Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

GitLab

Que fait GitLab ?

GitLab est une plateforme DevSecOps de bout en bout qui combine gestion de code source, revue, CI/CD, registres de conteneurs et de paquets, sécurité, observabilité et gestion de projet. Disponible en GitLab SaaS (gitlab.com), en Community Edition open source auto hébergeable, en Enterprise Edition payante et en GitLab Dedicated avec résidence des données UE. La posture privacy dépend fortement du modèle de déploiement.

Qu''est ce que GitLab

GitLab est une plateforme DevSecOps open core développée par GitLab Inc., société basée à San Francisco avec des équipes 100% à distance. C''est l''une des plus grandes plateformes de gestion de code source et CI/CD au monde, avec GitHub et Bitbucket, et elle se distingue en regroupant tout le cycle de vie logiciel dans une seule application. Trois variantes : GitLab SaaS sur gitlab.com, GitLab Self Managed (Community Edition et Enterprise Edition à installer chez le client), et GitLab Dedicated, offre cloud mono tenant avec résidence régionale, dont l''UE.

Quelles données et cookies GitLab traite

Dans l''espace connecté, GitLab pose le cookie _gitlab_session, un cookie remember_user_token si l''utilisateur le souhaite et _gitlab_ci_session pour le contexte CI/CD. Ces cookies sont strictement nécessaires à l''authentification. Sur les pages marketing publiques de gitlab.com, GitLab peut charger Google Analytics, Drift, Marketo et Snowplow avec leurs cookies après acceptation. Les données stockées incluent code source, issues, merge requests, images conteneurs et paquets, logs CI et événements d''audit.

Implications RGPD et ePrivacy

Les cookies de session sont strictement nécessaires et exemptés de l''article 5(3) ePrivacy. Le code, les issues et les artefacts CI peuvent contenir des données personnelles : GitLab Inc. agit alors comme sous traitant au sens de l''article 28 RGPD pour les dépôts du client. Pour GitLab SaaS, le DPA GitLab avec CCT et DPF couvre le transfert US ; pour Dedicated, la région UE maintient les données dans l''UE. L''auto hébergé ne transmet rien à GitLab Inc. sauf si Service Ping est explicitement activé.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Le consentement est il requis

Pas pour l''expérience DevOps authentifiée. Les cookies de session sont strictement nécessaires. Le consentement est requis pour les pages marketing de gitlab.com (la bannière s''en charge) et pour les analytics produit Snowplow optionnels en SaaS. L''auto hébergé peut désactiver les usage statistics (Service Ping) et écarter la question.

Résidence des données

GitLab SaaS stocke principalement sur Google Cloud aux États Unis, avec un engagement Customer Data Residency qui limite les transferts sans les supprimer. GitLab Dedicated permet de fixer la région UE (Francfort), recommandé pour les industries régulées. GitLab Inc. est certifié DPF et signe les CCT via son DPA. La liste complète des sous traitants est publiée au Trust Center GitLab.

Étapes pratiques de conformité

Pour les clients UE : évaluez GitLab Dedicated région UE pour le code contenant des données régulées ; auto hébergez GitLab CE/EE en UE si vous voulez tout maîtriser ; signez le DPA GitLab ; désactivez Service Ping si la télémétrie est indésirable ; configurez SSO et MFA pour les administrateurs ; mentionnez GitLab Inc. et ses sous traitants dans la politique ; et traitez les pages marketing publiques de gitlab.com comme un périmètre de consentement séparé si vous y embarquez du contenu.

Categorie de consentement RGPD

Autre

Les sites web utilisant GitLab doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleContract (Art. 6(1)(b) GDPR) for the developer collaboration service, legitimate interest (Art. 6(1)(f)) for security, abuse and fraud prevention, consent (Art. 6(1)(a) and Art. 5(3) ePrivacy) for product analytics (Snowplow), marketing cookies on gitlab.com marketing pages and any third party embeds (YouTube, social) on the public site

Niveau de risquelow

Reglementations applicablesGDPR, ePrivacy Directive, TTDSG, LIL, NIS2 when GitLab pipelines deliver critical software, ISO 27001 for accredited customers

Considerations AIPD

Une AIPD est recommandée pour les déploiements GitLab SaaS contenant du code avec données personnelles, des scanners de sécurité produisant des rapports de vulnérabilités ou des pipelines touchant des données régulées. L'auto hébergé est à faible risque, le client contrôlant l'ensemble de la pile. Documentez le modèle, la résidence des données, l'utilisation de Service Ping et les sous traitants.

Exemple de texte de consentement

Notre portail dev tourne sur GitLab. Les utilisateurs connectés ont des cookies de session posés par GitLab. Les pages marketing publiques de gitlab.com peuvent poser des cookies analytics ou marketing optionnels si vous les acceptez.

