Comment Ducal utilise l'IA dans sa pratique de développement.
Ducal est une agence de développement spécialisée en santé numérique souveraine. L'intelligence artificielle est au cœur de notre manière de développer : nous l'utilisons pour concevoir, écrire, relire et auditer le code de nos solutions plus vite, mieux et plus sûrement.
Cette charte décrit notre usage exact de l'IA dans notre pratique de développement, les principes qui l'encadrent, et les garanties que nous apportons à nos clients sur la protection de leurs données et de celles de leurs patients.
Version 1.2 — Février 2026
Claude Code, l'agent de développement d'Anthropic, est notre outil principal.
Ducal utilise Claude Code, l'agent de développement d'Anthropic, comme outil principal de développement logiciel. Claude Code lit le code source d'un projet, propose des implémentations, détecte des vulnérabilités, refactorise des fonctions et génère des tests.
Claude Code travaille principalement sur le code source de nos solutions : fichiers PHP, TypeScript, configurations d'infrastructure, documentation technique. Pour les besoins de maintenance et de déploiement, il peut également exécuter des commandes sur les serveurs de production, sous instruction et validation explicites d'un ingénieur Ducal.
Il ne voit jamais le contenu des bases de données de production, les dossiers patients ou les données de santé — celles-ci sont chiffrées en base et ne transitent pas dans les outils de développement.
L'outil est américain et hébergé aux États-Unis. C'est acceptable parce qu'il ne voit jamais de données de santé : il ne voit que du code source et de la documentation technique. Nous l'assumons clairement plutôt que d'afficher une souveraineté totale qui n'existerait pas.
Le code produit avec Claude Code est relu, testé et validé par nos ingénieurs avant tout déploiement. Claude Code est un accélérateur de développement, pas un décideur. La responsabilité de chaque ligne de code déployée reste entièrement celle de Ducal.
Par ailleurs, l'utilisation de Claude Code pour détecter des vulnérabilités dans nos bases de code renforce la sécurité de nos solutions au-delà de ce que les méthodes d'audit traditionnelles permettent : l'outil raisonne sur l'architecture complète d'une application plutôt que de se contenter de patterns connus.
Le paradoxe de la souveraineté
Utiliser un outil américain pour le développement nous rend paradoxalement plus souverains : en réduisant d'un ordre de grandeur le coût de développement, l'IA permet à de petites équipes françaises de construire des alternatives crédibles aux éditeurs historiques — hébergées en France, sur infrastructure SecNumCloud, avec une interopérabilité native.
Lire notre article fondateur : Pourquoi les DSI hospitaliers vont enfin pouvoir choisir leurs logiciels →Responsabilité humaine systématique. Claude Code ne prend aucune décision seul. Chaque output est soumis à une validation humaine par un ingénieur Ducal avant toute mise en production. L'IA accélère et approfondit notre travail ; la décision reste aux ingénieurs.
Aucune donnée de santé dans les outils de développement. Les outils que nos ingénieurs utilisent pour travailler ne reçoivent jamais de données réelles de patients ou de clients. Les environnements de test utilisent exclusivement des données fictives ou anonymisées. Les données de santé en production sont chiffrées au repos (AES-256) et ne sont déchiffrées qu'au sein de l'application, jamais dans un contexte de développement.
Qualification du niveau de risque. Avant chaque nouveau projet ou fonctionnalité développée avec assistance IA, Ducal évalue le niveau de risque au sens du règlement européen sur l'IA (AI Act). Cette évaluation est documentée et transmissible au client sur demande.
Documentation technique. Ducal tient à jour pour chaque solution une documentation décrivant les outils d'IA utilisés dans le développement, leurs capacités et limitations connues, et les procédures de validation appliquées. Cette documentation est disponible pour les autorités de contrôle et les clients qui en font la demande.
