Où circulent vos informations, qui les conserve, et comment Claude Code répond au RGPD et à la nLPD suisse. Une page, deux volets : la sécurité, puis la conformité.
Volet 1 · Sécurité des données
Claude Code s'exécute sur votre machine. Pour raisonner, il échange avec le modèle — c'est le seul flux qui sort. Voici ce qui part, et ce qui reste chez vous.
L'outil tourne sur votre poste. Seul l'échange avec le modèle transite par le réseau — chiffré.
Sur un plan professionnel (Team, Enterprise, API, Bedrock, Vertex), Anthropic n'entraîne aucun modèle sur votre code ni vos prompts. C'est contractuel.
En transit : TLS 1.2+. Au repos : AES-256. Clés gérées par vous possibles via Bedrock (KMS) ou Vertex (CMEK).
30 jours par défaut. Zéro avec l'option ZDR (zéro rétention), disponible sur Claude for Enterprise.
Les historiques de session sont stockés sur votre machine (~/.claude), pas dans le nuage.
Anthropic détecte et bloque les usages abusifs de sa plateforme — comme lors des tentatives de détournement rendues publiques.
Trois niveaux de confinement
Volet 2 · Conformité
Utiliser un outil américain sur des données européennes est parfaitement légal, à condition d'un cadre contractuel. Ce cadre est en place, par défaut.
Le contrat de traitement des données fait d'Anthropic votre sous-traitant : il agit sous vos règles, ne revend rien, vous alerte en cas d'incident. C'est l'exigence de l'article 28 RGPD et de la nLPD. Inclus dans les termes commerciaux.
Clauses contractuelles types (SCC) et, depuis le 15.09.2024, le Swiss-US Data Privacy Framework qui sécurise les échanges Suisse ↔ États-Unis.
Option de résidence UE, ou déploiement via Bedrock Francfort : les données ne quittent pas l'Europe. Le transfert transatlantique disparaît.
Il s'applique à tout fournisseur américain — ceux que vous utilisez déjà. On le neutralise : données en Europe (Bedrock) et / ou zéro rétention — il n'y a alors rien à réquisitionner.
Les affaires de « distillation » médiatisées concernent des concurrents copiant les capacités du modèle : ils envoient leurs propres requêtes. Aucune conversation d'un autre client n'est exposée.
Vous pouvez exporter et supprimer vos données. Via Bedrock ou Vertex, tout reste dans votre compte cloud : vous gardez la main.
Certifications, auditées par des tiers