Details techniques

Methode de suiviWeb application accessed in browser (gitlab.com SaaS or self hosted), Git protocol over HTTPS/SSH, CI/CD runners, container registry, package registry, REST and GraphQL APIs; the application sets first party session cookies and uses optional client side telemetry (Snowplow) for product analytics

Localisation des serveursFor GitLab SaaS, primary region in the United States (Google Cloud Platform US) with EU customers' data subject to the GitLab Data Residency promise that excludes routine transfers outside the chosen region for the Dedicated tier. For self hosted Community Edition (CE) and Enterprise Edition (EE), the customer chooses the region freely.

Suivi sans cookie disponibleOui

Donnees transferees hors UEGitLab SaaS (gitlab.com) is operated by GitLab Inc., headquartered in San Francisco, with infrastructure primarily in the US on Google Cloud. The GitLab Dedicated offering allows EU only data residency (Frankfurt). GitLab Inc. is self certified under the EU US Data Privacy Framework and signs the GitLab Data Processing Addendum with EU SCCs. For self hosted GitLab CE/EE, no data leaves the customer infrastructure unless the user enables Service Ping or Premium SaaS features.

Domaines tiers contactes

gitlab.comabout.gitlab.comdocs.gitlab.comassets.gitlab-static.netgitlab-runner-downloads.s3.amazonaws.comsnowplowanalytics.comregistry.gitlab.com

Cookies deposes

Nom	Type	Duree	Finalite
_gitlab_session	first party	Session	Main GitLab session cookie, set on the application domain to keep the user logged in. Strictly necessary.
remember_user_token	first party	2 weeks	Optional Remember me cookie that extends the GitLab session when the user opts in during login.
_gitlab_ci_session	first party	Session	Session cookie for CI/CD specific endpoints when accessed from a browser.
event_filter	first party	1 year	Stores the last selected filter in the GitLab dashboard event feed.
user_oauth_state	first party	Short lived	OAuth state token used during third party login flows on GitLab.
_ga / _ga_<ID>	third party	2 years	Google Analytics cookies set on the public marketing pages of gitlab.com after consent. Not set inside the authenticated application.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies pose GitLab ?

L'application authentifiée pose _gitlab_session, remember_user_token (option), _gitlab_ci_session, _gitlab_pages_session et des jetons CSRF. Tous strictement nécessaires. Les pages marketing de gitlab.com chargent en plus des cookies analytics et marketing après consentement.

Faut il un consentement pour GitLab ?

Pas pour l'expérience DevOps authentifiée. Oui pour le marketing et les analytics produit chargés sur les pages publiques ou activés via des intégrations optionnelles. L'auto hébergé peut désactiver totalement la télémétrie.

Quelle base légale pour GitLab ?

Exécution du contrat pour le service DevOps, obligation légale pour la conservation des audit logs, intérêt légitime pour la prévention fraude et abus. Le consentement reste la base pour les traceurs non strictement nécessaires sur les pages publiques.

Y a t il des transferts vers les États Unis ?

Pour GitLab SaaS, oui, couverts par le Data Privacy Framework et les CCT du DPA. Pour GitLab Dedicated UE, les données client restent en région UE. Pour l'auto hébergé, rien ne sort de votre infrastructure sauf si Service Ping est activé.

Une AIPD est elle nécessaire pour GitLab ?

Pour le CE/EE auto hébergé, en général non. Pour GitLab SaaS contenant des données régulées ou de production, une AIPD est recommandée. Pour GitLab Dedicated UE, documentez la résidence dans l'AIPD avec une analyse plus légère.

Comment déployer GitLab de manière conforme ?

Choisissez Dedicated UE ou auto hébergement en UE pour les données sensibles ; signez le DPA GitLab ; configurez SSO et 2FA ; désactivez Service Ping si la télémétrie n'est pas voulue ; consultez le Trust Center pour les sous traitants ; documentez le déploiement au registre article 30.

Quelles alternatives à GitLab ?

GitHub (Microsoft, certifié DPF, régions UE en preview), Bitbucket (Atlassian, régions UE disponibles), Gitea (open source auto hébergeable, Gitea Cloud UE), Forgejo (fork open source de Gitea), Codeberg (hébergement communautaire en Allemagne). Flux de données et licences distincts.

Comment décrire GitLab dans la politique cookies ?

Pour le portail authentifié, listez _gitlab_session et cookies associés en Strictement nécessaire avec fournisseur GitLab Inc., USA. Pour les pages marketing publiques, listez les traceurs analytics et marketing (Google Analytics, Marketo, Drift) séparément avec consentement. Mentionnez le mécanisme de transfert (DPF et CCT).

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min