L'utilisation d'agents IA de code soulève une question spécifique que la plupart des chartes ignorent : ces outils lisent le code source dans son ensemble, y compris les fichiers de configuration et d'environnement. Sans précaution, une clé API, un mot de passe de base de données ou un secret d'infrastructure peut se retrouver transmis à un modèle externe.
Séparation stricte entre code et secrets. Aucun credential, clé API, mot de passe ou secret d'infrastructure n'est stocké dans le code source. Tous les secrets sont gérés via HashiCorp Vault (serveur dédié, hébergé en France) ou des variables d'environnement injectées au moment du déploiement, jamais en clair dans les fichiers versionnés.
Exclusion des fichiers sensibles du contexte IA. Les fichiers contenant des secrets (.env, fichiers de credentials, certificats, clés privées) sont exclus du contexte transmis à l'agent IA via des règles d'exclusion configurées et vérifiées pour chaque projet. Les références techniques nécessaires à la documentation (noms de services, architecture réseau) peuvent figurer dans la documentation accessible à l'agent, mais jamais les valeurs des secrets elles-mêmes.
Gestion centralisée des secrets de production. Les secrets de production sont gérés via HashiCorp Vault, un gestionnaire de secrets dédié hébergé sur une infrastructure séparée. Les applications accèdent aux secrets via un mécanisme d'authentification applicatif (AppRole), sans que les secrets ne soient jamais exposés en clair sur les postes de développement ou dans les outils de CI/CD.
Isolation des bases de données de production. Les bases de données de production résident sur un sous-réseau privé, inaccessible directement depuis Internet. Tout accès de maintenance nécessite un tunnel SSH authentifié par clé, sous instruction explicite d'un ingénieur, et fait l'objet d'une traçabilité complète. Claude Code n'accède jamais directement au contenu des bases de données de production.
Rotation régulière des credentials. Les clés API et secrets d'infrastructure font l'objet d'une rotation régulière, et immédiate en cas de doute sur une exposition involontaire.
Traçabilité des accès. Les accès aux secrets de production sont tracés et limités au strict nécessaire. Tout accès inhabituel déclenche une revue.
AI Act (règlement UE 2024/1689). L'AI Act est entré en vigueur le 1er août 2024. Ducal anticipe l'application complète aux systèmes à haut risque prévue à compter d'août 2026. Dans ce cadre, Ducal s'engage à cartographier les usages d'IA dans chaque solution développée, à qualifier leur niveau de risque, et à maintenir la documentation technique exigée par le règlement. Cette démarche est progressive et documentée.
RGPD. Le code source développé avec Claude Code ne contient jamais de données personnelles. Les obligations RGPD applicables aux solutions déployées pour les clients restent entièrement sous la responsabilité de Ducal en qualité de sous-traitant, indépendamment des outils utilisés pour leur développement.
HDS. Les solutions de santé développées par Ducal sont hébergées sur infrastructure certifiée Hébergeur de Données de Santé, implantée en France. L'utilisation de Claude Code pour le développement est sans incidence sur ce cadre : les données de santé hébergées en production ne transitent jamais par les outils de développement.
Cette charte est révisée à chaque évolution significative de nos pratiques, des outils que nous utilisons ou du cadre réglementaire applicable. La version en vigueur est toujours disponible sur ducal.tech.
Toute évolution des outils ou des pratiques décrits ici est communiquée aux clients concernés avant mise en application.
Ducal utilise Claude Code, l'agent de développement d'Anthropic, pour accélérer et sécuriser son développement logiciel. Cet outil travaille sur le code source et la documentation technique : aucune donnée de santé, donnée patient ou donnée client ne lui est transmise. Le code produit est systématiquement relu et validé par un ingénieur Ducal avant tout déploiement. La responsabilité de chaque ligne de code reste entièrement celle de Ducal. Le client peut demander le détail des pratiques ou en préciser les modalités sur simple demande. La charte complète est disponible sur ducal.tech.
Ducal, 2026 — ducal.tech
Parlons-en. Nous vous répondons sous 48h avec une première proposition adaptée à votre contexte.
Nous contacter →