FORMA·IA
module 04 / 06

Process équipe + IA

L'IA individuelle fait gagner des heures ; l'IA intégrée au process d'équipe fait gagner des semaines. Review assistée, PR workflow, conventions partagées — et les lignes rouges à ne jamais franchir.

4.0Objectifs de la session

4.1Code review assistée

Le bon modèle mental : l'IA fait la pré-review, l'humain fait la review. L'IA passe en premier, dégrossit, signale ; le reviewer humain arrive sur une PR déjà nettoyée des problèmes évidents et concentre son attention sur ce qui compte vraiment.

Ce que l'IA attrape bien

Ce qu'elle attrape mal

Règle d'orL'IA signale, l'humain décide. Un commentaire de pré-review IA n'est jamais bloquant par lui-même : c'est un signal que le reviewer humain confirme ou écarte. La responsabilité du merge reste à 100 % humaine.

4.2PR workflow avec IA

L'IA excelle sur les tâches d'écriture autour du code : descriptions de PR, messages de commit, changelogs, ADR. Autant de friction en moins, à condition de garder des règles claires.

Exemple de convention d'équipe

# .github/PULL_REQUEST_TEMPLATE.md — extrait

## Description
<!-- Générée par IA autorisée. Relue et corrigée par l'auteur : OBLIGATOIRE. -->

## Checklist auteur
- [ ] Pré-review IA exécutée, remarques traitées ou écartées avec justification
- [ ] Code sensible (auth / paiement / données perso) → 2e reviewer humain demandé
- [ ] Tests ajoutés ou mis à jour (générés par IA acceptés si relus)

4.3Conventions d'équipe : la charte IA

Sans règles explicites, chacun invente les siennes et l'équipe diverge. Une charte d'usage IA tient sur une page et répond à trois questions : qui utilise quoi, pour quoi faire, avec quels garde-fous.

Exemple de charte (une page, à adapter)1. Outils autorisés : Claude Code, Copilot (comptes entreprise uniquement).
2. Tout code généré est relu ligne à ligne par son auteur avant commit.
3. Aucun secret, aucune donnée client dans un prompt.
4. Code auth / paiement / crypto : double review humaine obligatoire.
5. L'auteur de la PR est responsable du code, quel qu'en soit le rédacteur.
6. Les décisions d'architecture se prennent en revue d'équipe, pas dans un chat IA.

4.4Sécurité : les lignes rouges

Cette section n'est pas négociable. Les règles suivantes protègent l'entreprise, les clients et l'équipe. Elles doivent être écrites dans la charte et connues de tous.

Lignes rouges — à ne jamais franchir1. Les secrets ne vont jamais dans un prompt.Clés d'API, tokens, mots de passe, chaînes de connexion : un prompt peut être journalisé, mis en cache ou utilisé pour l'entraînement selon l'outil et le contrat. Si un secret a fuité dans un prompt, il doit être révoqué et remplacé immédiatement, comme s'il avait été commité en clair.

2. Le code sensible exige une double review humaine. Authentification, cryptographie, paiement, gestion de permissions : l'IA produit du code plausible qui peut être subtilement faux (comparaison non constante, algorithme obsolète, contrôle d'accès incomplet). Deux humains relisent, dont un qui connaît le domaine.

3. Les données clients ne servent jamais d'exemple. Pour reproduire un bug ou illustrer un format, on anonymise ou on fabrique des données synthétiques. Une base de production ne se copie pas dans un chat, même partiellement.

4. La licence du code généré se vérifie. Un modèle peut restituer du code proche de sources sous licence restrictive. Pour tout bloc substantiel généré, un passage de vérification (recherche de similarité, outils de scan de licence) fait partie de la due diligence, en particulier pour du code redistribué.

Le réflexe à installer : avant d'envoyer un prompt, se demander « serais-je à l'aise si ce contenu apparaissait dans un log accessible à un tiers ? ». Si la réponse est non, on ne l'envoie pas.

4.5Quand NE PAS utiliser l'IA

Savoir s'abstenir fait partie de la maîtrise. Quatre situations où l'IA est le mauvais outil :

4.6TP de la session

Dossier exercices/session-4/ du repo. Au programme :

4.7Checklist de fin de session

4.8Quiz de validation

Q1Dans une code review assistée, le rôle de l'IA est de…

Q2Une clé d'API a été collée dans un prompt par erreur. Que faire ?

Q3Une PR touche au module de paiement. La charte impose…

Q4Le but premier d'une charte IA d'équipe, c'est…

4.9Défi inter-session

D'ici la prochaine sessionProposer le draft de charte IA du TP2 à votre équipe réelle : le présenter en 15 minutes (réunion d'équipe ou fil dédié), recueillir les objections, noter ce qui passe et ce qui bloque. Retour d'expérience en ouverture de session 5.