilise les outils d'intelligence artificielle générative suivants dans le cadre du développement :

Tout changement substantiel de fournisseur, d'outil ou de modèle donne lieu à une mise à jour de la présente page et à une nouvelle date de publication.

Les tâches confiées à l'outil d'intelligence artificielle relèvent exclusivement de l'assistance technique au développement logiciel, sous orchestration de la team dev :

• Génération de code répétitif (squelettes de classes, DTO, formulaires, fixtures de test) ;
• Propositions de refactoring pour réduire la complexité cyclomatique, améliorer la lisibilité ou aligner le code sur les conventions du projet ;
• Rédaction de tests unitaires et fonctionnels, systématiquement validés et exécutés par la team dev ;
• Analyse de messages d'erreur, suggestion de correctifs et propositions de diagnostic, toujours relus avant application ;
• Relectures de sécurité contre les risques OWASP Top 10 et contrôle des référentiels RGAA 4.1 pour l'accessibilité.

Chaque contribution issue de l'intelligence artificielle traverse une chaîne de validation humaine intégrale avant toute mise en production :

• Revue de code ligne à ligne par un membre identifié de la team dev, sous responsabilité finale du lead dev ;
• Exécution intégrale de la suite PHPUnit et de l'analyse statique PHPStan (niveau 8, zéro erreur) avant chaque commit ;
• Application des règles PHP-CS-Fixer (@Symfony + @Symfony:risky) avec mode strict_types obligatoire ;
• Intégration continue exigeant lint, analyse statique, audit de sécurité des dépendances (composer audit) et exécution de l'ensemble des tests avant fusion sur la branche principale ;
• Messages de commit rédigés ou validés par la team dev, au format conventional commits (feat:, fix:, chore:, etc.).

Aucun artefact issu d'une session d'intelligence artificielle n'atteint la production sans que cette chaîne de contrôle ait été respectée dans son intégralité. La rapidité du cycle de développement ne procède pas d'une diminution des contrôles, mais de leur automatisation et de la coordination étroite entre la team dev et l'outil exécutant.

Les catégories de données suivantes ne sont, en aucun cas, transmises à des outils d'intelligence artificielle tiers dans le cadre du développement :

• Données personnelles des utilisateurs (identifiants, adresses de courrier électronique, informations de profil, données de connexion), chiffrées au repos via l'extension PHP Sodium et index aveugles déterministes ;
• Secrets d'infrastructure : jetons d'API, clefs de chiffrement, mots de passe de base de données, clefs Mercure, secrets OAuth, certificats ;
• Contenu intégral des avis publiés par les utilisateurs et des réponses des hébergeurs ;
• Contenu des messages privés échangés via la messagerie interne (hébergeur vers hébergeur ou vers sous-utilisateur) ;
• Informations commerciales et techniques transmises à titre confidentiel par les hébergeurs revendiquant leur fiche dans le cadre du processus de vérification.

Lorsqu'un extrait de code doit être partagé avec un outil d'intelligence artificielle pour diagnostic, il est systématiquement expurgé des données réelles qu'il pourrait contenir. Des jeux de données synthétiques sont utilisés à la place.

Toute évolution en ce sens fera l'objet :

• (i) d'une mention explicite « contenu généré par IA » conforme à l'article 50 du Règlement (UE) 2024/1689 ;
• (ii) d'un marquage lisible par machine dans les métadonnées du contenu, conformément aux codes de bonnes pratiques adoptés au titre du même règlement ;
• (iii) d'une mise à jour de la présente politique et d'une nouvelle date de publication.

Le non-respect de ces obligations exposerait l'éditeur à des sanctions administratives pouvant atteindre 15 millions d'euros ou 3 % de son chiffre d'affaires annuel mondial (article 99 du Règlement).

Les modèles d'intelligence artificielle générative sont susceptibles de produire des suggestions de code textuellement ou substantiellement similaires à du code utilisé lors de leur entraînement. Ce code peut être soumis à des licences libres assorties d'obligations (MIT, Apache 2.0, BSD, LGPL, GPL, AGPL, etc.).

Pour réduire ce risque, l'éditeur met en œuvre les mesures suivantes :

• Analyse statique et audit des dépendances intégrés au processus d'intégration continue (composer audit, PHPStan) ;
• Tenue d'un inventaire des licences utilisées par les bibliothèques tierces (fichier composer.lock versionné) ;
• Revue humaine de tout extrait de code suspect d'être une reproduction non autorisée ;
• Contrôle systématique de la diff de chaque proposition d'intelligence artificielle avant intégration.

L'éditeur assume la pleine responsabilité juridique du code déployé en production, y compris vis-à-vis des tiers titulaires de droits de propriété intellectuelle. Cette responsabilité ne saurait être transférée à l'outil exécutant.

La présente politique est revue à chaque évolution substantielle du processus de développement et, au minimum, une fois par an. La date de dernière mise à jour figure en haut de page.

Toute personne qui identifierait sur RackList un contenu manifestement généré par intelligence artificielle et non signalé, ou qui suspecterait une reproduction non autorisée de code protégé, est invitée à signaler ces faits à :

Chaque signalement fait l'objet d'un accusé de réception sous deux jours ouvrés et d'une instruction documentée.